河南移动网络信息安全培训第二期试卷（答案）.docxVIP

河南移动网络信息安全培训第二期试卷姓名一、单选题（每题3分，共21分）使用谷歌有哪些信誉好的足球投注网站引擎时，使用（），可以把有哪些信誉好的足球投注网站范围限定在特定站点中inurl语句site语句intitle语句双引号Nmap获得操作系统类型的参数是（）-Pn–sV-A-Oapache服务器，上传文件名为 1.IIS7.0服务器，在asp.asp目录下上传了1.jpg文件IIS6.0服务器，上传了1.asp;.jpg文件在OWASP TOP 10中，有一个漏洞“安全设置错误”，该漏洞可能存在的位置是（）tomcat服务器，默认使用了manager的用户密码，而没有修改一个用户在提交信息的时候，添加了一些特殊字符，服务器直接返回详细的500错误开发人员在开发Struts2框架的时候，启用了开启模式，之后直接部署到了生产网络中，而没有关闭该模式管理人员给WEB站点后台设置用户和口令为admin/admin管理员查看WEB日志的时候，发现自己的管理员账户有异常登录的情况，并且有很多非法的操作，所以管理员认为自己的账户信息被人窃取了，以下可能是攻击者使用的手段是（）SQL注入文件包含目录遍历CSRF攻击暴力破解管理员在WEB后台查看日志，发现自己的管理员账户有异常操作，但是没有看到有异常登录的情况，并且日志没有被删除的痕迹，该管理员可能遭受的攻击是（）SQL注入跨站攻击目录遍历CSRF攻击暴力破解对于一个站点是否存在SQL注入的判断，正确的是（）可以使用单引号查询来判断可以使用“or 1=1”方法来判断可以使用在参数后面加入一些特殊字符来判断可以直接修改参数的具体数据，修改参数值为一个不存在的数值来判断攻击者要想拿下一台web服务器，有很多方法，其中一个方式是，想办法上传一个webshell，所以WEB服务，在对上传文件的检测，有效的是（）服务器对上传文件进行文件名重命名，文件后缀不变，但会检测文件的后缀是否合法服务器对文件名和后缀都重命名，后缀的命名取决于MIME类型，对上传文件的检测只对文件后缀进行了检测服务器对上传的文件，只在web前端进行后缀、MIME类型的检测服务器对上传的文件，对文件的内容、文件后缀、MIME类型在服务器进行了检测以前WEB站点对于传输层的安全一直不重视，导致传输层安全不足的问题在2010年的OWASP TOP 10的漏洞问题中排名第九，一下对于传输层所做的防护正确的是（）一些手机的客户端与服务器间的通信，采用了全加密的方式WEB服务器与浏览器直接，除了密码进行加密传输之外，其他的信息传输没有必要使用加密措施开发人员对于敏感的数据，进行了base64位编码传输服务器对于客户端传来的数据都有一个签名的检验跨站攻击和CSRF攻击描述正确的是（）跨站漏洞是网站自身没有对用户提交的数据进行防护CSRF攻击是窃取受害者的身份进行操作跨站攻击是窃取受害者的身份进行攻击CSRF的名字叫做跨站请求伪造，所以可以用防护跨站的手段对其进行防护三、判断题（2分，共计10分）在一个URL的参数值后添加了一个单引号，只要出现错误信息，就说明一定存在SQL注入（×）一个WEB站点，对于上传的文件，只在javascript中做了检测，这个站点一定上传webshell（√）管理员知道自己的站可能会被CSRF攻击时，只要在登录期间，不去访问其他的网站就可以避免攻击（×）攻击者通过SQL注入不仅仅可以查询语句，甚至可以修改数据（√）没有使用HTTPS协议的登录，可以使用嗅探等方式获得登录的账号信息（×）