试题三（共25分）

阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内。

案例一：

2022年7月21日，国家互联网信息办公室公布的对滴滴全球股份有限公司依法做出网络安全审查相关行政处罚的决定，开出了80.26亿的罚单。根据网络安全审查结论及发现的问题和线索，国家互联网信息办公室依法对滴滴公司涉嫌违法行为进行立案调查。经调查，发现滴滴公司违法收集用户手机相册中的截图信息1196.39万条；过度收集用户剪切板信息、应用列表信息83.23亿条；过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；过度收集乘客评价代驾服务时、App后台运行时、手机连接视频记录仪设备时的精准位置（经纬度）信息1.67亿条；过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条；在乘客使用顺风车服务时频繁索取无关的“电话权限”；未准确、清晰说明用户设备信息等。

案例二：

某公司网络管理员李工对通过网络抓包对网络中的流量进行分析，总结发现网络上存在如图3-2所示的流量。

案例三：

某公司网站有如下服务：

http://duck/index.asp?category=food

其后台对应的web程序如下：

v_cat = request(“category”)

Sqlstr=”SELECT * FROM product WHERE Category=’”& v_cat &”’”

Set rs=conn.execute(sqlstr)

（1）能够查询到数据库product表的所有信息。

（2）存在SQL注入攻击漏洞；

（3）防范措施：启用WAF防火墙；设置应用程序最小化权限；过滤关键字或特殊字符；限制数据类型；正则表达式匹配传入参数；函数过滤转义；预编译语句；对服务器进行漏洞扫描并进行安全加固；数据库加密等等。

(1)在案例三中，如果一个恶意的用户提交特定的URL，如http://duck/index.asp?category=food'or 1=1–，这会被数据库解释为SQL查询的一部分。由于条件判断恒成立，因此能够查询到product表的所有信息。

(2)案例三的web程序存在SQL注入攻击漏洞。攻击者可以通过在输入字段中插入恶意的SQL代码，操纵后台数据库的查询，从而达到非法操作数据库的目的。

(3)针对上述攻击的防范方法有：

• 启用WAF防火墙：可以阻挡SQL注入等常见的网络攻击。
• 过滤关键字或特殊字符：防止攻击者在输入字段中插入恶意代码。
• 限制数据类型：限制用户输入的数据类型，减少注入攻击的可能性。
• 使用正则表达式匹配传入参数：对输入数据进行模式匹配，防止恶意输入。
• 函数过滤转义：对特殊字符进行转义处理，避免被解释为SQL代码。
• 预编译语句：使用预编译的SQL语句，可以防止SQL代码被注入。
• 对服务器进行漏洞扫描并进行安全加固：及时发现并修补安全漏洞。
• 数据库加密：保护数据库数据不被非法获取或篡改。