计算机网络安全攻防技术练习题及答案.docxVIP

计算机网络安全攻防技术练习题及答案

练习题

一、Web应用安全攻防

1.某高校选课系统前端页面存在如下输入框（HTML代码片段），用户需输入课程编号（格式为KC+4位数字，如KC0001）后提交查询：

```html

inputtype=textname=course_idid=course_id

buttononclick=window.location.href=/query?cid=+document.getElementById(course_id).value查询/button

```

服务端使用PHP处理请求，代码片段如下：

```php

$cid=$_GET[cid];

$sql=SELECTFROMcoursesWHEREcourse_id={$cid};

$result=mysqli_query($conn,$sql);

```

（1）分析该系统存在的安全漏洞类型及原理；

（2）构造一个可获取数据库管理员（DBA）账号密码的具体攻击语句（假设数据库为MySQL，且`user`表存储DBA账号密码，字段为`username`和`password`）；

（3）给出至少3种针对性防御措施，并说明原理。

2.某电商平台用户评论功能存在如下逻辑：用户提交评论内容后，服务端直接将内容存储至数据库，前