web应用安全与渗透期末考试复习题
一、单选题
1、关于上传漏洞与解析漏洞,下列说法正确的是()
A、两个漏洞没有区别     
B、只要能成功上传就一定能成功解析
C、从某种意义上来说,两个漏洞相辅相成
D、上传漏洞只关注文件名
2、能将HTML文档从Web服务器传送到Web浏览器的传输协议是( )
A、 FTP    B、HCMP    C、HTTP    D、ping
3、下列哪个函数不能导致远程命令执行漏洞( )
A system()  B isset()  C eval()  D exec()
4、下列哪个是自动化SQL注入工具( )
A、 nmap  B、 nessus  C、 msf  D、 sqlmap
5、HTTP状态码是反应web请求结果的一种描述,以下状态码表示请求资源不存在的是:()
A、 200  B、 404  C、 401  D、 403
6、BurpSuite是用于Web应用安全测试工具,具有很多功能,其中能拦截并显示及修改http消息的模块是()
A、 spider  B、 proxy  C、 intruder  D、 decoder
7 、以下属于一句话木马的是()
  A、〈? @eval($_GET[”code"])?〉  B、〈?php ($_GET[”code"])?>
C、〈?php @eval($_GET["code”])?> D、〈php eval($_GET[”code”])>
8、黑客拿到用户的cookie后能做什么( )
A、能知道你访问过什么网站      B、能从你的cookie中提取出帐号密码
C、能够冒充你的用户登录网站        D、没有什么作用
9、Servlet处理请求的方式为( )以运行的方式
A、以运行的方式       B、以线程的方式
C、以程序的方式       D、以调度的方式
10、以下哪个工具提供拦截和修改HTTP数据包的功能()
A、Burpsuite  B、Hackbar    C、sqlmap      D、nmap
11、Brupsuite中暴力破解的模块是哪个( )
A、proxy    B、intruder  C、reqeater    D、decoder
12、Brupsuite中暴力截包改包的模块是哪个( )
A、proxy    B、intruder    C、reqeater    D、decoder
13、上传漏洞前端白名单校验中,用什么软件可以绕过( )
A、菜刀    B、小葵  C、nmap    D、burpsuite
14、Mssql数据库的默认端口是哪个( )
A 、1433    B、3306  C、1521    D、6379
15、下列对跨站脚本攻击(XSS)的解释最准确的是()
A 、引诱用户点击虚拟网络连接的一种攻击方法.
B、 构造精妙的关系数据库的结构化查询语言对数据库进行非法访问.
C、 一种很强大的木马攻击手段。
D 、将恶意代码嵌入到用户浏览器的web页面中,从而达到恶意的目的.
16、防火墙的核心是()
A、 访问控制  B、 网络协议  C、 规则策略  D、 网关控制
17、以下哪一项不属于XSS跨站脚本漏洞的危害()
A、 钓鱼欺骗  B、 身份盗用  C、SQL数据泄露  D、 网站挂马 
18、在SQL注入中,以下注入方式消耗时间最长的是()
A、 联合注入  B、 报错注入  C、 时间盲注  D、 宽字节注入
19、使用union 的SQL注入的类型是()
A 、报错注入  B、 布尔注入  C 、基于时间延迟注入  D、 联合查询注入
20、在mysql数据库,下列哪个库保存了mysql所有的信息()
A、 test  B、 information_schema    C、 performance_schema  D、mysql
21、利用解析漏洞时,有时需要进行抓包改包,使用到的工具是()
A、 sqlmap  B、  中国菜刀 C、 Burp Suite  D、啊D注入工具
22、成功上传一句话木马后,使用什么工具进行连接()
A、 nmap      B、中国菜刀 C、 sqlmap  D、啊D注入工具
23、把一句话木马如xx。asp;.jpg上传到服务器后,如果没有回显文件路径,不属于寻方法的是()
A、在上传完后可以通过右键复制图片地址
B、通过抓包工具进行抓包,看看有没有暴露上传路径
C、根据经验,尝试进行猜测(在后台没有重命名情况下)
  D、对目标网站进行端口扫描
24、使用菜刀连接一句话木马发生错误时,下列检查方法最不合适的是()
A、马上重传一句话木马          B、通过在浏览器访问,查看是否被成功解析
C、查看是否填入了正确的密码    D、 在菜刀中查看是否选择了正确脚本语言
25、在使用Burp Suite进行截包操作中,必须要做的是什么()
A、  配置burp suite截包规则        B、关闭目录扫描工具
  C、配置好浏览器与Burp Suite的代理  D、勾选上Burp Suite 中的intercept server responses
26、一句话木马,如:<%eval request(“pass")%>中,“pass”代表什么()
A、  一句话木马的连接密码
B、  一句话密码连接成功后回显的提示
C、一个不可变得标志符号
  D、毫无意义的一个单词
27、黑客拿到用户的cookie后能做什么 ( )
A、能知道你访问过什么网站    B、能从你的cookie中提取出帐号密码
C、能够冒充你的用户登录网站  D、没有什么作用
28、以下哪一项不属于XSS跨站脚本漏洞的危害()
A 钓鱼欺骗  B 身份盗用  C SQL数据泄露  D 网站挂马
web端登录
29、使用union 的SQL注入的类型是()
A 报错注入  B 布尔注入  C 基于时间延迟注入  D 联合查询注入

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。