web应用安全与渗透期末考试复习题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
web应用安全与渗透期末考试复习题
一、单选题
1、关于上传漏洞与解析漏洞,下列说法正确的是()
A、两个漏洞没有区别
B、只要能成功上传就一定能成功解析
C、从某种意义上来说,两个漏洞相辅相成
D、上传漏洞只关注文件名
2、能将HTML文档从Web服务器传送到Web浏览器的传输协议是( )
A、 FTP
B、HCMP
C、HTTP
D、ping
3、下列哪个函数不能导致远程命令执行漏洞()
A system()
B isset()
C eval()
D exec()
4、下列哪个是自动化SQL注入工具()
A、 nmap
B、 nessus
C、 msf
D、 sqlmap
5、HTTP状态码是反应web请求结果的一种描述,以下状态码表示请求资源不存在的是:()
A、 200
B、 404
C、 401
D、 403
6、BurpSuite是用于Web应用安全测试工具,具有很多功能,其中能拦截并显示及修改http消息的模块是()
A、 spider
B、 proxy
C、 intruder
D、 decoder
7 、以下属于一句话木马的是()
A、 @eval($_GET["code"])?>
B、
C、
D、
8、黑客拿到用户的cookie后能做什么()
A、能知道你访问过什么网站
B、能从你的cookie中提取出帐号密码
C、能够冒充你的用户登录网站
D、没有什么作用
9、Servlet处理请求的方式为( )以运行的方式
A、以运行的方式
B、以线程的方式
C、以程序的方式
D、以调度的方式
10、以下哪个工具提供拦截和修改HTTP数据包的功能()
A、Burpsuite
B、Hackbar
C、sqlmap
D、nmap
11、Brupsuite中暴力破解的模块是哪个()
A、proxy
B、intruder
C、reqeater
D、decoder
12、Brupsuite中暴力截包改包的模块是哪个()
A、proxy
B、intruder
C、reqeater
D、decoder
13、上传漏洞前端白名单校验中,用什么软件可以绕过( )
A、菜刀
B、小葵
C、nmap
D、burpsuite
14、Mssql数据库的默认端口是哪个()
A 、1433 B、3306 C、1521 D、6379
15、下列对跨站脚本攻击(XSS)的解释最准确的是()
A 、引诱用户点击虚拟网络连接的一种攻击方法。
B、构造精妙的关系数据库的结构化查询语言对数据库进行非法访问。
C、一种很强大的木马攻击手段。
D 、将恶意代码嵌入到用户浏览器的web页面中,从而达到恶意的目的。
16、防火墙的核心是()
A、访问控制
B、网络协议
C、规则策略
D、网关控制
17、以下哪一项不属于XSS跨站脚本漏洞的危害()
A、钓鱼欺骗
B、身份盗用
C、SQL数据泄露
D、网站挂马
18、在SQL注入中,以下注入方式消耗时间最长的是()
A、联合注入
B、报错注入
C、时间盲注
D、宽字节注入
19、使用union 的SQL注入的类型是()
A 、报错注入 B、布尔注入 C 、基于时间延迟注入 D、联合查询注入
20、在mysql数据库,下列哪个库保存了mysql所有的信息()
A、 test
B、 information_schema
C、 performance_schema
D、mysql
21、利用解析漏洞时,有时需要进行抓包改包,使用到的工具是()
A、 sqlmap
B、中国菜刀
C、 Burp Suite
D、啊D注入工具
22、成功上传一句话木马后,使用什么工具进行连接()
A、 nmap
B、中国菜刀
C、 sqlmap
D、啊D注入工具
23、把一句话木马如xx.asp;.jpg上传到服务器后,如果没有回显文件路径,不属于寻找方法的是()
A、在上传完后可以通过右键复制图片地址
B、通过抓包工具进行抓包,看看有没有暴露上传路径
C、根据经验,尝试进行猜测(在后台没有重命名情况下)
D、对目标网站进行端口扫描
24、使用菜刀连接一句话木马发生错误时,下列检查方法最不合适的是()
A、马上重传一句话木马
B、通过在浏览器访问,查看是否被成功解析
C、查看是否填入了正确的密码
D、在菜刀中查看是否选择了正确脚本语言
25、在使用Burp Suite进行截包操作中,必须要做的是什么()
A、配置burp suite截包规则
B、关闭目录扫描工具
C、配置好浏览器与Burp Suite的代理
D、勾选上Burp Suite 中的intercept server responses
26、一句话木马,如:<%eval request(“pass”)%>中,“pass”代表什么()
A、一句话木马的连接密码
B、一句话密码连接成功后回显的提示
C、一个不可变得标志符号
D、毫无意义的一个单词
27、黑客拿到用户的cookie后能做什么 ( )
A、能知道你访问过什么网站
B、能从你的cookie中提取出帐号密码
C、能够冒充你的用户登录网站
D、没有什么作用
28、以下哪一项不属于XSS跨站脚本漏洞的危害()
A 钓鱼欺骗
B 身份盗用
C SQL数据泄露
D 网站挂马
29、使用union 的SQL注入的类型是()
A 报错注入
B 布尔注入
C 基于时间延迟注入
D 联合查询注入
30、在mysql数据库,下列哪个库保存了mysql所有的信息()
A test
B information_schema
C performance_schema
D mysql