国科大学习生活（期末复习资料、课程大作业解析、学习文档等）: 文章专栏（点击跳转）

开课编号：1802030839X5P3001H 课程名称：Web安全技术 任课教师：刘老师、刘老师 本试卷卷面共计50分，所有试题答案均写在答题纸上。

1.以下编程语言中，最不适合用于Web开发的是？ A：PHP B：JSP C：JavaScript D：C/C++

2.以下属于编码算法的是？ A：BASE64 B：MD5 C：SHAI D：RSA

3.以下哪种攻击，不能视为“代码注入”？ A：SQL注入 B：XSS C：CSRF D：文件包含

4.以下关于HTTP协议的说法，有明显错误的是？ A：HTTP是应用层协议，通常承载于TCP协议之上，常用端口号是80 B：HTTPS协议是HTTP协议的升级版本，解决了HTTP协议固有的安全问题 C：HTTP协议存在先天性弊端，如采用明文传输数据，且身份认证缺乏校验 D：采用HTTP协议通信时，存在被中间人攻击的风险

5.以下哪种Web请求，会受浏览器同源策略的约束？

6.以下关于SSRF的说法，哪一个是正确的？ A：无法实现本地文件的获取 B：无法用于绕过Chrome 浏览器的沙箱机制 C：无法攻击运行在内网或本地的应用程序 D：无法对内网的Web应用进行指纹识别

7.相比较而言，以下哪款工具，最不可能用于Web渗透攻击？ A：中国菜刀   B: SQLMap   C: Burpsuite   D：NoScript

8.以下关于HTTPS的说法，哪一个是错误的？ A：在正式传输数据前，通信双方先进行身份确以 B：通信双方在密钥协商过程中，使用非对称密钥传输数据 C：通信双方在密钥协商后，使用非对称密钥传输数据 D：HTTPS 通信常用端口号是443

9.以下关于Cookie 和Session的说法，有明显错误的是： A：Cookie 用在客户端，用于辨别用户身份和维持状态 B：Session 用在服务端，用于辨别用户身份和维持状态 C：浏览器Cookie 的Secure 属性是为了防止Cookie被JavaScript读取和修改 D：必从安全性角度考虑，应该多使用Session；从性能角度考虑，应该多使用Cookie

10.以下关于DNS的说法，有明显错误的是： A：DNS 协议典型的端口号是53，既使用UDP协议，也使用TCP协议 B：全球有13台DNS根服务器，其中1台主根服务器，12台辅根服务器，上面保存了全球绝大部分域名对应的IP地址 C：DNS的查询方式有两种：递归查询和迭代查询办 D：DNS 是Domain Name System的缩写，是提供域名和IP地址相互映射的一个分布式数据库

11.以下哪个条SQL语句（运行环境：Mysql)，一般不会引发数据库报错？ A. select exp((select * from(select userO)a) B. select updatexml(0x3a,concat(1,(select userO))),1) C. select 1 from (select count(*),concat(select userO),floor(rand(0)*2))x from information schema.tables group by x)a D. select’’ into outfile 'd:Nwww\m.php

12.哪个符号，被黑客广泛地用于SQL注入测试？ A：下划线符 B：反斜线符 C：单引号符 D：非上述答案

13.以下关于浏览器安全机制的说法，有明显错误的是？ A：沙箱（Sandbox）是一种隔离对象/线程/进程的机制，目的是控制其访问系统资源的权限 B：各个浏览器对同一种安全机制的实现方式并不一定相同 C：地址空间布局随机化(AddressSpace Layout Randomization)和数据执行保护(Data Execution Prevention)是浏览器上特有的安全机制 D：MemGC(Memory Garbage Collector)是一种内存管理机制大

14.以下文件类型（后缀），不会被黑客用作Webshell的是？ A：PHP文件 B：JSP文件 C：TXT文件 D：非上述答案

15.以下工具或命令，不能用来做中间人攻击的是？ A：Wireshark B：Burpsuit C：MITMProxy D：Fiddler

16.以下关于PHP文件包含漏洞的说法，有明显错误的是？ A：PHP的文件包含漏洞，通常由include()、 include_onceO)、require()、require_oneO这四个函数引发 B： PHP的文件包含漏洞利用时，被包含的文件必须是Web服务器能够解析的特定的文件类型 C： PHP的文件包含漏洞的利用方式，可以分为包含本地文件和包含远程