通辽税务大比武竞赛测试题

1、通辽税务大比武竞赛复制基本信息：矩阵文本题 *姓名：_1. 以下哪些是HTTP请求类型？ 单选题 *GET、POST、PUT(正确答案)Request、POST、PUTGET、Response、PUTRequest、POST、Response2. 关于SQL注入说法不正确的是 单选题 *最普遍的注入漏洞是由于参数值过滤不严导致的SQL注入存在于静态网页中(正确答案)使用WAF设备是防御SQL注入的方法之一通过数据库加密是防御SQL注入的方法之一3. http请求访问状态404，代表什么意思。 单选题 *服务器找不到请求的网页(正确答案)服务器成功返回网页服务器拒绝请求网关或者代理工作的服务器尝

2、试执行请求时，从上游服务器接收到无效的响应4. http响应分为几个组成部分？ 单选题 *2个，包含状态行、消息报头3个，包含状态行、消息报头、响应正文(正确答案)4个，包含状态行、状态码、消息报头、响应正文5个，包含状态行、状态码、消息报头、响应正文、响应码5. 在SQLMAP中，语法python c:sqlmapsqlmap.py -u http:/localhost/Less-8/?id=1 -dbs“-u”的作用 单选题 *指定扫描方式指定扫描的URL(正确答案)指定扫描软件指定扫描的时间6. 请问以下场景最终执行了什么命令？最后构造并提交：/ex1.php?dir= |cat /et

3、c/passwd 单选题 *dir= |cat /etc/passwdls -al |cat /etc/passwd(正确答案)dir -al |cat /etc/passwdls - |cat /etc/passwd7. 下面关于文件上传漏洞说法错误的是？ 单选题 *文件上传以后，通过对上传文件进行随机命名，是防御文件上传漏洞的方法之一在文件上传处只限定用户传输php文件，拒绝上传其他文件，这样可以避免文件上传漏洞(正确答案)由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，导致攻击者能够向某个可通过Web访问的目录上传恶意文件文件上传漏洞可以通过黑白名单机制过滤上传的文件

4、，是防御文件上传漏洞的方法之一8. 以下常见的上传测试点说法错误的是？ 单选题 *应用程序上传功能（如上传头像、附件上传等）用户可控的输入点或者参数（页面POST表单部分、url参数、sql注入点等）HTTP开启的方法（如WebDAV）等插入附件不属于上传文件，所以不会造成文件上传漏洞(正确答案)9. 在IIS6.0下，cimer.asp;jpg会被当成什么格式来解析？ 单选题 *jpgasp(正确答案)gif文件格式错误，不会解析10. XSS攻击分为几种类型 单选题 *反射型、存储型、DOM(正确答案)反射型、存储型、COM注入型、存储型、DOM注入型、反射型、DOM11. 已知隐写术是关

5、于信息隐藏，即不让计划的接收者之外的任何人知道信息的传递事件（而不只是信息的内容）的一门技巧与科学。那么下面哪些方式不是隐写方式 单选题 *图片隐写音频隐写密码编码(正确答案)office文件密码12. 文件隐写中关于压缩包的说法正确的是 单选题 *可以尝试使用爆破的方式(正确答案)一定是使用了伪加密binwalk无法打开伪加密文件字典和掩码的攻击效率高13. 流量分析中常见的协议有 单选题 *TCP（传输控制协议）UDP（用户数据报协议）DHCP（动态主机配置协议）以上都有(正确答案)14. 在密码学中，需要被变换的原消息被称为什么？ 单选题 *密文密钥明文(正确答案)算法15. 关于SSRF说法正确的是 单选题 *利用file协议读取本地文件(正确答案)不能对WEB应用进行指纹识别，但能访问默认文件夹攻击内外网的WEB应用不包括sqli以上都对16. 传输控制协议是 单选题 *udptcp(正确答案)arpdhcp选项217. MySQL中用来设置查询的是：单选题 *select(正确答案)fromwhereunion18. 以下哪项不是web类攻击（） 单选题 *SQL注入ARP欺骗(正确答案)XSS攻击CSRF攻击19. 不是最新木马所