web應(yīng)用安全與滲透期末考試復(fù)習(xí)題

1、web應(yīng)用安全與滲透期末考試復(fù)習(xí)題一、單選題1、關(guān)于上傳漏洞與解析漏洞，下列說(shuō)法正確的是（）A、兩個(gè)漏洞沒(méi)有區(qū)別B、只要能成功上傳就一定能成功解析C、從某種意義上來(lái)說(shuō)，兩個(gè)漏洞相輔相成D、上傳漏洞只關(guān)注文件名2、能將HTML文檔從Web服務(wù)器傳送到 Web瀏覽器的傳輸協(xié)議是（）A、 FTP B、HCMP C HTTPD、ping3、下列哪個(gè)函數(shù)不能導(dǎo)致遠(yuǎn)程命令執(zhí)行漏洞（）A system（） B isset（） C eval（） D exec（）4、下列哪個(gè)是自動(dòng)化SQL注入工具（）A、 nmapB、 nessus C、 msfD、 sqlmap5、HTTP狀態(tài)碼是反應(yīng)web請(qǐng)求結(jié)果的一種描述

2、，以下?tīng)顟B(tài)碼表示請(qǐng)求資源不 存在的是：（）A、200 B、404 C、401D、4036、BurpSuite是用于Web應(yīng)用安全測(cè)試工具，具有很多功能，其中能攔截并顯 示及修改http消息的模塊是（）A、 spiderB、 proxy C intruder D、 decoder 7、以下屬于一句話(huà)木馬的是（）A、 B、C D 8、黑客拿到用戶(hù)的cookie后能做什么（）A、能知道你訪(fǎng)問(wèn)過(guò)什么網(wǎng)站B、能從你的cookie中提取出帳號(hào)密碼C、能夠冒充你的用戶(hù)登錄網(wǎng)站D、沒(méi)有什么作用9、Servlet處理請(qǐng)求的方式為（）以運(yùn)行的方式A、以運(yùn)行的方式R以線(xiàn)程的方式C、以程序的方式D、以調(diào)度的方式10、

3、以下哪個(gè)工具提供攔截和修改 HTTP數(shù)據(jù)包的功能（）A、BurpsuiteB、HackbarC、sqlmapD、nmap11、Brupsuite中暴力破解的模塊是哪個(gè)（）A proxy B intruder C reqeaterD、 decoder12、Brupsuite中暴力截包改包的模塊是哪個(gè)（）A proxyB、 intruder C reqeaterD、 decoder13、上傳漏洞前端白名單校驗(yàn)中，用什么軟件可以繞過(guò) （）A、菜刀B、小葵 C nmapD、burpsuite14、Mssql數(shù)據(jù)庫(kù)的默認(rèn)端口是哪個(gè)（）A、1433B、3306C、1521D、637915、下列對(duì)跨站腳本攻

4、擊（XSS的解釋最準(zhǔn)確的是（）A、引誘用戶(hù)點(diǎn)擊虛擬網(wǎng)絡(luò)連接的一種攻擊方法。B、構(gòu)造精妙的關(guān)系數(shù)據(jù)庫(kù)的結(jié)構(gòu)化查詢(xún)語(yǔ)言對(duì)數(shù)據(jù)庫(kù)進(jìn)行非法訪(fǎng)問(wèn)。C、一種很強(qiáng)大的木馬攻擊手段。D、將惡意代碼嵌入到用戶(hù)瀏覽器的 web頁(yè)面中，從而達(dá)到惡意的目的。16、防火墻的核心是（）A、訪(fǎng)問(wèn)控制B、網(wǎng)絡(luò)協(xié)議 C、規(guī)則策略 D、網(wǎng)關(guān)控制17、以下哪一項(xiàng)不屬于XSS夸站腳本漏洞的危害（）A、釣魚(yú)欺騙B、身份盜用 C、SQL數(shù)據(jù)泄露 D、網(wǎng)站掛馬18、在SQL注入中，以下注入方式消耗時(shí)間最長(zhǎng)的是（）A、聯(lián)合注入 B、報(bào)錯(cuò)注入 C、時(shí)間盲注 D、寬字節(jié)注入19、使用union的SQL注入的類(lèi)型是（）A、報(bào)錯(cuò)注入 B、布爾注入

5、C、基于時(shí)間延遲注入D、聯(lián)合查詢(xún)注入20、在mysql數(shù)據(jù)庫(kù)，下列哪個(gè)庫(kù)保存了 mysql所有的信息（）A、test B information_schemaC、performance_schema D、mysql21、利用解析漏洞時(shí)，有時(shí)需要進(jìn)行抓包改包，使用到的工具是（）A、 sqlmap B、中國(guó)菜刀C、 Burp Suite D、啊D注入工具22、成功上傳一句話(huà)木馬后，使用什么工具進(jìn)行連接（）A、 nmapB、中國(guó)菜刀G sqlmapD、啊D注入工具23、把一句話(huà)木馬如；.jpg上傳到服務(wù)器后，如果沒(méi)有回顯文件路徑，不屬于尋 找方法的是（）A、在上傳完后可以通過(guò)右鍵復(fù)制圖片地址B、通過(guò)

6、抓包工具進(jìn)行抓包，看看有沒(méi)有暴露上傳路徑C、根據(jù)經(jīng)驗(yàn)，嘗試進(jìn)行猜測(cè)（在后臺(tái)沒(méi)有重命名情況下）D、對(duì)目標(biāo)網(wǎng)站進(jìn)行端口掃描24、使用菜刀連接一句話(huà)木馬發(fā)生錯(cuò)誤時(shí)，下列檢查方法最不合適的是（）A、馬上重傳一句話(huà)木馬R通過(guò)在瀏覽器訪(fǎng)問(wèn)，查看是否被成功解析C、查看是否填入了正確的密碼D、在菜刀中查看是否選擇了正確腳本語(yǔ)言25、在使用Burp S3te進(jìn)行截包操作中，必須要做的是什么（）A、配置burp s3te截包規(guī)則B、關(guān)閉目錄掃描工具C、配置好瀏覽器與Burp S3te的代理 D、勾選上Burp Suite中的intercept server responses26、一句話(huà)木馬，如：%eval re

7、quest（ pass ）%中，pass代表什么（）一句話(huà)木馬的連接密碼一句話(huà)密碼連接成功后回顯的提示C、一個(gè)不可變得標(biāo)志符號(hào)D、毫無(wú)意義的一個(gè)單詞27、黑客拿到用戶(hù)的cookie后能做什么（）A、能知道你訪(fǎng)問(wèn)過(guò)什么網(wǎng)站B、能從你的cookie中提取出帳號(hào)密碼C、能夠冒充你的用戶(hù)登錄網(wǎng)站D、沒(méi)有什么作用28、以下哪一項(xiàng)不屬于XSS夸站腳本漏洞的危害（）A釣魚(yú)欺騙 B身份盜用 C SQ嗷據(jù)泄露 D網(wǎng)站掛馬 29、使用union的SQL注入的類(lèi)型是（）A報(bào)錯(cuò)注入B布爾注入C基于時(shí)間延遲注入D聯(lián)合查詢(xún)注入 30、在mysql數(shù)據(jù)庫(kù)，下列哪個(gè)庫(kù)保存了 mysql所有的信息（）A test B info

8、rmation_schema C performance_schema D mysql二、填空題1、 webshell 可 以分為 三類(lèi)， 分另U 是： 和 02、Http響應(yīng)由三部分組成，分別是 、和 3、HTTP請(qǐng)求方法非常多，其中最最長(zhǎng)見(jiàn)的是 、 和 04、HTTP請(qǐng)求包括三部分，分別是： 、和5、SQL注入的類(lèi)型按照不同方式可分為不同類(lèi)型，但可歸結(jié)為兩類(lèi)，分別是和 06、XS所站腳本漏洞的類(lèi)型有： 、和。7、寫(xiě)出三個(gè)常見(jiàn)的自動(dòng)化 web安全工具： 、8、解析漏洞主要分為三類(lèi)，分別是 和 09、CSRFC擊比較常見(jiàn)白兩種方法是：和。10、常見(jiàn)的數(shù)據(jù)庫(kù)提權(quán)方法有： 和。三簡(jiǎn)答題1、闡述BurpSuite代理設(shè)置過(guò)程2、繞過(guò)上傳漏洞有哪些方法并闡述其使用方法。3、防止SQL注入有哪些