通遼稅務大比武競賽測試題

1、通遼稅務大比武競賽復制基本信息：矩陣文本題 *姓名：_1. 以下哪些是HTTP請求類型？ 單選題 *GET、POST、PUT(正確答案)Request、POST、PUTGET、Response、PUTRequest、POST、Response2. 關于SQL注入說法不正確的是 單選題 *最普遍的注入漏洞是由于參數(shù)值過濾不嚴導致的SQL注入存在于靜態(tài)網(wǎng)頁中(正確答案)使用WAF設備是防御SQL注入的方法之一通過數(shù)據(jù)庫加密是防御SQL注入的方法之一3. http請求訪問狀態(tài)404，代表什么意思。 單選題 *服務器找不到請求的網(wǎng)頁(正確答案)服務器成功返回網(wǎng)頁服務器拒絕請求網(wǎng)關或者代理工作的服務器嘗

2、試執(zhí)行請求時，從上游服務器接收到無效的響應4. http響應分為幾個組成部分？ 單選題 *2個，包含狀態(tài)行、消息報頭3個，包含狀態(tài)行、消息報頭、響應正文(正確答案)4個，包含狀態(tài)行、狀態(tài)碼、消息報頭、響應正文5個，包含狀態(tài)行、狀態(tài)碼、消息報頭、響應正文、響應碼5. 在SQLMAP中，語法python c:sqlmapsqlmap.py -u http:/localhost/Less-8/?id=1 -dbs“-u”的作用 單選題 *指定掃描方式指定掃描的URL(正確答案)指定掃描軟件指定掃描的時間6. 請問以下場景最終執(zhí)行了什么命令？最后構造并提交：/ex1.php?dir= |cat /et

3、c/passwd 單選題 *dir= |cat /etc/passwdls -al |cat /etc/passwd(正確答案)dir -al |cat /etc/passwdls - |cat /etc/passwd7. 下面關于文件上傳漏洞說法錯誤的是？ 單選題 *文件上傳以后，通過對上傳文件進行隨機命名，是防御文件上傳漏洞的方法之一在文件上傳處只限定用戶傳輸php文件，拒絕上傳其他文件，這樣可以避免文件上傳漏洞(正確答案)由于文件上傳功能實現(xiàn)代碼沒有嚴格限制用戶上傳的文件后綴以及文件類型，導致攻擊者能夠向某個可通過Web訪問的目錄上傳惡意文件文件上傳漏洞可以通過黑白名單機制過濾上傳的文件

4、，是防御文件上傳漏洞的方法之一8. 以下常見的上傳測試點說法錯誤的是？ 單選題 *應用程序上傳功能（如上傳頭像、附件上傳等）用戶可控的輸入點或者參數(shù)（頁面POST表單部分、url參數(shù)、sql注入點等）HTTP開啟的方法（如WebDAV）等插入附件不屬于上傳文件，所以不會造成文件上傳漏洞(正確答案)9. 在IIS6.0下，cimer.asp;jpg會被當成什么格式來解析？ 單選題 *jpgasp(正確答案)gif文件格式錯誤，不會解析10. XSS攻擊分為幾種類型 單選題 *反射型、存儲型、DOM(正確答案)反射型、存儲型、COM注入型、存儲型、DOM注入型、反射型、DOM11. 已知隱寫術是關

5、于信息隱藏，即不讓計劃的接收者之外的任何人知道信息的傳遞事件（而不只是信息的內容）的一門技巧與科學。那么下面哪些方式不是隱寫方式 單選題 *圖片隱寫音頻隱寫密碼編碼(正確答案)office文件密碼12. 文件隱寫中關于壓縮包的說法正確的是 單選題 *可以嘗試使用爆破的方式(正確答案)一定是使用了偽加密binwalk無法打開偽加密文件字典和掩碼的攻擊效率高13. 流量分析中常見的協(xié)議有 單選題 *TCP（傳輸控制協(xié)議）UDP（用戶數(shù)據(jù)報協(xié)議）DHCP（動態(tài)主機配置協(xié)議）以上都有(正確答案)14. 在密碼學中，需要被變換的原消息被稱為什么？ 單選題 *密文密鑰明文(正確答案)算法15. 關于SSRF說法正確的是 單選題 *利用file協(xié)議讀取本地文件(正確答案)不能對WEB應用進行指紋識別，但能訪問默認文件夾攻擊內外網(wǎng)的WEB應用不包括sqli以上都對16. 傳輸控制協(xié)議是 單選題 *udptcp(正確答案)arpdhcp選項217. MySQL中用來設置查詢的是：單選題 *select(正確答案)fromwhereunion18. 以下哪項不是web類攻擊（） 單選題 *SQL注入ARP欺騙(正確答案)XSS攻擊CSRF攻擊19. 不是最新木馬所