web应用安全与渗透期末考试复习题.docx

web应用安全与渗透期末考试复习题 一、单选题 1、关于上传漏洞与解析漏洞，下列说法正确的是（） A、两个漏洞没有区别 B、只要能成功上传就一定能成功解析 C、从某种意义上来说，两个漏洞相辅相成 D、上传漏洞只关注文件名 2、能将 HTML文档从 Web服务器传送到 Web浏览器的传输协议是 ( ) A、 FTP B 、HCMP C、HTTP D 、ping 3、下列哪个函数不能导致远程命令执行漏洞（ ） A system() B isset() C eval() D exec() 4、下列哪个是自动化 SQL注入工具（ ） A、 nmap B 、 nessus C 、 msf D 、 sqlmap 5、HTTP状态码是反应 web请求结果的一种描述，以下状态码表示请求资源不存 在的是：（） A、 200 B 、 404 C 、 401 D 、 403 6、BurpSuite 是用于 Web应用安全测试工具，具有很多功能，其中能拦截并显 示及修改 http 消息的模块是（） A、 spider B 、 proxy C 、 intruder D 、 decoder 7 、以下属于一句话木马的是（） A 、<? @eval($_GET["code"])?> B 、<?php ($_GET["code"])?> C、<?php @eval($_GET["code"])?> D 、<php eval($_GET["code"])> 8、黑客拿到用户的 cookie 后能做什么（ ） A、能知道你访问过什么网站 B 、能从你的 cookie 中提取出帐号密码 C、能够冒充你的用户登录网站 D 、没有什么作用 9、Servlet 处理请求的方式为 ( ) 以运行的方式 A、以运行的方式 B、以线程的方式 C、以程序的方式 D、以调度的方式 10、以下哪个工具提供拦截和修改 HTTP数据包的功能（） A、Burpsuite B 、Hackbar C 、sqlmap D 、nmap 11、Brupsuite 中暴力破解的模块是哪个（ ） A、proxy B 、intruder C 、reqeater D 、decoder 12、Brupsuite 中暴力截包改包的模块是哪个（ ） A、proxy B 、intruder C 、reqeater D 、decoder 13、上传漏洞前端白名单校验中，用什么软件可以绕过 ( ) A、菜刀 B 、小葵 C 、nmap D 、burpsuite 14、Mssql 数据库的默认端口是哪个（ ） A 、1433 B 、3306 C 、1521 D 、6379 15、下列对跨站脚本攻击（ XSS）的解释最准确的是（） A 、引诱用户点击虚拟网络连接的一种攻击方法。 B、 构造精妙的关系数据库的结构化查询语言对数据库进行非法访问。 C、 一种很强大的木马攻击手段。 D 、将恶意代码嵌入到用户浏览器的 web页面中，从而达到恶意的目的。 16、防火墙的核心是（） A、 访问控制 B 、 网络协议 C 、 规则策略 D 、 网关控制 17、以下哪一项不属于 XSS跨站脚本漏洞的危害（） A、 钓鱼欺骗 B 、 身份盗用 C 、SQL数据泄露 D 、 网站挂马 18、在 SQL注入中，以下注入方式消耗时间最长的是（） A、 联合注入 B 、 报错注入 C 、 时间盲注 D 、 宽字节注入 19、使用 union 的 SQL注入的类型是（） A 、报错注入 B 、 布尔注入 C 、基于时间延迟注入 D 、 联合查询注入 20、在 mysql 数据库，下列哪个库保存了 mysql 所有的信息（） A、test B 、information_schema C 、performance_schema D 、mysql 21、利用解析漏洞时，有时需要进行抓包改包，使用到的工具是（） A、 sqlmap B 、 中国菜刀 C、 Burp Suite D 、啊 D注入工具 22、成功上传一句话木马后，使用什么工具进行连接（） A、 nmap B 、中国菜刀 C、 sqlmap D 、啊 D注入工具 23、把一句话木马如 xx.asp;.jpg 上传到服务器后，如果没有回显文件路径， 不属于寻找方法的是（） A、在上传完后可以通过右键复制图片地址 B、通过抓包工具进行抓包，看看有没有暴露上传路径 C、根据经验，尝试进行猜测（在后台没有重命名情况下） D 、对目标网站进行端口扫描 24、使用菜刀连接一句话木马发生错误时，下列检查方法最不合适的是（） A、马上重传一句话木马 B 、通过在浏览器访问，查看是否被 成功解析 C、查看是否填入了正确的密码 D 、 在菜刀中查看是否选择了正确 脚本语言 25、在使用 Burp Suite 进行