试题二（共15分）

阅读下列说明，回答问题1至问题6，将解答填入答题纸的对应栏内。

【说明】

按照网络安全测评的实施方式，测评主要包括安全功能检测、安全管理检测、代码安全审查、安全渗透、信息系统攻击测试等。王工调阅了部分后台处理代码，发现密码验证阶段存在安全漏洞，代码如下：

#define PASSWORD "1234567"

int verify_password (char *password)

{

   int authenticated;

   char buffer[8];

   authenticated=strcmp(password,PASSWORD);

   strcpy(buffer,password);

   return authenticated;

}

main()

{

   int valid_flag=0;

   char password[1024];

   while(1)

   {

      printf("please input password: ");

      scanf("%s", password);

      valid_flag=verify_password(password);

      if(valid_flag)

      {

         printf("incorrect password!\n\n");

      }

      else

      {

         printf("Congratulation! You have passed the verification!\n");

         break;

      }

   }

}

模糊测试是一种黑盒测试技术，因为它不需要了解被测程序的内部结构和实现细节。在问题3中，小王的测试方法是通过向系统输入大量随机或特制的数据，并监控系统的异常反应来检测安全漏洞。这种方法关注的是系统的输入和输出，而不是内部结构或实现逻辑。因此，它是一种黑盒测试。关于是否存在误报，模糊测试的结果通常是可靠的。如果程序在接收到特定输入时表现出异常，那么这表明程序确实存在问题。在这种情况下，不存在误报。当然，任何测试方法都不能保证100%的准确率，但在合理应用的情况下，模糊测试是一种有效的安全漏洞检测方法。