2025年信息系统安全专家Web应用目录遍历与路径穿越漏洞专题试卷及解析.pdfVIP

2025年信息系统安全专家WEB应用目录遍历与路径穿越漏洞专题试卷及解析1

2025年信息系统安全专家Web应用目录遍历与路径穿越

漏洞专题试卷及解析

2025年信息系统安全专家Web应用目录遍历与路径穿越漏洞专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在Web应用中，目录遍历漏洞（DirectoryTraversal）的主要成因是什么？

A、未对用户输入的文件名进行充分过滤和验证

B、数据库查询语句拼接不当

C、会话管理机制存在缺陷

D、跨站脚本攻击（XSS）防护不足

【答案】A

【解析】正确答案是A。目录遍历漏洞的根本原因是应用程序未能正确地过滤或验

证用户提供的文件路径输入，导致攻击者可以通过”../“等序列访问到Web根目录之外

的文件。B选项描述的是SQL注入漏洞，C选项是会话劫持问题，D选项是XSS漏

洞，均与目录遍历无关。知识点：输入验证漏洞原理。易错点：容易将不同类型的Web

漏洞成因混淆。

2、以下哪个路径序列最常被用于实施路径穿越攻击？

A、././

B、../

C、/

D、

【答案】B

【解析】正确答案是B。“../”是路径穿越攻击中最常用的序列，它表示上级目录，通

过重复使用可以逐层向上穿越目录结构。A选项的”./“表示当前目录，无法实现目录穿

越；C选项是绝对路径起始符；D选项是Windows路径分隔符，但攻击中更常用正斜

杠。知识点：路径遍历攻击技术。易错点：容易忽略不同操作系统路径分隔符的差异。

3、在Windows系统中，以下哪种编码方式可以绕过简单的目录遍历过滤？

A、Base64编码

B、URL编码

C、Unicode编码

D、十六进制编码

【答案】C

【解析】正确答案是C。Unicode编码（如..%c1%9c）可以绕过某些简单的过滤规

则，因为服务器在解析时会先进行Unicode解码。A选项Base64通常不用于路径编码；

2025年信息系统安全专家WEB应用目录遍历与路径穿越漏洞专题试卷及解析2

B选项URL编码会被自动解码；D选项十六进制编码不适用于路径。知识点：绕过技

术。易错点：容易忽略不同编码方式在路径解析中的处理顺序。

4、以下哪种防御措施对目录遍历漏洞最有效？

A、增加登录验证

B、使用HTTPS

C、严格的输入验证和路径规范化

D、隐藏错误信息

【答案】C

【解析】正确答案是C。严格的输入验证和路径规范化是防御目录遍历最直接有效

的方法，可以从根本上阻止恶意路径输入。A选项只能防止未授权访问；B选项保护传

输安全；D选项只是辅助措施。知识点：漏洞防御策略。易错点：容易过度依赖单一防

御措施。

5、在Linux系统中，/etc/passwd文件通常被目录遍历攻击的目标，其主要原因

是？

A、包含系统密码

B、包含用户账户信息

C、包含系统配置

D、包含日志文件

【答案】B

【解析】正确答案是B。/etc/passwd包含系统用户账户信息，攻击者获取后可用于

后续攻击。A选项错误，密码实际存储在/etc/shadow；C选项过于宽泛；D选项日志

通常在/var/log。知识点：敏感文件识别。易错点：容易混淆不同系统文件的作用。

6、以下哪个HTTP方法最容易触发目录遍历漏洞？

A、GET

B、POST

C、PUT

D、DELETE

【答案】A

【解析】正确答案是A。GET方法常用于文件请求，参数直接出现在URL中，最

容易被攻击者修改。B选项POST也可触发但较少见；C、D选项主要用于文件操作。

知识点：HTTP方法与漏洞关系。易错点：容易忽略不同HTTP方法的安全特性差异。

7、路径穿越攻击与目录遍历攻击的主要区别在于？

A、攻击目标不同

B、攻击技术不同

C、影响范围不同

2025年信息系统安全专家WEB应用目