2025年通信工程师SQL注入、XSS等Web应用层攻击手法与协议层防御专题试卷及解析.pdfVIP

2025年通信工程师SQL注入、XSS等WEB应用层攻击手法与协议层防御专题试卷及解析1

2025年通信工程师SQL注入、XSS等Web应用层攻击

手法与协议层防御专题试卷及解析

2025年通信工程师SQL注入、XSS等Web应用层攻击手法与协议层防御专题试

卷及解析

第一部分：单项选择题（共10题，每题2分）

1、以下哪种SQL注入技术利用数据库报错信息来获取敏感数据？

A、联合查询注入

B、布尔盲注

C、报错注入

D、时间盲注

【答案】C

【解析】正确答案是C。报错注入是利用数据库在处理错误查询时返回的报错信息

来获取敏感数据的技术。攻击者通过构造特殊的SQL语句，使数据库在执行过程中产

生错误，并在错误信息中包含所需数据。A选项联合查询注入是通过UNION操作符将

恶意查询与正常查询结果合并返回；B选项布尔盲注是通过页面响应的真假状态推断

数据；D选项时间盲注是通过数据库响应时间差异推断数据。知识点：SQL注入攻击

技术分类。易错点：容易混淆不同SQL注入技术的实现原理和利用条件。

2、在XSS攻击中，哪种类型的攻击代码不会立即执行，而是存储在目标服务器上，

当其他用户访问时才会触发？

A、反射型XSS

B、存储型XSS

C、DOM型XSS

D、基于文件上传的XSS

【答案】B

【解析】正确答案是B。存储型XSS（也称为持久型XSS）是指攻击代码被存储在

目标服务器上（如数据库、消息板、评论区等），当其他用户访问包含这些恶意代码的

页面时，代码会在用户浏览器中执行。A选项反射型XSS是攻击代码通过URL参数传

递，服务器立即反射给用户执行，不存储在服务器上；C选项DOM型XSS是攻击代

码修改了页面的DOM结构，不经过服务器处理；D选项基于文件上传的XSS是通过

上传包含恶意代码的文件实现攻击，但执行方式可能是存储型或反射型。知识点：XSS

攻击类型及特点。易错点：容易混淆不同类型XSS的执行方式和存储位置。

3、以下哪种HTTP头部字段可以有效防止点击劫持攻击？

A、XFrameOptions

B、ContentSecurityPolicy

2025年通信工程师SQL注入、XSS等WEB应用层攻击手法与协议层防御专题试卷及解析2

C、XXSSProtection

D、StrictTransportSecurity

【答案】A

【解析】正确答案是A。XFrameOptions头部字段用于指示浏览器是否允许页面在、

或中显示，可以有效防止点击劫持攻击。它可以设置为DENY（完全禁止）、SAMEORI-

GIN（只允许同源页面嵌入）或ALLOWFROMuri（允许指定来源的页面嵌入）。B选

项ContentSecurityPolicy是内容安全策略，可以限制资源加载来源，防止XSS等攻击；

C选项XXSSProtection是浏览器内置的XSS过滤器；D选项StrictTransportSecurity

用于强制使用HTTPS连接。知识点：Web安全头部字段及其作用。易错点：容易混淆

不同安全头部的主要防护目标。

4、在CSRF（跨站请求伪造）攻击中，以下哪种防御措施不是基于令牌（Token）

的机制？

A、同步令牌模式

B、双重提交Cookie

C、验证码

D、SameSiteCookie属性

【答案】D

【解析】正确答案是D。SameSiteCookie属性通过设置Cookie的SameSite属性

（Strict、Lax或None）来限制第三方网站发送Cookie，从而防止CSRF攻击，它不是

基于令牌的机制。A选项同步令牌模式是在表单中嵌入服务器生成的随机令牌，提交时

验证令牌有效性；B选项双重提交Cookie是将令牌同时存储在Cookie和表单中，提交

时比对两者是否一致；C选项验证码要求用户输入随机生成的验证码，确保操作是用户

主动进行的。知识点：CSRF攻击防御机制。易错点：容易混淆不同CSRF防御机制的

实现原理。

5、以下哪种协议层防御技术可以防止中间人攻击和数据篡改？