83.Ryan正在考慮在他的Web應用程式測試程式中使用模糊測試。那麼Ryan在做決策時應考慮模糊測試的以下哪些限制？

A:
他們經常只發現簡單的錯誤。
回答錯誤

B:
測試人員必須手動生成輸入。

C:
模糊測試可能無法完全覆蓋程式碼。
正確答案

D:
模糊測試無法重現錯誤。

```解析：
這是書上原話，我記錯了。
模糊測試通常不能完全覆蓋程式碼，一般僅限於檢測不涉及複雜業務的簡單漏洞。
A選項相比於C選項，C選項更優，因為A選項有時會發現重大漏洞也說不定。

89.Saria需要編寫程式碼審查建議書，並希望確保審閱者考慮到其組織應用程式背後的業務邏輯。她應該在RFP中指定什麼型別的程式碼審閱？

A:
靜態

B:
模糊

C:
手工
正確答案

D:
動態
回答錯誤

```解析：
這題主要是考審查程式碼的特點
靜態：不執行程式碼，一般使用工具來檢查程式碼。
動態：通過執行軟體來使用工具檢查軟體有沒有錯誤和漏洞。
靜態和動態都是程式碼審計，為了能夠檢查漏洞和執行正常。
模糊：模糊也是一種動態測試，但是它像軟體提供預期之外的輸入來測試軟體執行狀況。
手工：為了測試程式碼是否符合法律，業務邏輯的測試，需要一行一行的進行測試。邏輯漏洞只有手工測試才能測出來。

90.在應用程式威脅建模中使用的什麼型別的圖表，會包括惡意使用者以及緩解和威脅等描述？

A:
威脅樹

B:
STRIDE圖
回答錯誤

C:
誤用案例圖
正確答案

D:
DREAD圖
解析：
STRIDE模型，屬於威脅建模模型的威脅分類方案，包括6個部分：欺騙，篡改，否認，資訊洩露，拒絕服務，特權提升。這6個威脅中沒有包括惡意使用者的描述

99.NIST指定了四個攻擊階段步驟：獲取訪問許可權、升級特權、系統瀏覽和安裝額外工具。一旦攻擊者安裝額外工具，滲透測試人員通常會返回到什麼階段？

A:
發現
回答錯誤

B:
獲得訪問許可權
正確答案

C:
提升特權

D:
系統瀏覽
解析：
錯這道題我是不熟悉滲透測試的目的
滲透測試：安全工程師模擬黑客，在合法範圍內，通過資訊收集，漏洞挖掘，資訊提權的方式