网络安全攻防试题及分析.docxVIP

网络安全攻防试题及分析

一、单项选择题（共10题，每题1分，共10分）

下列攻击类型中，属于利用Web应用未对用户输入的特殊字符做过滤，直接带入数据库查询执行的攻击是

A.跨站脚本攻击

B.SQL注入攻击

C.缓冲区溢出攻击

D.ARP欺骗攻击

答案：B

解析：正确选项依据是SQL注入的核心原理就是恶意输入未经过滤直接拼接进SQL语句，被数据库执行获取非授权数据。错误选项A跨站脚本攻击是恶意脚本在用户浏览器端执行，和数据库查询无关；错误选项C缓冲区溢出攻击是针对内存空间边界校验缺失的攻击，常见于原生开发的本地或网络程序；错误选项DARP欺骗是内网链路层的地址篡改攻击，和Web应用数据库逻辑无关。

反射型跨站脚本攻击的典型触发条件是

A.攻击者提前将恶意脚本上传到服务器数据库，所有访问正常页面的用户都会触发脚本

B.恶意脚本存储在用户本地浏览器Cookie中，本地访问本地页面即可触发

C.攻击者构造包含恶意脚本的特殊链接，诱导受害者点击后，脚本在受害者浏览器临时执行

D.恶意脚本植入服务器的系统启动项，服务器重启后自动触发

答案：C

解析：正确选项依据是反射型XSS属于非持久化XSS，恶意脚本不会保存在服务器端，仅通过构造的临时链接传入页面解析后在浏览器执行。错误选项A描述的是存储型XSS的特征，和反射型无关；错误选项B不属于标准XSS的分类定义；错误选项D描述的是