web应用安全与渗透期末考试复习题.doc

web应用安全与渗透期末考试复****题一、单选题1、关于上传漏洞与解析漏洞,下列说法正确的是()A、两个漏洞没有区别B、只要能成功上传就一定能成功解析C、从某种意义上来说,两个漏洞相辅相成D、上传漏洞只关注文件名2、能将HTML文档从Web服务器传送到Web浏览器的传输协议是()A、FTPB、HCMPC、HTTPD、ping3、下列哪个函数不能导致远程命令执行漏洞()Asystem()Bisset()Ceval()Dexec()4、下列哪个是自动化SQL注入工具()A、nmapB、nessusC、msfD、sqlmap5、HTTP状态码是反应web请求结果的一种描述,以下状态码表示请求资源不存在的是:()A、200B、404C、401D、4036、BurpSuite是用于Web应用安全测试工具,具有很多功能,其中能拦截并显示及修改http消息的模块是()A、spiderB、proxyC、intruderD、decoder7、以下属于一句话木马的是()A、<?***@eval($_GET["code"])?>B、<?php($_GET["code"])?>C、<?******@eval($_GET["code"])?>D、<phpeval($_GET["code"])>8、黑客拿到用户的cookie后能做什么()A、能知道你访问过什么网站B、能从你的cookie中提取出帐号密码C、能够冒充你的用户登录网站D、没有什么作用9、Servlet处理请求的方式为()以运行的方式A、以运行的方式       B、以线程的方式C、以程序的方式       D、以调度的方式10、以下哪个工具提供拦截和修改HTTP数据包的功能()A、BurpsuiteB、HackbarC、sqlmapD、nmap11、Brupsuite中***的模块是哪个()A、proxyB、intruderC、reqeaterD、decoder12、Brupsuite中暴力截包改包的模块是哪个()A、proxyB、intruderC、reqeaterD、decoder13、上传漏洞前端白名单校验中,用什么软件可以绕过()A、菜刀B、小葵C、nmapD、burpsuite14、Mssql数据库的默认端口是哪个()A、1433B、3306C、1521D、637915、下列对跨站脚本攻击(XSS)的解释最准确的是()A、引诱用户点击虚拟网络连接的一种攻击方法。B、构造精妙的关系数据库的结构化查询语言对数据库进行非法访问。C、一种很强大的木马攻击手段。D、将恶意代码嵌入到用户浏览器的web页面中,从而达到恶意的目的。16、防火墙的核心是()A、访问控制B、网络协议C、规则策略D、网关控制17、以下哪一项不属于XSS跨站脚本漏洞的危害()A、钓鱼欺骗B、身份盗用C、SQL数据泄露D、网站***18、在SQL注入中,以下注入方式消耗时间最长的是()A、联合注入B、报错注入C、时间盲注D、宽字节注入19、使用union的SQL注入的类型是()A、报错注入B、布尔注入C、基于时间延迟注入D、联合查询注入20、在mysql数据库,下列哪个库保存了mysql所有的信息()A、testB、information_schemaC、performance_schemaD、mysql21、利用解析漏洞时,有时需要进行抓包改包,使用到的工具是