web应用安全与渗透期末考试复习题Word文档下载推荐.docx
《web应用安全与渗透期末考试复习题Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《web应用安全与渗透期末考试复习题Word文档下载推荐.docx(4页珍藏版)》请在冰点文库上搜索。
4、下列哪个是自动化SQL注入工具()
A、nmapB、nessusC、msfD、sqlmap
5、HTTP状态码是反应web请求结果的一种描述,以下状态码表示请求资源不存在的是:
()
A、200B、404C、401D、403
6、BurpSuite是用于Web应用安全测试工具,具有很多功能,其中能拦截并显示及修改http消息的模块是()
A、spiderB、proxyC、intruderD、decoder
7、以下属于一句话木马的是()
A、<
?
@eval($_GET["
code"
])?
>
B、<
php($_GET["
C、<
php@eval($_GET["
D、<
phpeval($_GET["
])>
8、黑客拿到用户的cookie后能做什么()
A、能知道你访问过什么网站B、能从你的cookie中提取出帐号密码
C、能够冒充你的用户登录网站D、没有什么作用
9、Servlet处理请求的方式为()以运行的方式
A、以运行的方式 B、以线程的方式
C、以程序的方式 D、以调度的方式
10、以下哪个工具提供拦截和修改HTTP数据包的功能()
A、BurpsuiteB、HackbarC、sqlmapD、nmap
11、Brupsuite中暴力破解的模块是哪个()
A、proxyB、intruderC、reqeaterD、decoder
12、Brupsuite中暴力截包改包的模块是哪个()
13、上传漏洞前端白名单校验中,用什么软件可以绕过()
A、菜刀B、小葵C、nmapD、burpsuite
14、Mssql数据库的默认端口是哪个()
A、1433B、3306C、1521D、6379
15、下列对跨站脚本攻击(XSS)的解释最准确的是()
A、引诱用户点击虚拟网络连接的一种攻击方法。
B、构造精妙的关系数据库的结构化查询语言对数据库进行非法访问。
C、一种很强大的木马攻击手段。
D、将恶意代码嵌入到用户浏览器的web页面中,从而达到恶意的目的。
16、防火墙的核心是()
A、访问控制B、网络协议C、规则策略D、网关控制
17、以下哪一项不属于XSS跨站脚本漏洞的危害()
A、钓鱼欺骗B、身份盗用C、SQL数据泄露D、网站挂马
18、在SQL注入中,以下注入方式消耗时间最长的是()
A、联合注入B、报错注入C、时间盲注D、宽字节注入
19、使用union的SQL注入的类型是()
A、报错注入B、布尔注入C、基于时间延迟注入D、联合查询注入
20、在mysql数据库,下列哪个库保存了mysql所有的信息()
A、testB、information_schemaC、performance_schemaD、mysql
21、利用解析漏洞时,有时需要进行抓包改包,使用到的工具是()
A、sqlmapB、中国菜刀C、BurpSuiteD、啊D注入工具
22、成功上传一句话木马后,使用什么工具进行连接()
A、nmapB、中国菜刀C、sqlmapD、啊D注入工具
23、把一句话木马如xx.asp;
.jpg上传到服务器后,如果没有回显文件路径,不属于寻找方法的是()
A、在上传完后可以通过右键复制图片地址
B、通过抓包工具进行抓包,看看有没有暴露上传路径
C、根据经验,尝试进行猜测(在后台没有重命名情况下)
D、对目标网站进行端口扫描
24、使用菜刀连接一句话木马发生错误时,下列检查方法最不合适的是()
A、马上重传一句话木马B、通过在浏览器访问,查看是否被成功解析
C、查看是否填入了正确的密码D、在菜刀中查看是否选择了正确脚本语言
25、在使用BurpSuite进行截包操作中,必须要做的是什么()
A、配置burpsuite截包规则B、关闭目录扫描工具
C、配置好浏览器与BurpSuite的代理D、勾选上BurpSuite中的interceptserverresponses
26、一句话木马,如:
<
%evalrequest(“pass”)%>
中,“pass”代表什么()
A、一句话木马的连接密码
B、一句话密码连接成功后回显的提示
C、一个不可变得标志符号
D、毫无意义的一个单词
27、黑客拿到用户的cookie后能做什么()
28、以下哪一项不属于XSS跨站脚本漏洞的危害()
A钓鱼欺骗B身份盗用CSQL数据泄露D网站挂马
29、使用union的SQL注入的类型是()
A报错注入B布尔注入C基于时间延迟注入D联合查询注入
30、在mysql数据库,下列哪个库保存了mysql所有的信息()
AtestBinformation_schemaCperformance_schemaDmysql
二、填空题
1、webshell可以分为三类,分别是:
、和。
2、Http响应由三部分组成,分别是、和。
3、HTTP请求方法非常多,其中最最长见的是、、和。
4、HTTP请求包括三部分,分别是:
、和。
5、SQL注入的类型按照不同方式可分为不同类型,但可归结为两类,分别是和。
6、XSS跨站脚本漏洞的类型有:
7、写出三个常见的自动化web安全工具:
、、。
8、解析漏洞主要分为三类,分别是、和。
9、CSRF攻击比较常见的两种方法是:
和。
10、常见的数据库提权方法有:
和。
三简答题
1、阐述BurpSuite代理设置过程。
2、绕过上传漏洞有哪些方法并阐述其使用方法。
3、防止SQL注入有哪些方法,列举四个。
4、XSS的高级利用有哪些,列举四个。
5、请阐述命令执行漏洞的原理。
6、结合XSS跨站脚本原理,说明其三种类型的区别。
7、请说明IIS解析漏洞产生的原因。
8、根据所学知识,阐述SQL注入的原理。
9、请阐述HTTP协议与HTTPS协议的区别
如有侵权请联系告知删除,感谢你们的配合!
升级会员 