移动网络与信息安全专职人员能力提升培训试题

移动网络与信息安全专职人员能力提升培训试题1.如下代码中存在什么问题Stringtitle=request.getParameter(“title”);Stringid=request.getParameter(“id”);…<span><%=title%></span><span><%=contect%></span>A整数溢出BSQL注入CXSS(正确答案)DCSRF2.如下代码中存在什么问题?Stringfilename=request.getParameter(“fn”);StringabsolutePath=WEB_PATH+filename;WebUtils.downFile(absolutePath);ASQL注入B远程命令执行C任意文件下载(正确答案)D跨站请求伪造3.关于扫描器下列说法正确的是A可通过扫描器发现弱口令(正确答案)B可通过扫描器获取服务器权限C可通过扫描器进行sql注入攻击获得数据D可通过扫描器进行xss攻击劫持他人浏览器4.下面哪一项是可以正常运行的一句话木马？A<?phpeval($_post[cmd]);?>(正确答案)B<?eval($_post[cmd]);?>C<?aspeval($_post[cmd]);?>D<?jspeval($_post[cmd]);?>5.已知某个链接存在SQL注入漏洞，网址是/product.asp?id=20，以下哪个URL访问之后，页面不会报错？A/product_more.asp?id=20’B/product_more.asp?id=20and1=1(正确答案)C/product_more.asp?id=20and1=2D/product_more.asp?id=20and999<1006.以下哪款工具可获取流量数据信息AWireShark；(正确答案)BNmapC中国菜刀DSqlmap7.某黑客利用IE浏览器最新的0day漏洞，将恶意代码嵌入正常的WEB页面当中，用户访问后会自动下载并运行木马程序，这种攻击方式属于：ASQL注入B网页挂马(正确答案)C钓鱼攻击D域名劫持8.以下哪个不属于WEB应用的漏洞？AXSSBCSRFCShellcode(正确答案)DSQL盲注9.以下哪一项不属于Web安全威胁范畴ASQL注入风险B登录密码暴力破解风险C越权访问风险D客户端代码反编译风险(正确答案)10.SQL注入可带来哪项风险A获取敏感通信数据B破解加密密码信息(正确答案)C短信轰炸攻击D数据库密码信息泄露11.GoogleHacking技术可被直接用于A越权查看他人信息B敏感信息获取(正确答案)CSQL注入攻击D跨站脚本攻击12.下列哪种攻击不可以直接获得主机权限A存储型XSS攻击(正确答案)B任意文件上传C缓冲区溢出攻击DMYSQL下root权限的SQL注入攻击13.下列哪种情况不能够通过XSS攻击实现A劫持受害者的会话B获取受害者的IP地址C获取受害者主机的控制权(正确答案)D制作蠕虫劫持用户的浏览器14.下列哪个属于跨站攻击的防范措施？A锁定网站服务器上的所有目录和文件夹，设置访问权限B不要轻易访问别人给你的长链接，它可能包含了转码后的恶意HTML代码(正确答案)C将动态SQL语句替换为存储过程D对所有输入内容进行转义处理15.下列属于哪个选项属于跨站脚本攻击的建议对策？A用转义或黑名单的方式对SQL语句进行合法性校验，以避免SQL注入，尽量不要使用拼接字符串的方式执行SQL语句。B不在页面中插入不可信数据，对需要显示在页面中的数据进行转义处理或严格控制用户输入信息。(正确答案)C密码需要进行加密存储，文件注释中避免出现用户名、密码等敏感内容D对可能写入日志的变量进行合法性校验或预定义日志内容。16.如果攻击者利用这样的手段运行命令：;execmaster..xp_cmdshell'dirc:\bk.txt'--，需要具备哪些条件？(多选题)A必须获取到sa权限(正确答案)B必须具备系统管理员权限(正确答案)C必须能调用扩展存储(正确答案)D如果是从应用层攻击，必须存在可注入的漏洞(正确答案)17.如果发现自己维护的WEB服务器，已经被黑客上传了WebShell，那么下列哪些说法是正确的？(多选题)A服务器的数据有可能已经被黑客下载了(正确答案)BWEB服务器可能已经被攻击者拿下，并留了后门(正确答案)C攻击者可以通过提权手段创建具有管理员权限的账户，但攻击者不可能通过WebShell获取administrator的密码信息D如果WEB数据库的敏感信息都采用了严格的加密算法加密，密钥也有很安全的存储，那么即使数据库泄露了，造成的损失也相对比较小(正确答案)18.下列关于WEB应用说法正确的是？(多选题）AHTTP请求中，cookie可以用来保持HTTP会话状态(正确答案)BWEB的认证信息可以考虑通过cookie来携带(正确答案)C通过SSL协议，可以实现HTTP的安全传输(正确答案)DWEB的认证，通过cookie和session都可以实现，但是cookie安全性更好19.HTTP协议是明文协议，所以直接嗅探HTTP的数据包，就可以截获并解析所有数据内容，所以单纯的HTTP是不安全的。(判断题)是(正