2016年信息安全管理与评估补充题.docxVIP

信息安全管理与评估补充题1.配置靶机WebServ2003的DHCP功能，能够分配IP的范围为172.19.X.X(111~150)，XP客户端申请IP地址，将第二阶段和第四的数据包类型作为Flag值提交,格式为:F1-F2；2.使用渗透机攻击WebServ2003，进行DHCP地址池耗尽攻击，把使用中的IP地址数比例作为Flag提交；3.进入loginAuth.php程序，修改PHP源程序，使之可以抵御SQL注入，并填补空缺处内容，将填补内容作为Flag提交，格式为F1|F2|F3；4.再次对该任务loginAuth.php页面注入点进行渗透测试，验证此次利用任意用户进行SQL注入渗透测试无效，并将回显提示信息作为Flag提交。5.Web继续访问WebServ2003服务器，/-Employee Information Query，分析该页面源程序，找到提交的变量名，并作为Flag提交。6. Web继续访问WebServ2003服务器，/-Employee Information Query，分析该页面源程序，将表单提交方式作为Flag提交。7. Web继续访问WebServ2003服务器，/-Employee Information Query，分析该页面源程序，表单提交后跳转页面的路径作为Flag提交。8.对Employee Information Query页面注入点进行渗透测试，根据输入“%”以及“_”的返回结果确定是注入点，并将显示结果倒数第三行内容作为Flag提交；9.通过对该任务题目5页面注入点进行SQL注入渗透测试，删除WebServ2003服务器的C:\目录下的1.txt文档，并将注入代码作为Flag提交。 ‘exec master.dbo.xp_cmdshell ‘del c:\1.txt’—10.进入WebServ2003服务器的C:\AppServ\www目录，找到QueryCtrl.php程序，分析并修改PHP源程序，将‘%’替换为‘\%’,‘_’替换为‘\_’使之可以抵御SQL注入渗透测试，并将修改后新增语句内容作为Flag提交。格式为F1-F2-F3…11.再次对该任务题目5页面注入点进行渗透测试，验证此次利用注入点对该WebServer进行SQL注入渗透测试无效，并将验证过程截图。将系统出现的错误提示作为Flag提交。12.进入WebServ2003服务器，禁用系统存储过程可以抵御SQL注入渗透测试，将禁用系统存储的语句作为Flag提交。格式为Y1-Y2-Y3-Y4...13.进入/- Employee Message Board-Display Message页面，再次对页面注入点进行渗透测试，调用存储过程删除WebServ2003服务器的C:\目录下的1.txt文档，将页面提示第一个字符串作为Flag提交；14.进入/- Employee Message Board-Display Message页面进行XSS渗透测试，循环弹框Hacker!,根据该页面的显示，确定是注入点，并将构造的注入代码作为Flag提交。15.通过IIS搭建网站（/），并通过渗透机生成木马程序TrojanHorse.exe，将使用的工具和模块路径作为Flag提交。格式为{F1F2} 16.对该任务题目1页面注入点进行渗透测试，使/- Employee Message Board-Display Message页面的访问者执行网站（/）中的木马程序：/TrojanHorse.exe，并将注入代码作为Flag提交。 17.进入WebServ2003服务器的C:\AppServ\www目录，找到insert.php程序，分析并修改PHP源程序，使用‘{’替‘’、‘}’替换‘’,使之可以抵御XSS渗透测试，并将需要使用的函数和增加语句作为Flag提交。格式为[F1/F2]18.再次执行第16题注入渗透攻击，进入后台数据库中存储内容作为Flag提交。19.Web访问DCST中的WebServ2003服务器，/- Shopping Hall，分析该页面源程序，找到最后一次提交的变量名和值作为Flag提交。20.对该任务题目19页面注入点进行渗透测试，使/- Employee Message Board-Display Message页面的访问者向页面ShoppingProcess.php提交参数goods=cpuquantity=10000，查看/-PurchasedGoods.php页面，并将注入代码作为Flag提交。 scriptdocument.location=http://X.X.X.X/ShoppingProcess.php?goods=cpuquantity=10000; /script21.进入WebServ20