国科大学习生活(期末复习资料、课程大作业解析、学习文档等): 文章专栏(点击跳转)
文档目录web安全技术期末考试一、选择题(每题1分,共20分)二、名词解释(每题2分,共6分)三、简答题(每题4分,共12分)四、论述题(共12分)开课编号:1802030839X5P3001H 课程名称:Web安全技术 任课教师:刘老师、刘老师 本试卷卷面共计50分,所有试题答案均写在答题纸上。
web安全技术期末考试 一、选择题(每题1分,共20分)1.以下编程语言中,最不适合用于Web开发的是? A:PHP B:JSP C:JavaScript D:C/C++
2.以下属于编码算法的是? A:BASE64 B:MD5 C:SHAI D:RSA
3.以下哪种攻击,不能视为“代码注入”? A:SQL注入 B:XSS C:CSRF D:文件包含
4.以下关于HTTP协议的说法,有明显错误的是? A:HTTP是应用层协议,通常承载于TCP协议之上,常用端口号是80 B:HTTPS协议是HTTP协议的升级版本,解决了HTTP协议固有的安全问题 C:HTTP协议存在先天性弊端,如采用明文传输数据,且身份认证缺乏校验 D:采用HTTP协议通信时,存在被中间人攻击的风险
5.以下哪种Web请求,会受浏览器同源策略的约束?
A:使用HTML的标签,跨域请求一张图片B:使用HTML的标签,跨域请求一个Javascript 文件C:使用HTML的标签,跨域请求一个HTML页面D:使用 Javascript的 XMLHttpRequest方法,跨域请求一段JSON信息6.以下关于SSRF的说法,哪一个是正确的? A:无法实现本地文件的获取 B:无法用于绕过Chrome 浏览器的沙箱机制 C:无法攻击运行在内网或本地的应用程序 D:无法对内网的Web应用进行指纹识别
7.相比较而言,以下哪款工具,最不可能用于Web渗透攻击? A:中国菜刀 B: SQLMap C: Burpsuite D:NoScript
8.以下关于HTTPS的说法,哪一个是错误的? A:在正式传输数据前,通信双方先进行身份确以 B:通信双方在密钥协商过程中,使用非对称密钥传输数据 C:通信双方在密钥协商后,使用非对称密钥传输数据 D:HTTPS 通信常用端口号是443
9.以下关于Cookie 和Session的说法,有明显错误的是: A:Cookie 用在客户端,用于辨别用户身份和维持状态 B:Session 用在服务端,用于辨别用户身份和维持状态 C:浏览器Cookie 的Secure 属性是为了防止Cookie被JavaScript读取和修改 D:必从安全性角度考虑,应该多使用Session;从性能角度考虑,应该多使用Cookie
10.以下关于DNS的说法,有明显错误的是: A:DNS 协议典型的端口号是53,既使用UDP协议,也使用TCP协议 B:全球有13台DNS根服务器,其中1台主根服务器,12台辅根服务器,上面保存了全球绝大部分域名对应的IP地址 C:DNS的查询方式有两种:递归查询和迭代查询办 D:DNS 是Domain Name System的缩写,是提供域名和IP地址相互映射的一个分布式数据库
11.以下哪个条SQL语句(运行环境:Mysql),一般不会引发数据库报错? A. select exp((select * from(select userO)a) B. select updatexml(0x3a,concat(1,(select userO))),1) C. select 1 from (select count(*),concat(select userO),floor(rand(0)*2))x from information schema.tables group by x)a D. select’’ into outfile 'd:Nwww\m.php
12.哪个符号,被黑客广泛地用于SQL注入测试? A:下划线符 B:反斜线符 C:单引号符 D:非上述答案
13.以下关于浏览器安全机制的说法,有明显错误的是? A:沙箱(Sandbox)是一种隔离对象/线程/进程的机制,目的是控制其访问系统资源的权限 B:各个浏览器对同一种安全机制的实现方式并不一定相同 C:地址空间布局随机化(AddressSpace Layout Randomization)和数据执行保护(Data Execution Prevention)是浏览器上特有的安全机制 D:MemGC(Memory Garbage Collector)是一种内存管理机制大
14.以下文件类型(后缀),不会被黑客用作Webshell的是? A:PHP文件 B:JSP文件 C:TXT文件 D:非上述答案
15.以下工具或命令,不能用来做中间人攻击的是? A:Wireshark B:Burpsuit C:MITMProxy D:Fiddler
16.以下关于PHP文件包含漏洞的说法,有明显错误的是? A:PHP的文件包含漏洞,通常由include()、 include_onceO)、require()、require_oneO这四个函数引发 B: PHP的文件包含漏洞利用时,被包含的文件必须是Web服务器能够解析的特定的文件类型 C: PHP的文件包含漏洞的利用方式,可以分为包含本地文件和包含远程