2026年美团MTCTF高校网络安全挑战赛试题详解.docxVIP

第PAGE页共NUMPAGES页

2026年美团MTCTF高校网络安全挑战赛试题详解

第一部分：Web安全（共5题，总分25分）

1.XSS跨站脚本攻击（5分）

题目：

某电商网站商品详情页存在XSS漏洞，用户在搜索框输入`scriptalert(XSS)/script`后，页面会弹出提示框。攻击者如何利用此漏洞实现会话劫持？请简述攻击步骤，并说明防御方法。

答案与解析：

攻击步骤：

1.注入恶意脚本：用户在搜索框输入`scriptdocument.location=/cookie?+document.cookie/script`，当管理员或其他用户访问该商品页面时，会自动跳转到攻击者服务器，并获取当前用户的Cookie。

2.会话劫持：攻击者拿到Cookie后，使用该Cookie冒充用户进行操作。

防御方法：

-对用户输入进行严格过滤和转义（如使用`textContent`代替`innerHTML`）。

-使用CSP（内容安全策略）限制脚本执行。

2.SQL注入漏洞（5分）

题目：

某高校教务系统登录接口存在SQL注入漏洞，SQL语句为`SELECTFROMusersWHEREusername=adminANDpassword=admin`。攻击者应如何构造Payload以绕过认证？

答案与解析：

Payload：`adminOR