渗透测试-题库
1、以下哪种⽅式可以利用ngnix解析漏洞来将⽅件当作php来执⽅( ) [单选题] *
A、 /xx.jpg%00.php(正确答案)
B、 /xx.jpg.php
C、 /xx.php.jpg
D、 /xx.php%00.jpg
2、apache默认解析的后缀中不不包括 [单选题] *
A、 php3
B、 php5
C、 phtml
D、 php1(正确答案)
3、IIS曾经出现过的漏洞不包括哪个 [单选题] *
A、解析漏洞
B、 IIS溢出漏洞
C、 PUT漏洞
D、反序列化漏洞(正确答案)
4、中间件未出现过以下哪个漏洞 [单选题] *
A、命令执行
B、文件解析
C、反序列化
D、序列化(正确答案)
5、IIS不不可以解析哪个后缀 [单选题] *
A、 asp
B、 asa
C、 cer
D、 cep(正确答案)
6、之前版本的中间件未出现过解析漏洞的是 [单选题] *
A、 apache
B、 iis
C、 tomcat(正确答案)
D、 ngnix
7、以下数据库只能通过字典枚举数据表的是 [单选题] *
A、 mssql
B、 oracle
C、 mysql < 5.0(正确答案)
D、 mysql > 5.0
8、要向现有表中添加列,应使⽅哪个命令 [单选题] *
A、 ALTER(正确答案)
B、 CHANGE
C、 INSERT
D、 UPDATE
9、linux 环境下,查询⽅日志⽅件最后100⽅行数据,正确的⽅方式是 [单选题] *
A、 mv -100 log
B、 grep -100 log
C、 cat -100 log
D、 tail -100 log(正确答案)
10、一个⽅站存在命令执⽅漏洞,由于服务器不能上外网,这是我们可以利用什么样的⽅式将文件上传到服务器器 [单选题] *
A、 FTP
B、 powershell
C、 vbs
D、 echo(正确答案)
11、在linux下为某个⽅文件添加权限,命令chmod 741 test中的4代表什什么权限[单选题] *
A、执行权限
B、只读权限(正确答案)
C、只写权限
D、所有权限
12、在linux安装应用,哪个命令不需要 [单选题] *
A、 ./install(正确答案)
B、 make
C、 make install
D、 ./configure
13、下⽅面的哪个命令可以打印linux下的所有进程信息 [单选题] *
A、 ls -d
B、 ls -l
C、 su
D、 ps -ef(正确答案)
14、拿到一个windows下的webshell,我想看一下主机的名字,如下命令做不到的是[单选题] *
A、 hostname
B、 systeminfo
C、 ipconfig /all
D、 set(正确答案)
15、在拿到⽅个windows服务器下的webshell之后,我想看看当前在线的用户,下面这些命令可以做到的是 [单选题] *
A、 dir c:\users
B、 net user
C、 tasklist /v(正确答案)
D、 net localgroup administrators
16、在测试sql注入时,下哪种⽅式不可取 [单选题] *
A、 ?id=1+1(正确答案)
B、 ?id=2-1
C、 ?id=1 and 1=1
D、 ?id=1 or 1=1
17、关于DOM xss和寻常xss下面说法正确的是 [单选题] *
A、 DOM xss是服务端代码造成的而寻常xss不是
B、 DOM xss不是服务端代码造成的而寻常xss是(正确答案)
C、两者都是服务端代码造成的
D、两者都不是服务端代码造成的
18、以下说法正确的是 [单选题] *
A、 SSRF是跨站请求伪造攻击,由客户端发起
B、 SSRF是服务器端请求伪造,由服务器发起(正确答案)
C、 CSRF是服务器端请求伪造,由服务器发起
D、重放攻击是将截获的数据包进行重放,达到身份认证等目的
19、php提供以下哪些函数来避免sql注⽅入? [单选题] *
下载mysql服务端命令
A、 mysql_real_escape_string(正确答案)
B、 escapeshellarg
C、 htmlentities
D、 htmlspecialchars
20、如果一个网站存在CSRF漏洞,可以通过CSRF漏洞做下面哪些事情 [单选题] *
A、获取网站用户注册的个人资料信息
B、修改网站用户注册的个人资料信息

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。