网络安全技术实践教程（微课版） 第七章习题及答案.docx

第七章网络疆域的攻守之道——Web攻防基础

任务7.1跨站脚本攻击漏洞

1.单选题

(1)(D)不是XSS的危害。

A.窃取管理员帐号或CookieB.网站挂马

C.发送广告或者垃圾信息D.非法上传Webshell

(2)(B)不是XSS类型。

A.反射型XSSB.POSTXSS

C.存储型XSSD.DOMXSS

(3)(C)不是XSS可能发生的场景。

A.在HTML标签中输出B.在HTML属性中输出

C.在数据库中输出D.在JavaScript的属性中输出

(4)(A)也称为非持久性XSS漏洞，是最容易出现的一种XSS漏洞。

A.反射型XSS漏洞B.存储型XSS漏洞

C.基于DOM的XSS漏洞D.cookie注入漏洞

(5)(B)又被称为持久性XSS，是最危险的一种跨站脚本。

A.反射型XSS漏洞B.存储型XSS漏洞

C.基于DOM的XSS漏洞D.cookie注入漏洞

2.操作题

略

任务7.2文件上传漏洞

1.单选题

（1）(C)不是上传漏洞的防范机制。

A.文件上传的目录设置为不可执行B.判断文件类型

C.截断上传D.使用随机数改写文件名和文件路径

（2）IIS6.0支持WebDav，攻击者可能通过（D）方法向服务器上传危险脚本文件。

A.GETB.POSTC.HEADD.PUT

（3）使用(A)可以绕过客户端验证。

A.中间人攻击B.拒绝服务攻击

C.ARP攻击D.数据库注入攻击

（4）(D)就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也称之为网页后门。

A.python文件B.javascript文件C.C语言源代码D.Webshell

（5）中国菜刀采用(A)，服务端只需要简单的一行代码，客户端即可对服务器端进行文件管理、数据库管理。

A.C/S模式B.B/S模式C.JAVA模式D.MVC模式

2.操作题

略

任务7.3命令执行漏洞

1.选择题

（1）(D)不是命令连接符号。

A.B.||C.|D.%

（2）(B)是PHP提供的用来执行外部应用程序函数。

A.floor()B.system()C.explode()D.time()

（3）PHP的(A)函数存在代码执行漏洞。

A.array_map()B.sort()

C.asort()D.ksort()

（4）(D)管道符只有在前面命令执行成功了才执行后面的命令。

A.|B.||C.D.

（5）(C)管道符前面命令执行后接着执行后面的命令。

A.|B.||C.D.

2.操作题

略

任务7.4文件包含漏洞

1.选择题

（1）(A)不是apache日志记录的内容。

A.客户端IP地址B.请求的时间

C.响应的HTTP状态码|D.客户端MAC地址

（2）(A)方法不能利用文件包含漏洞植入Webshell。

A.利用file协议远程植入Webshell

B.本地包含配合文件上传植入Webshell

C.使用PHP封装协议植入Webshell

D.通过包含Apache日志文件，植入Webshell

（3）利用文件包含漏洞不能做(D)任务。

A.读取敏感文件内容B.执行脚本本地内容

C.植入WebshellD.盗取客户cookie

2．操作题

略

任务7.5请求伪造漏洞

1.选择题

（1）下列关于SSRF漏洞危害描述错误的是(B)。

A.可以利用SSRF漏洞进行内网端口扫描

B.可以利用SSRF漏洞直接获取目标服务器操作权限

C.可以利用SSRF漏洞攻击内网Web应用

D.可以读取本地文件

（2）下列选项中，SSRF漏洞的全称是(C)。

A.请求伪造漏洞B.跨站脚本攻击

C.服务端请求伪造漏洞D.反序列化漏洞

（3）下列选项中，如果想探测主机的MYSQL数据库使用的端口是(C)。

A.80B.443C.3306D.3389

（4）下列选项中，