web应用安全与渗透期末考试复习题.doc

: .
web应用安全与渗透期末考试复****题
一、单选题
1、 关于上传漏洞与解析漏洞，下列说法正确的是()
A、两个漏洞没有区别
B只要能成功上传就一定能成功解析
C从某种意义上来说，两个漏洞相辅相成
D上传漏洞只关注文件名
2、 能将HTML文档从Web服务器传送到 Web浏览器的传输协议是()
A FTP B、HCMP C、HTTP D、pi ng
3、 下列哪个函数不能导致远程命令执行漏洞( )
A system() B isset() C eval() D exec()
4、 下列哪个是自动化SQL注入工具()
A nmap B、nessus C、msf D 、sqlmap
5、 HTTP犬态码是反应web请求结果的一种描述，以下状态码表示请求资源不存 在的是：()
A 200 B、404 C、401 D、403
6 BurpSuite是用于Web应用安全测试工具，具有很多功能，其中能拦截并显 示及修改http消息的模块是()
A spider B 、proxy C 、intruder D 、decoder
7、 以下属于一句话木马的是()
A、<? ***@eval($_GET["code"])?> B 、<?php ($_GET["code"])?>
C、<?php ***@eval($_GET["code"])?> D、<php eval($_GET["code"])>
8、 黑客拿到用户的cookie后能做什么()
A能知道你访问过什么网站 B 、能从你的cookie中提取出帐号密码
C、能够冒充你的用户登录网站 D 、没有什么作用
9、 Servlet处理请求的方式为()以运行的方式
A以运行的方式
C以程序的方式
B以线程的方式
D以调度的方式
10、以下哪个工具提供拦截和修改 HTTP数据包的功能（）
A Burpsuite B 、Hackbar C 、sqlmap D 、nmap
11、Brupsuite中***的模块是哪个（）
A、proxy B 、intruder C 、reqeater D 、decoder
12、 Brupsuite中暴力截包改包的模块是哪个（）
A、proxy B 、intruder C 、reqeater D 、decoder
13、 上传漏洞前端白名单校验中，用什么软件可以绕过 （）
A、菜刀 B 、小葵 C、nmap D、burpsuite
14、 Mssql数据库的默认端口是哪个（）
A、1433 B、3306 C、1521 D、6379
15、 下列对跨站脚本攻击（XSS的解释最准确的是（）
A、 引诱用户点击虚拟网络连接的一种攻击方法。
B、 构造精妙的关系数据库的结构化查询语言对数据库进行非法访问。
C、 一种很强大的木马攻击手段。
D、 将恶意代码嵌入到用户浏览器的 web页面中，从而达到恶意的目的。
16、 防火墙的核心是（）
A、访问控制 B、网络协议C、规则策略D、网关控制
17、 以下哪一项不属于XSS跨站脚本漏洞的危害（）
A、钓鱼欺骗 B、身份盗