南开大学《攻防技术基础》在线作业01.pdfVIP

《攻防技术基础》在线作业

如果想要列出数据库用户,sqlmap下应该使用()参数。

A:dbs

B:users

C:current-user

D:dump

参考选项：B

渗透测试是通过(),来评估计算机网络系统安全的一种评估方法。

A:模拟恶意黑客的攻击方法

B:恶意黑客的攻击方法

C:安全测试的攻击方法

D:影响业务系统正常运行的攻击方法

参考选项：A

下面哪个选项可能是文件包含漏洞的利用方式()。

A:’and1=1

B:{{1*2}}=2

C:search=file:///etc/passwd

D:＜script＞alert(1)＜/script＞

参考选项：C

以下描述错误的是()。

A:漏洞是计算机系统本身存在的缺陷

B:漏洞的存在和利用都有一定的环境要求

C:漏洞的存在本身是有危害的

D:漏洞是一个全面综合的概念

参考选项：C

以下描述正确的是()。

A:软件漏洞危害性不大

B:软件漏洞具有隐蔽性

C:软件漏洞不存在长久性

D:软件漏洞影响不广

参考选项：B

以下有关安全测试的说法错误的是()。

A:针对文件处理软件和网络数据处理软件，构造畸形的文件结构数据和网络数

据包数据，开展测试，以发现程序中没有考虑到的畸形数据。

B:需要对所有的用户输入都进行严格的检测，以发现web应用中对输入限制和

过滤的不足。

1

C:有关路径的测试需要包含多种多样的路径表达方式，并测试路径的访问控制

机制。

D:异常处理的测试不需要做为测试内容。

参考选项：C

地址空间分布随机化ASLR(addressspacelayoutrandomization)是一项通过将

()随机化,从而使攻击者无法获得需要跳转的精确地址的技术。

A:物理地址

B:逻辑地址

C:虚拟地址

D:系统关键地址

参考选项：D

以下有关ROP说法正确的是()

A:ROP的全称为Return-orientedprogramming（返回导向编程），是一种新型

的基于代码复用技术的攻击。

B:ROP技术可以绕过DEP、ALSR和GS缓冲区溢出的检测防护技术。

C:ROP基本的思想是借助用户自己写的代码块。

D:ROP不允许攻击者从已有的库或可执行文件中提取指令片段。

参考选项：A

()是由于向程序的缓冲区中输入的数据超过其规定长度,造成缓冲区溢出,破坏

程序正常的堆栈,使程序执行其他指令。

A:设计错误漏洞

B:访问验证漏洞

C:配置错误漏洞

D:缓冲区溢出漏洞

参考选项：D

以下选项哪个不是漏洞产生的原因()。

A:小作坊式的软件开发

B:淡薄的安全思想

C:不完善的安全维护

D:重视软件安全测试

参考选项：D

下面哪个选项不是防御XSS攻击的()。

A:XSSFilter

B:NoscriptExtension

C:XssAuditor

D:Firebug

参考选项：D

2