web應(yīng)用安全與滲透期末考試復(fù)習(xí)題

1、web應(yīng)用安全與滲透期末考試復(fù)習(xí)題一、單選題1、關(guān)于上傳漏洞與解析漏洞，下列說法正確的是（）A、兩個漏洞沒有區(qū)別B、只要能成功上傳就一定能成功解析C、從某種意義上來說，兩個漏洞相輔相成D、上傳漏洞只關(guān)注文件名2、能將HTML文檔從Web服務(wù)器傳送到 Web瀏覽器的傳輸協(xié)議是（）A、 FTP B、HCMP C HTTPD、ping3、下列哪個函數(shù)不能導(dǎo)致遠(yuǎn)程命令執(zhí)行漏洞（）A system（） B isset（） C eval（） D exec（）4、下列哪個是自動化SQL注入工具（）A、 nmapB、 nessus C、 msfD、 sqlmap5、HTTP狀態(tài)碼是反應(yīng)web請求結(jié)果的一種描述

2、，以下狀態(tài)碼表示請求資源不 存在的是：（）A、200 B、404 C、401D、4036、BurpSuite是用于Web應(yīng)用安全測試工具，具有很多功能，其中能攔截并顯 示及修改http消息的模塊是（）A、 spiderB、 proxy C intruder D、 decoder 7、以下屬于一句話木馬的是（）A、 B、C D 8、黑客拿到用戶的cookie后能做什么（）A、能知道你訪問過什么網(wǎng)站B、能從你的cookie中提取出帳號密碼C、能夠冒充你的用戶登錄網(wǎng)站D、沒有什么作用9、Servlet處理請求的方式為（）以運行的方式A、以運行的方式R以線程的方式C、以程序的方式D、以調(diào)度的方式10、

3、以下哪個工具提供攔截和修改 HTTP數(shù)據(jù)包的功能（）A、BurpsuiteB、HackbarC、sqlmapD、nmap11、Brupsuite中暴力破解的模塊是哪個（）A proxy B intruder C reqeaterD、 decoder12、Brupsuite中暴力截包改包的模塊是哪個（）A proxyB、 intruder C reqeaterD、 decoder13、上傳漏洞前端白名單校驗中，用什么軟件可以繞過 （）A、菜刀B、小葵 C nmapD、burpsuite14、Mssql數(shù)據(jù)庫的默認(rèn)端口是哪個（）A、1433B、3306C、1521D、637915、下列對跨站腳本攻

4、擊（XSS的解釋最準(zhǔn)確的是（）A、引誘用戶點擊虛擬網(wǎng)絡(luò)連接的一種攻擊方法。B、構(gòu)造精妙的關(guān)系數(shù)據(jù)庫的結(jié)構(gòu)化查詢語言對數(shù)據(jù)庫進(jìn)行非法訪問。C、一種很強(qiáng)大的木馬攻擊手段。D、將惡意代碼嵌入到用戶瀏覽器的 web頁面中，從而達(dá)到惡意的目的。16、防火墻的核心是（）A、訪問控制B、網(wǎng)絡(luò)協(xié)議 C、規(guī)則策略 D、網(wǎng)關(guān)控制17、以下哪一項不屬于XSS夸站腳本漏洞的危害（）A、釣魚欺騙B、身份盜用 C、SQL數(shù)據(jù)泄露 D、網(wǎng)站掛馬18、在SQL注入中，以下注入方式消耗時間最長的是（）A、聯(lián)合注入 B、報錯注入 C、時間盲注 D、寬字節(jié)注入19、使用union的SQL注入的類型是（）A、報錯注入 B、布爾注入

5、C、基于時間延遲注入D、聯(lián)合查詢注入20、在mysql數(shù)據(jù)庫，下列哪個庫保存了 mysql所有的信息（）A、test B information_schemaC、performance_schema D、mysql21、利用解析漏洞時，有時需要進(jìn)行抓包改包，使用到的工具是（）A、 sqlmap B、中國菜刀C、 Burp Suite D、啊D注入工具22、成功上傳一句話木馬后，使用什么工具進(jìn)行連接（）A、 nmapB、中國菜刀G sqlmapD、啊D注入工具23、把一句話木馬如；.jpg上傳到服務(wù)器后，如果沒有回顯文件路徑，不屬于尋 找方法的是（）A、在上傳完后可以通過右鍵復(fù)制圖片地址B、通過

6、抓包工具進(jìn)行抓包，看看有沒有暴露上傳路徑C、根據(jù)經(jīng)驗，嘗試進(jìn)行猜測（在后臺沒有重命名情況下）D、對目標(biāo)網(wǎng)站進(jìn)行端口掃描24、使用菜刀連接一句話木馬發(fā)生錯誤時，下列檢查方法最不合適的是（）A、馬上重傳一句話木馬R通過在瀏覽器訪問，查看是否被成功解析C、查看是否填入了正確的密碼D、在菜刀中查看是否選擇了正確腳本語言25、在使用Burp S3te進(jìn)行截包操作中，必須要做的是什么（）A、配置burp s3te截包規(guī)則B、關(guān)閉目錄掃描工具C、配置好瀏覽器與Burp S3te的代理 D、勾選上Burp Suite中的intercept server responses26、一句話木馬，如：%eval re

7、quest（ pass ）%中，pass代表什么（）一句話木馬的連接密碼一句話密碼連接成功后回顯的提示C、一個不可變得標(biāo)志符號D、毫無意義的一個單詞27、黑客拿到用戶的cookie后能做什么（）A、能知道你訪問過什么網(wǎng)站B、能從你的cookie中提取出帳號密碼C、能夠冒充你的用戶登錄網(wǎng)站D、沒有什么作用28、以下哪一項不屬于XSS夸站腳本漏洞的危害（）A釣魚欺騙 B身份盜用 C SQ嗷據(jù)泄露 D網(wǎng)站掛馬 29、使用union的SQL注入的類型是（）A報錯注入B布爾注入C基于時間延遲注入D聯(lián)合查詢注入 30、在mysql數(shù)據(jù)庫，下列哪個庫保存了 mysql所有的信息（）A test B info

8、rmation_schema C performance_schema D mysql二、填空題1、 webshell 可 以分為 三類， 分另U 是： 和 02、Http響應(yīng)由三部分組成，分別是 、和 3、HTTP請求方法非常多，其中最最長見的是 、 和 04、HTTP請求包括三部分，分別是： 、和5、SQL注入的類型按照不同方式可分為不同類型，但可歸結(jié)為兩類，分別是和 06、XS所站腳本漏洞的類型有： 、和。7、寫出三個常見的自動化 web安全工具： 、8、解析漏洞主要分為三類，分別是 和 09、CSRFC擊比較常見白兩種方法是：和。10、常見的數(shù)據(jù)庫提權(quán)方法有： 和。三簡答題1、闡述BurpSuite代理設(shè)置過程2、繞過上傳漏洞有哪些方法并闡述其使用方法。3、防止SQL注入有哪些