- 1、本文档共4页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
web应用安全与渗透期末考试复习题
一、单选题
1、关于上传漏洞与解析漏洞,下列说法正确的是()
A、两个漏洞没有区别
B、只要能成功上传就一定能成功解析
C、从某种意义上来说,两个漏洞相辅相成
D、上传漏洞只关注文件名
2、能将 HTML文档从 Web服务器传送到 Web浏览器的传输协议是 ( )
A、 FTP B 、HCMP C、HTTP D 、ping
3、下列哪个函数不能导致远程命令执行漏洞( )
A system() B isset() C eval() D exec()
4、下列哪个是自动化 SQL注入工具( )
A、 nmap B 、 nessus C 、 msf D 、 sqlmap
5、HTTP状态码是反应 web请求结果的一种描述,以下状态码表示请求资源不存
在的是:()
A、 200 B 、 404 C 、 401 D 、 403
6、BurpSuite 是用于 Web应用安全测试工具,具有很多功能,其中能拦截并显
示及修改 http 消息的模块是()
A、 spider B 、 proxy C 、 intruder D 、 decoder
7 、以下属于一句话木马的是()
A 、<? @eval($_GET["code"])?> B 、<?php ($_GET["code"])?>
C、<?php @eval($_GET["code"])?> D 、<php eval($_GET["code"])>
8、黑客拿到用户的 cookie 后能做什么( )
A、能知道你访问过什么网站 B 、能从你的 cookie 中提取出帐号密码
C、能够冒充你的用户登录网站 D 、没有什么作用
9、Servlet 处理请求的方式为 ( ) 以运行的方式
A、以运行的方式 B、以线程的方式
C、以程序的方式 D、以调度的方式
10、以下哪个工具提供拦截和修改 HTTP数据包的功能()
A、Burpsuite B 、Hackbar C 、sqlmap D 、nmap
11、Brupsuite 中暴力破解的模块是哪个( )
A、proxy B 、intruder C 、reqeater D 、decoder
12、Brupsuite 中暴力截包改包的模块是哪个( )
A、proxy B 、intruder C 、reqeater D 、decoder
13、上传漏洞前端白名单校验中,用什么软件可以绕过 ( )
A、菜刀 B 、小葵 C 、nmap D 、burpsuite
14、Mssql 数据库的默认端口是哪个( )
A 、1433 B 、3306 C 、1521 D 、6379
15、下列对跨站脚本攻击( XSS)的解释最准确的是()
A 、引诱用户点击虚拟网络连接的一种攻击方法。
B、 构造精妙的关系数据库的结构化查询语言对数据库进行非法访问。
C、 一种很强大的木马攻击手段。
D 、将恶意代码嵌入到用户浏览器的 web页面中,从而达到恶意的目的。
16、防火墙的核心是()
A、 访问控制 B 、 网络协议 C 、 规则策略 D 、 网关控制
17、以下哪一项不属于 XSS跨站脚本漏洞的危害()
A、 钓鱼欺骗 B 、 身份盗用 C 、SQL数据泄露 D 、 网站挂马
18、在 SQL注入中,以下注入方式消耗时间最长的是()
A、 联合注入 B 、 报错注入 C 、 时间盲注 D 、 宽字节注入
19、使用 union 的 SQL注入的类型是()
A 、报错注入 B 、 布尔注入 C 、基于时间延迟注入 D 、 联合查询注入
20、在 mysql 数据库,下列哪个库保存了 mysql 所有的信息()
A、test B 、information_schema C 、performance_schema D 、mysql
21、利用解析漏洞时,有时需要进行抓包改包,使用到的工具是()
A、 sqlmap B 、 中国菜刀 C、 Burp Suite D 、啊 D注入工具
22、成功上传一句话木马后,使用什么工具进行连接()
A、 nmap B 、中国菜刀 C、 sqlmap D 、啊 D注入工具
23、把一句话木马如 xx.asp;.jpg 上传到服务器后,如果没有回显文件路径,
不属于寻找方法的是()
A、在上传完后可以通过右键复制图片地址
B、通过抓包工具进行抓包,看看有没有暴露上传路径
C、根据经验,尝试进行猜测(在后台没有重命名情况下)
D 、对目标网站进行端口扫描
24、使用菜刀连接一句话木马发生错误时,下列检查方法最不合适的是()
A、马上重传一句话木马 B 、通过在浏览器访问,查看是否被
成功解析
C、查看是否填入了正确的密码 D 、 在菜刀中查看是否选择了正确
脚本语言
25、在使用 Burp Suite 进行
文档评论(0)