以下关于系统命令注入说法错误的是

试卷相关题目

• 1以下关于网页扫描的说法正确的是

  A.网站扫描一般是扫描漏洞，而无法对web站点的网站结构进行扫描

  B.网站扫描会对web服务器网站结构本身等产生很大的破坏影响

  C.目前常见web扫描工具在实现的技术来说，大部分都是基于url爬行的基础提取url及参数，对爬行出来的网站进行分析，产生分析报告

  D.网站扫描如果被AF识别到有扫描行为，则只会记录不做拦截

  开始考试点击查看答案
• 2关于webshell,以下说法错误的是

  A.WEBSHELL是web入侵的一种脚本工具，通常情况下是一个ASP、PHP或者JSP程序页面，也叫做网站后门木马，在入侵一个网站后，常常把这些木马放置在服务器web目录中，与正常页面混在一起，通过webshell长期操纵和控制受害者网站

  B.网页木马是一个经过黑客精心设计的HTML网页，所以网页木马不属于webshell

  C.目前被公布的一句话webshell, shell的实现都需要两步：数据的传递、执行所传递的数据

  D.小马的特点是免杀，容易上传，所以可以利用小马上传大马，通过提权获得服务器的更高权限

  开始考试点击查看答案
• 3以下关于XSS和跨站请求伪造说法正确的是

  A.XSS攻击是恶意攻击者通过web页面向数据库或HTML页面中提交恶意的客户端脚本，当用户浏览此网页时，脚本就会在用户的浏览器上执行，进而达到攻击者的目的

  B.XSS攻击和CSRF攻击类似，都可以直接获取到用户的cookie

  C.反射型和存储型XSS攻击，攻击脚本都会经过数据库，并被永久地存放在目标服务器的数据库和文件中

  D.反射型XSS只要用户点击过邮件中携带的恶意链接，中招过一次后，下次其他人只要打开这个邮件也会中招

  开始考试点击查看答案
• 4以下关于SQL注入说法正确的是

  A.SQL注入，攻击者只能通过URL地址栏输入域名的方式，利用某些特殊构造的SQL的特殊字符和指令，提交一段数据库查询代码，操纵并获得本不为用户所知的数据

  B.SQL注入的产生原因通常表现为：不当的类型处理、不安全的数据库配置、不合理的查询集处理、不当的错误处理、转义字符处理不合适等

  C.永远不要信任用户的输入，对用户的任何输入都做拦截处理，是很有效的SQL注入防范方式

  D.在浏览器中输入URL www.sampl

  E.com在请求的过程中也可能会触发SQL注入

  开始考试点击查看答案
• 5以下安全防护概述不正确的是

  A.OWASP是是一个国际性组织机构，由它定义了 Top 10的web安全防护

  B.Top 10 web安全防护是OWASP权威定义的，所定义的内容是不能被更改的

  C.随着Web技术发展越来越成熟，而非Web服务（如Windows操作系统）越来越少的暴露在互联网上，现在互联网安全主要指的是Web安全

  D.防火墙的web应用防护功能，提供了一种安全运维控制手段：基于对HTTP/HTTPS流量的双向分析，为Web应用提供实时的防护

  开始考试点击查看答案
• 6以下关于web应用防护说法正确的是

  A.目录遍历漏洞就是通过浏览器向web服务器任意目录附加或者是附加的一些变形，编码，从访问到WEB服务器的根目录开始，渐渐可以访问到web服务器的所有目录

  B.文件包含中，一般会用到如下几种包含函数：include()s include_once()、require。、require_once()

  C.利用目录遍历攻击漏洞，攻击者可以通过目录遍历的方式，可以访问到所有目录的受限制文件或资源，或者采取更危险行为，攻击者能够执行造成系统崩溃的指令

  D.文件包含攻击，可以包含各种文件格式，但除了word文件外

  开始考试点击查看答案
• 7以下关于信息泄露和整站系统漏洞攻击防护说法错误的是

  A.信息泄露漏洞是由于web服务器配置或者本身存在安全漏洞，导致一些系统文件或者配置文件直接暴露在互联网中，泄露web服务器的一些铭感信息，如用户名、密码、源代码、服务器信息、配置信息等

  B.web整站系统漏洞是一些框架漏洞，如cms> dedeems漏洞就都是框架漏洞

  C.WEB整站系统漏洞防护是针对知名WEB整站系统中特定漏洞进行的安全、可靠、高质量防护

  D.信息泄露行为被AF识别到，AF只做服务器一些敏感信息泄露的日志记录但是不做拦截处理

  开始考试点击查看答案
• 8以下关于XSS攻击错误的是

  A.XSS是一种常见于Web应用中的计算机安全漏洞

  B.反射型XSS，又称非持久型XSS，是由于代码注入的是一个动态产生的页面而不是永久的页面，所以反射型XSS既不会经过网页的后端，也不会经过数据库

  C.j^段脚本执行的结果是会弹出一个对话框显示用户的cookie信息

  D.攻击者可以通过使用与的HTML标签格式，向网页中插入一段JavaScript脚本时，使得这些脚本程序在浏览器中被执行从而实现XSS攻击

  开始考试点击查看答案
• 9以下关于地域访问控制的作用说法正确的是

  A.地域访问控制和ACL类似，也可以实现具体的源IP地址对目的IP地址的访问控制

  B.地域访问控制只应用于控制境外对境内业务的访问控制

  C.地域访问控制是通过识别IP地址所属区域，针对不通的区域开放不同的权限来进行访控制

  D.AF在能上网环境下，地址库可以实现自动更新，但出现有IP有误判的情况下，只能通过纠正IP归属地的方式来解决IP误判问题

  开始考试点击查看答案
• 10关于地域访问控制功能中使用的地址库说法错误的是

  A.IP归属地只能通过自动更新，不能在控台界面进行修改

  B.地址库能自动进行更新

  C.在控制台界面能查询到IP地址的归属地

  D.国外IP归属地可以细分到具体的国家或地区

  开始考试点击查看答案