大學(xué)web漏洞考試題及答案

單項(xiàng)選擇題（每題2分，共10題）1.以下哪種漏洞可能導(dǎo)致數(shù)據(jù)庫信息泄露？A.SQL注入B.XSSC.CSRFD.點(diǎn)擊劫持2.關(guān)于文件上傳漏洞，以下說法正確的是？A.只可能上傳圖片B.可上傳任意文件C.只能上傳小于1M的文件D.不能上傳可執(zhí)行文件3.以下哪個(gè)是常見的弱密碼導(dǎo)致的安全風(fēng)險(xiǎn)？A.網(wǎng)站打不開B.被暴力破解C.頁面顯示異常D.網(wǎng)速變慢4.XSS攻擊主要利用的是？A.服務(wù)器漏洞B.瀏覽器漏洞C.數(shù)據(jù)庫漏洞D.網(wǎng)絡(luò)漏洞5.防止CSRF攻擊通常采用？A.驗(yàn)證碼B.加密數(shù)據(jù)C.隱藏表單字段D.限制IP訪問6.以下哪種是常見的Web漏洞掃描工具？A.WiresharkB.BurpSuiteC.NetcatD.Nmap7.目錄遍歷漏洞可能造成？A.下載任意文件B.修改數(shù)據(jù)庫記錄C.提升用戶權(quán)限D(zhuǎn).篡改網(wǎng)頁內(nèi)容8.以下哪個(gè)不是Web應(yīng)用防火墻的功能？A.阻止SQL注入B.查殺病毒C.防范XSS攻擊D.過濾惡意請(qǐng)求9.弱口令是指？A.包含特殊字符的密碼B.長(zhǎng)度超過8位的密碼C.簡(jiǎn)單易猜的密碼D.定期更換的密碼10.關(guān)于Web漏洞修復(fù)，以下做法錯(cuò)誤的是？A.及時(shí)更新系統(tǒng)補(bǔ)丁B.忽略小的漏洞C.對(duì)敏感信息加密存儲(chǔ)D.限制用戶輸入長(zhǎng)度答案：1.A2.B3.B4.B5.A6.B7.A8.B9.C10.B多項(xiàng)選擇題（每題2分，共10題）1.以下哪些屬于Web漏洞？A.SQL注入B.命令注入C.文件上傳漏洞D.信息泄露2.防止XSS攻擊的方法有？A.對(duì)用戶輸入進(jìn)行過濾B.設(shè)置HTTP頭C.對(duì)輸出進(jìn)行編碼D.禁止用戶輸入特殊字符3.關(guān)于CSRF攻擊，以下說法正確的是？A.攻擊者偽裝成合法用戶B.利用用戶已登錄的身份C.可通過誘導(dǎo)用戶點(diǎn)擊鏈接觸發(fā)D.只能攻擊GET請(qǐng)求4.以下哪些是文件上傳漏洞的危害？A.上傳惡意腳本攻擊其他用戶B.泄露服務(wù)器敏感文件C.執(zhí)行任意命令D.篡改網(wǎng)站首頁5.檢測(cè)Web漏洞的方法有？A.使用漏洞掃描工具B.人工審查代碼C.分析服務(wù)器日志D.測(cè)試用戶輸入6.應(yīng)對(duì)Web漏洞的措施有？A.安全配置服務(wù)器B.定期備份數(shù)據(jù)C.對(duì)代碼進(jìn)行安全審查D.關(guān)閉不必要的服務(wù)7.以下哪些可能導(dǎo)致SQL注入漏洞？A.未對(duì)用戶輸入進(jìn)行驗(yàn)證B.使用動(dòng)態(tài)SQLC.數(shù)據(jù)庫權(quán)限過大D.代碼中存在硬編碼8.關(guān)于弱密碼，以下說法正確的是？A.容易被破解B.增加安全風(fēng)險(xiǎn)C.應(yīng)盡量避免使用弱密碼D.弱密碼只存在于用戶登錄環(huán)節(jié)9.以下哪些屬于Web安全防護(hù)機(jī)制？A.防火墻B.入侵檢測(cè)系統(tǒng)C.Web應(yīng)用防火墻D.加密技術(shù)10.目錄遍歷漏洞可能出現(xiàn)在哪些場(chǎng)景？A.文件上傳功能B.圖片展示功能C.下載功能D.數(shù)據(jù)庫查詢功能答案：1.ABCD2.ABC3.ABC4.ABC5.ABCD6.ABCD7.ABC8.ABC9.ABCD10.AC判斷題（每題2分，共10題）1.SQL注入只能攻擊MySQL數(shù)據(jù)庫。（）2.XSS攻擊一定是通過JavaScript實(shí)現(xiàn)的。（）3.只要設(shè)置了強(qiáng)密碼，就不會(huì)存在安全風(fēng)險(xiǎn)。（）4.CSRF攻擊只能在同一網(wǎng)站內(nèi)進(jìn)行。（）5.文件上傳漏洞只能上傳可執(zhí)行文件才會(huì)有危害。（）6.弱口令是導(dǎo)致Web漏洞的唯一原因。（）7.Web應(yīng)用防火墻可以完全防止所有Web漏洞。（）8.目錄遍歷漏洞可以通過限制文件路徑訪問來防范。（）9.信息泄露漏洞只會(huì)泄露數(shù)據(jù)庫中的信息。（）10.定期更新Web應(yīng)用程序可以有效減少漏洞。（）答案：1.×2.×3.×4.×5.×6.×7.×8.√9.×10.√簡(jiǎn)答題（總4題，每題5分）1.簡(jiǎn)述SQL注入的原理。利用輸入驗(yàn)證缺陷，通過構(gòu)造特殊SQL語句，繞過驗(yàn)證獲取數(shù)據(jù)庫敏感信息或執(zhí)行惡意操作。2.如何防范文件上傳漏洞？對(duì)上傳文件類型、大小進(jìn)行嚴(yán)格驗(yàn)證，限制上傳目錄，對(duì)上傳文件進(jìn)行安全檢測(cè)。3.說出兩種檢測(cè)XSS漏洞的方法。使用漏洞掃描工具檢測(cè)；人工輸入特殊字符查看頁面輸出是否異常。4.怎樣防止弱密碼引發(fā)的安全問題？設(shè)置密碼強(qiáng)度要求，如包含字母、數(shù)字、特殊字符，定期更換密碼。討論題（總4題，每題5分）1.討論Web漏洞對(duì)企業(yè)的危害。影響企業(yè)業(yè)務(wù)正常運(yùn)行，導(dǎo)致數(shù)據(jù)泄露，損害企業(yè)聲譽(yù)，可能面臨法律風(fēng)險(xiǎn)和經(jīng)濟(jì)損失。2.談?wù)勅绾翁岣遅eb應(yīng)用的安全性。做好安全配置，定期更新系統(tǒng)和軟件，審查代碼，部署防護(hù)設(shè)備，對(duì)員工進(jìn)行安全培訓(xùn)。3.說說發(fā)現(xiàn)Web漏洞后應(yīng)采取的