知识测试1
本测试旨在了解被测者在Web安全方面的熟悉程度,每个人都有或多或少的了解,请依照自己的想法如实填写。此测试结果仅仅用于观察了解,不作为任何事情的衡量标准,也不另作他用,请放心作答。
作答时,请注意下列四点:
(1)请不要费时斟酌。应当顺其自然地依你个人反应选答。
(2)请不要遗漏,务必对每个问题作答。
(3)请不要上网查询或者询问他人,依照真实想法作答就好。
您的姓名:
1. 关于黑客注入攻击说法错误的是()。
A 它的主要原因是程序对用户的输入缺乏过滤
B 一般情况下防火墙对它无法防范
C 对它进行防范时要关注操作系统的版本和安全补丁
D 注入成功后可以获取部分权限
2. 下列方法()不能防止失效的身份认证和会话管理漏洞。
A 避免未经授权访问会话状态
B 使用账户锁定策略
C 为记忆方便采用固定强密码
D 保护身份验证Cookie
3. ()是失效的身份认证和会话管理而造成的主要危害
A 数据泄露
B 冒充用户身份查看或变更记录,甚至执行事务
C 文件系统遭到破坏
D 网络不稳定
4. 下列哪一个选项不属于XSS跨站脚本漏洞危害:()
A 钓鱼欺骗
B 身份盗用
C SQL数据泄露
D 网站挂马
5. 下列对跨站脚本攻击(XSS)的解释最准确的一项是:()
A 引诱用户点击虚假网络链接的一种攻击方法
B 构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问
C 一种很强大的木马攻击手段
D 将恶意代码嵌入到用户浏览的web网页中,从而达到恶意的目的
6. 当用户双击自己Web邮箱中邮件的主题时,出发了邮件正文页面中的XSS漏洞,这种XSS漏洞属于()
A 反射型XSS
B 存储型XSS
C CSRF-based XSS
D DOM-based XSS
7. 如果浏览器保存了用户的session,并一直保持有效,而服务器端对于活动的Session一直不销毁,那么攻击者通过此Session一直使用用户账户叫做()
A 域名劫持
B 会话劫持
C 中间人攻击
D 点击劫持
8. 服务器端的安全防护策略不包括()
A Web服务器上的Web应用程序要进行安全控制
B 部署专用的Web防火墙保护Web服务器的安全
C Web服务器上应选择安全的、可信的浏览器
D Web服务器要进行安全配置
9. 上网的时候,访问某个网页却突然出现了某个运营商的网页(如联通、电信)。出现此问题可能的原因是?()
A DNS劫持
B DDoS攻击
C MAC地址欺骗
D 伪造DHCP服务器
10. 下面有关CSRF的描述,说法错误的是()?
A CSRF则通过伪装来自受信任用户的请求来利用受信任的网站
B XSS是实现CSRF的诸多途径中的一条
C 在客户端页面增加伪随机数可以阻挡CSRF
D 过滤用户输入的内容也可以阻挡CSRF
11. 要安全浏览网页,不应该( )
A 定期清理浏览器缓存和上网历史记录
B 禁止使用ActiveX控件和Java脚本
C 定期清理浏览器Cookies
D 在他人计算机上使用“自动登录”和“记住密码”功能
12. 在典型的WEB应用站点的层次结构中,“中间件”是在哪里运行的()?
A 浏览器客户端
B web服务器
C 应用服务器
D 数据库服务器
13. 在Web页面中增加验证码功能后,下面说法正确的是()
A 可以增加账号破解等自动化软件的攻击难度
B 可以防止文件包含漏洞
C 可以防止缓冲溢出
D 可以防止浏览
14. 常见web攻击方法,不包括?
A 利用服务器配置漏洞
B 恶意代码上传下载
C 构造恶意输入(SQL注入、命令注入等)
D ARP欺骗
15. URL访问控制不当不包括()
A Web应用对页面权限控制不严
B 缺乏统一规范的权限控制框架
C 部分页面可以直接从URL中访问
D 使用分散登录认证
16. 以下哪个不是CSRF漏洞的防御方案?()
A 检测HTTPrefer 字段同域
B 延长session、cookie的生命周期
C cookie关键字段设置HttPOnly属性
D 使用验证码
17. 如果一个网站存在CSRF漏洞,可以通过CSRF漏洞做下面哪些事情()
A 获取网站用户注册的个人资料信息
B 修改网站用户注册的个人资料信息
C 冒用网站用户的身份发布信息
D 以上都可以
18. 以下关于CC攻击的说法正确的是()
A CC攻击需要借助代理进行
B CC攻击利用的是TCP协议的缺陷
C CC攻击难以获取目标主机的控制权
D CC攻击最早在国外大面积流行
19. 黑客通过以下攻击方式,可能大批量获取网站注册用户的身份信息,除了那种方法?
A XSS
B CSRF
C 越权
D DDos
20. 下列选项中不是Adroid应用中导致HTTPS中间人攻击的原因是()
A 没有对SSL证书校验
B 没有对主机名进行校验
C SSL证书被泄露
D 使用WIFI连接网络
21. 攻击者采用某种手段,使用户访问某网站时获得一个其他网站的IP地址,从而将用户的访问引导到其他网站,这种攻击手段称为?
A ARP欺骗攻击
B 中间人攻击
C 暴力攻击
D 重放攻击
22. 下面对于 Cookie 的描述中错误的是?
A Cookie通过HTTP Headers从浏览器端发送到服务器端并存储在服务器端
B Cookie的大小限制在4kb左右,对于复杂的存储需求来说是不够用的
C 如果在一台计算机中安装多个浏览器,每个浏览器都会以独立的空间存放cookie
D 由于在HTTP请求中的Cookie是明文传递的,所以安全性成问题
23. 以下哪种SQL注入支持多语句执行?
A SQL Server
B Oracle
C MySql
D DB2
24. 浏览器和服务器在基于 HTTPS 进行请求链接到数据传输过程中,用到了如下哪些技术?
A 非对称加密技术
B 对称加密技术
C 散列(哈希)算法
D 以上都用到
25. 攻击者截获并记录了从A到B的数据,然后又从早些时候所截获的数据中提取出信息重新发往B称为?
A 中间人攻击
B 口令猜测器和字典攻击
C 强力攻击
D 重放攻击
您常用的Email地址:
关闭
更多问卷
复制此问卷