web应用安全与渗透期末考试复习题

web应用平安与渗透期末考试复习题一、单项选择题1、关于上传漏洞与解析漏洞，以下说法正确的选项是〔〕A、两个漏洞没有区别B、只要能成功上传就一定能成功解析C、从某种意义上来说，两个漏洞相辅相成D、上传漏洞只关注文件名2、能将HTML文档从Web效劳器传送到Web浏览器的传输协议是()A、FTPB、HCMPC、D、ping3、以下哪个函数不能导致远程命令执行漏洞〔〕Asystem()Bisset()Ceval()Dexec()4、以下哪个是自动化SQL注入工具〔〕A、nmapB、nessusC、msfD、sqlmap5、状态码是反响web请求结果的一种描述，以下状态码表示请求资源不存在的是：〔〕A、200B、404C、401D、4036、BurpSuite是用于Web应用平安测试工具，具有很多功能，其中能拦截并显示及修改消息的模块是〔〕A、spiderB、proxyC、intruderD、decoder7、以下属于一句话木马的是〔〕A、<@eval($_GET["code"])>B、<php($_GET["code"])>C、<php@eval($_GET["code"])>D、<phpeval($_GET["code"])>8、黑客拿到用户的cookie后能做什么〔〕A、能知道你访问过什么网站B、能从你的cookie中提取出帐号密码C、能够冒充你的用户登录网站D、没有什么作用9、Servlet处理请求的方式为()以运行的方式A、以运行的方式       B、以线程的方式C、以程序的方式       D、以调度的方式10、以下哪个工具提供拦截和修改数据包的功能〔〕A、BurpsuiteB、HackbarC、sqlmapD、nmap11、Brupsuite中暴力破解的模块是哪个〔〕A、proxyB、intruderC、reqeaterD、decoder12、Brupsuite中暴力截包改包的模块是哪个〔〕A、proxyB、intruderC、reqeaterD、decoder13、上传漏洞前端白名单校验中，用什么软件可以绕过()A、菜刀B、小葵C、nmapD、burpsuite14、Mssql数据库的默认端口是哪个〔〕A、1433B、3306C、1521D、637915、以下对跨站脚本攻击〔XSS〕的解释最准确的是〔〕A、引诱用户点击虚拟网络连接的一种攻击方法。B、构造精妙的关系数据库的结构化查询语言对数据库进行非法访问。C、一种很强大的木马攻击手段。D、将恶意代码嵌入到用户浏览器的web页面中，从而到达恶意的目的。16、防火墙的核心是〔〕A、访问控制B、网络协议C、规则策略D、网关控制17、以下哪一项不属于XSS跨站脚本漏洞的危害〔〕A、钓鱼欺骗B、身份盗用C、SQL数据泄露D、网站挂马18、在SQL注入中，以下注入方式消耗时间最长的是〔〕A、联合注入B、报错注入C、时间盲注D、宽字节注入19、使用union的SQL注入的类型是〔〕A、报错注入B、布尔注入C、基于时间延迟注入D、联合查询注入20、在mysql数据库，以下哪个库保存了mysql所有的信息〔〕A、testB、information_schemaC、performance_schemaD、mysql21、利用解析漏洞时，有时需要进行抓包改包，使用到的工具是〔〕A、sqlmapB、中国菜刀C、BurpSuiteD、啊D注入工具22、成功上传一句话木马后，使用什么工具进行连接〔〕A、nmapB、中国菜刀C、sqlmapD、啊D注入工具23、把一句话木马如;.jpg上传到效劳器后，如果没有回显文件路径，不属于寻找方法的是〔〕A、在上传完后可以通过右键复制图片地址B、通过抓包工具进行抓包，看看有没有暴露上传路径C、根据经验，尝试进行猜想〔在后台没有重命名情况下〕D、对目标网站进行端口扫描24、使用菜刀连接一句话木马发生错误时，以下检查方法最不适宜的是〔〕A、马上重传一句话木马B、通过在浏览器访问，查看是否被成功解析C、查看是否填入了正确的密码D、在菜刀中查看是否选择了正确脚本语言25、在使用BurpSuite进行截包操作中，必须要做的是什么〔〕A、配置burpsuite截包规则B、关闭目录扫描工具C、配置好浏览器与BurpSuite的代理D、勾选上BurpSuite中的interceptserverresponses26、一句话木马，如：<%evalrequest(“pass〞)%>中，“pass〞代表什么〔〕A、一句话木马的连接密码B、一句话密码连接成功后回显的提示C、一个不可变得标志符号D、毫无意义的一个单词27、黑客拿到用户的cookie后能做什么()A、能知道你访问过什么网站B、能从你的cookie中提取出帐号密码C、能够冒充你的用户登录网站D、没有什么作用28、以下哪一项不属于XSS跨站脚本漏洞的危害〔〕A钓鱼欺骗B身份盗用CSQL数据泄露D网站挂马29、使用union的SQL注入的类型是〔〕A报错注入B布尔注入C基于时间延迟注入D联合查询注入30、在mysql数据库，以下哪个库保存了mysql所有的信息〔〕AtestBinformation_schemaCperformance_schemaDmysql二、填空题1、webshell可以分为三类，分别是：、和。2、响应由三局部组成，分别是、和。3、请求方法非常多，其中最最长见的是、、和。4、请求包括三局部，分别是：、和。5、SQL注入的类型按照不同方式可分为不同类型，但可归结为两类，分别是和。6、XSS跨站脚本漏洞的类型有：、和。7、写出三个常见的自动化web平安工具：、、。8、解析漏洞主要分为三类，分别是、和。9、CSRF攻击比拟常见的两种方法是:和。10、常见的数据库提权方法有:和。三简答题1、阐述BurpSuite代理设置过程