Web安全测试考试试题.docx

Web安全测试考试试题

一、单选题（共20题，每题2分）

1、以下哪种攻击方式不属于SQL注入攻击？（）

A联合查询注入

B报错注入

C缓冲区溢出攻击

D布尔盲注

2、在跨站脚本攻击（XSS）中，以下哪种类型的XSS攻击最为常见？（）

A反射型XSS

B存储型XSS

CDOM型XSS

D以上三种类型同样常见

3、以下哪个不是Web应用常见的认证方式？（）

A基于表单的认证

BHTTP基本认证

C数字证书认证

D邮件认证

4、以下哪种方法不能有效防止SQL注入攻击？（）

A对用户输入进行过滤和验证

B使用存储过程

C关闭数据库服务器的错误提示

D直接将用户输入拼接在SQL语句中

5、在Web安全中，“CSRF”代表的是什么？（）

A跨站请求伪造

B跨站脚本攻击

C缓冲区溢出

D目录遍历

6、以下哪个不是Web应用防火墙（WAF）的主要功能？（）

A阻止SQL注入攻击

B防止网络爬虫

C提供负载均衡

D过滤恶意数据包

7、以下哪种加密算法不适合用于Web应用中的数据加密？（）

AAES

BRSA

CMD5

DDES

8、当发现Web应用存在文件上传漏洞时，攻击者最有可能上传哪种类型的文件？（）

A图片文件

B文本文件

C可执行文件

D压缩文件

9、以下哪个HTTP响应头可以用于防止XSS攻击？（）

AContentType

BContentLength

CXFrameOptions

DServer

10、以下哪种情况可能导致Web应用出现目录遍历漏洞？（）

A对用户输入的文件路径没有进行严格的验证和过滤

B服务器配置错误，允许目录列表显示

C程序中使用了不安全的文件操作函数

D以上都是

11、在进行Web安全测试时，使用BurpSuite工具的主要目的是？（）

A模拟攻击

B漏洞扫描

C数据包分析

D以上都是

12、以下哪个不是常见的Web服务器软件？（）

AApache

BIIS

CNginx

DMySQL

13、以下哪种方法可以有效防止CSRF攻击？（）

A在请求中添加随机令牌

B对用户输入进行验证

C限制请求频率

D使用验证码

14、以下哪个不是Web应用常见的漏洞扫描工具？（）

ANessus

BAWVS

CSqlmap

DWireshark

15、当进行Web安全测试时，发现网站存在SSL证书错误，可能的原因是？（）

A证书过期

B证书与域名不匹配

C证书链不完整

D以上都是

16、以下哪种攻击方式可以获取Web服务器的管理员密码？（）

A暴力破解

B社会工程学攻击

C嗅探攻击

D以上都可以

17、在Web应用中，以下哪个不是常见的会话管理机制？（）

ACookie

BSession

CToken

DIP地址

18、以下哪种方法不能有效防止暴力破解攻击？（）

A增加密码复杂度

B限制登录尝试次数

C使用简单易记的密码

D增加验证码

19、以下哪个不是Web应用常见的授权漏洞？（）

A水平越权

B垂直越权

C未授权访问

DSQL注入

20、以下哪种工具可以用于Web应用的压力测试？（）

AJMeter

BLoadRunner

CApacheBench

D以上都是

二、多选题（共10题，每题3分）

1、以下属于Web应用常见漏洞的有？（）

ASQL注入

BXSS

CCSRF

D目录遍历

E文件上传漏洞

2、以下哪些是Web安全测试中常用的工具？（）

ABurpSuite

BNessus

CSqlmap

DWireshark

EMetasploit

3、以下哪些措施可以有效防止XSS攻击？（）

A对用户输入进行编码

B限制输入长度

C验证输入的格式

D设置HttpOnly属性

E过滤特殊字符

4、以下哪些是Web应用中常见的加密算法？（）

AAES

BRSA

CSHA-256

DMD5

EDES

5、以下哪些情况可能导致Web应用出现SQL注入漏洞？（）

A对用户输入的参数没有进行过滤

B将用户输入直接拼接在SQL语句中

C使用动态SQL语句

D数据库权限设置不当

E服务器配置错误

6、以下哪些是Web应用防火墙（WAF）的常见部署方式？（）

A串联部署

B并联部署

C旁路部署

D混合部署