注：不含主觀題第1題第2題下面的哪一種攻擊不屬于注入攻擊？ACSRFBXSSCSQLInjection第3題CSRF攻擊一定是跨站攻擊。第4題XSS一定是跨站攻擊。第5題使用SQL注入，只要知道數(shù)據(jù)庫(kù)中已有用戶的用戶名，就可以進(jìn)行登錄。第6題第1題HTTP協(xié)議中，指明請(qǐng)求頁(yè)面禁止訪問(wèn)的狀態(tài)字是A302B403C404D500第2題第3題第4題Apache--作業(yè)第1題第2題第3題Apache一個(gè)端口只能支持一個(gè)網(wǎng)站。第4題第5題SSL第1題SSL協(xié)議可以提供安全通信的CIA特性，也即保密性、可用性和完整性。第2題第3題第4題第5題第6題第7題第8題第9題RSA算法是不可破解的。第10題第11題CA的根證書(shū)包含有自己的公鑰。第12題提供HTTPS服務(wù)的Web服務(wù)器的證書(shū)中包含有自己的公鑰。OpenSSL--作業(yè)第1題第2題第3題用戶自建CA不能受到瀏覽器的信任。第4題第5題HTML第1題第2題第3題HTML的標(biāo)簽都有起始標(biāo)簽和結(jié)束標(biāo)簽，語(yǔ)法結(jié)構(gòu)很嚴(yán)格。第4題下列哪一項(xiàng)類型表示的input不是按鈕Atype="text"Btype="submit"Ctype="reset"Dtype="button"第5題在網(wǎng)頁(yè)中，用于創(chuàng)建超鏈接的標(biāo)簽是A<a></a>B<link></link>C<p></p>D<li></li>第6題HTML文檔的樹(shù)狀結(jié)構(gòu)中，（）標(biāo)簽為文檔的根節(jié)點(diǎn)，位于結(jié)構(gòu)中的最頂層A<html>B<title>C<body>D<head>CSS第1題第2題HTML元素的格式設(shè)置方法中，優(yōu)先級(jí)最高的是（）A內(nèi)聯(lián)樣式B瀏覽器缺省設(shè)置C內(nèi)部樣式表D外部樣式表第3題要在網(wǎng)頁(yè)中插入樣式表main.css,以下用法中，正確的是（）A<LinkSrc=”main.css”type=text/cssrel=stylesheet>B<Linkhref=”main.css”type=text/cssrel=stylesheet>C<Linkhref=”main.css”type=text/css>D<Includehref=”main.css”type=text/cssrel=stylesheet>第4題為了選中表格當(dāng)中的所有奇數(shù)行元素，可以使用A:nth-child(odd)B:nth-child(even)C:odd-childD.tableodd-child第5題關(guān)于CSS功能，下面說(shuō)法正確的是ACSS樣式表可以使許多網(wǎng)頁(yè)同時(shí)更新BCSS樣式表可以控制頁(yè)面的布局CCSS樣式表可以將格式和結(jié)構(gòu)分離DCSS樣式表能制作體積更小下載更快的網(wǎng)頁(yè)正確答案：ABCD第6題第7題第8題CSS欺騙只能達(dá)到了視覺(jué)效果，并不能真正改變后臺(tái)數(shù)據(jù)。第9題第10題JavaScript--作業(yè)第1題通過(guò)文檔對(duì)象模型的支持，JavaScript可以改變頁(yè)面所有的HTML元素。第2題如果在HTML頁(yè)面中包含如下圖片標(biāo)簽，則哪個(gè)語(yǔ)句能夠?qū)崿F(xiàn)隱藏該圖片的功能。<imgid=”pic”src=”img.jpg”>Adocument.getElementById(“pic”).style.display=”visible”;Bdocument.getElementById(“pic”).style.display=”none”;Cdocument.getElementById(“pic”).style.display=”block”Ddocument.getElementsById(“pic”).style.display=”none”;第3題要在頁(yè)面的狀態(tài)欄中顯示“helloworld”，正確的做法是：Awindow.status="helloworld"Bdocument.status="helloworld"Cdocument.screen="helloworld"Dwindow.screen="helloworld"第4題JavaScript可以使用（）選擇頁(yè)面元素。Adocument.getElementsById()Bdocument.getElementById()Cdocument.getElementByTagName()Ddocument.getElementsByClass()正確答案：BD第5題第6題JavaScript經(jīng)過(guò)標(biāo)準(zhǔn)化之后，所有瀏覽器對(duì)JavaScript的實(shí)現(xiàn)都是完全一致的。第7題第8題在HTML頁(yè)面中，在哪個(gè)標(biāo)簽中間的內(nèi)容會(huì)被當(dāng)作Javascript代碼執(zhí)行？A<script></script>B<javascript></javascript>C<body></body>D<head></head>第9題如果想在網(wǎng)頁(yè)顯示后,動(dòng)態(tài)地改變網(wǎng)頁(yè)的標(biāo)題A通過(guò)document.title=(“新的標(biāo)題內(nèi)容”)B不可能改變C通過(guò)document.write(“新的標(biāo)題內(nèi)容”)D通過(guò)document.changeTitle(“新的標(biāo)題內(nèi)容”)第10題在HTML頁(yè)面中，不能與onChange事件處理程序相關(guān)聯(lián)的表單元素有（）A按鈕B文本框C復(fù)選框D列表框第11題在HTML頁(yè)面上，當(dāng)按下鍵盤上的任意鍵，會(huì)觸發(fā)Javascript的（）事件。AonSubmitBonKeyDownConBlurDonFocus第12題分析下面的Javascript代碼段，輸出結(jié)果是（）document.write(parseInt("666號(hào)臺(tái)風(fēng)"));A666號(hào)臺(tái)風(fēng)B666CNullDUndefined第13題JavaScript中，alert('34'>'129')的結(jié)果為：AtrueBfalse第14題JavaScript中，alert('a34'>'25')的結(jié)果為：AtrueBfalse第15題Javascript代碼只能出現(xiàn)在<head>標(biāo)簽中。第16題JavaScript代碼中，變量無(wú)類型，使用前無(wú)需聲明。PHP--作業(yè)第1題讀取post方法傳遞的表單元素值的方法是（）A$_post['']B$_POST['']C$post['']D$POST['']第2題PHP代碼包括在（）標(biāo)簽中。A<?php?>B<php></php>C<?></?>D<script></script>CSRF攻擊演示--作業(yè)第1題CSRF攻擊一定是跨站攻擊。第2題第3題Cookie第1題Cookie是保存在（）的信息。A客戶端B服務(wù)器端第2題關(guān)于Cookie的描述，正確的是（）ACookie是一個(gè)鍵值對(duì)BCookie用于保存于服務(wù)器端通信所用到的數(shù)據(jù)CCookie可用于設(shè)置用戶的訪問(wèn)偏好DCookie用在在服務(wù)器上保存關(guān)于訪問(wèn)者的信息正確答案：ABC第3題第4題HTTP必須是有狀態(tài)的協(xié)議，以記錄用戶的完整的訪問(wèn)過(guò)程。第5題為了便于訪問(wèn)，Cookie可以跨域名訪問(wèn)。CSRF原理--作業(yè)第1題CSRF攻擊的主要表現(xiàn)形式為（）A竊取用戶敏感信息，例如賬戶密碼B偽裝成用戶本人發(fā)送未授權(quán)的請(qǐng)求謀取利益C傳播病毒，制造肉雞D鎖定用戶文件，勒索“贖金”第2題CSRF需要竊取到用戶的Cookie才能成功。第3題CSRF必須能夠竊取到用戶的登錄名和密碼才能成功。CSRF防御--作業(yè)第1題第2題不屬于CSRF攻擊防御的方法是：A使用隨機(jī)TokenB驗(yàn)證RefererC使用短信校驗(yàn)碼D限制訪問(wèn)頻率第3題第4題第5題XSS攻擊演示--作業(yè)第1題利用XSS漏洞，攻擊者可以在用戶網(wǎng)頁(yè)上執(zhí)行JavaScript代碼，因此可以實(shí)現(xiàn)JS代碼的所有功能。XSS原理分析--作業(yè)第1題CSRF和XSS攻擊效果類似，攻擊代碼類似，原理也類似。第2題第3題第4題第5題對(duì)XSS解釋最準(zhǔn)確的一項(xiàng)是（）A將惡意腳本代碼嵌入到Web網(wǎng)頁(yè)中，謀求利益B一種木馬攻擊手段C引誘用戶點(diǎn)擊虛假網(wǎng)絡(luò)鏈接的一種攻擊方法D對(duì)數(shù)據(jù)庫(kù)進(jìn)行非法訪問(wèn)第6題關(guān)于XSS的說(shuō)法正確的是（）AXSS可以修改頁(yè)面內(nèi)容BXSS能修改數(shù)據(jù)庫(kù)CXSS利用客戶端漏洞發(fā)起攻擊DXSS和CSRF攻擊原理類似Ajax--作業(yè)第1題第2題第3題第4題第5題SOP第1題以下哪些標(biāo)簽可以加載跨域資源？A<script>B<img>C<iframe>D<link>第2題XSS防御--作業(yè)第1題第2題第3題第4題通過(guò)黑名單過(guò)濾<script>標(biāo)簽，可以有效地防御XSS漏洞。第5題通過(guò)在輸入時(shí)使用白名單過(guò)濾，可以有效地防御XSS攻擊。點(diǎn)擊劫持演示--作業(yè)第1題在點(diǎn)擊劫持中，攻擊者首先竊取了用戶的身份認(rèn)證，然后冒充用戶發(fā)出請(qǐng)求。第2題在點(diǎn)擊劫持中，用戶自己操作了頁(yè)面，向服務(wù)器發(fā)出了請(qǐng)求。點(diǎn)擊劫持原理--作業(yè)第1題第2題對(duì)點(diǎn)擊劫持的描述錯(cuò)誤的是（）A可以設(shè)置欺騙型頁(yè)面，使得用戶在不知情的情況下完成攻擊B需要使用iframe嵌套攻擊目標(biāo)的網(wǎng)頁(yè)C目標(biāo)網(wǎng)站需要存在CSRF漏洞D點(diǎn)擊劫持需要使用CSS進(jìn)行精確地對(duì)齊，以形成較好的欺騙性第3題第五周：點(diǎn)擊劫持攻擊--點(diǎn)擊劫持防御第1題HTTP響應(yīng)頭信息中的____，可以指示瀏覽器是否應(yīng)該加一個(gè)iframe中的頁(yè)面。SQL注入演示--作業(yè)第1題網(wǎng)絡(luò)防火墻不能夠阻斷的攻擊是（）。ADoSBSQL注入CSYNFlooding第2題關(guān)于SQL注入說(shuō)法正確的是（）.ASQL注入漏洞，可以通過(guò)加固服務(wù)器來(lái)實(shí)現(xiàn)B這種攻擊是將SQL病毒注入內(nèi)網(wǎng)，引起內(nèi)網(wǎng)崩潰CSQL注入攻擊，可以造成整個(gè)數(shù)據(jù)庫(kù)全部泄露DSQL注入攻擊是攻擊者直接對(duì)web數(shù)據(jù)庫(kù)所在主機(jī)的攻擊第3題通過(guò)SQL注入，攻擊者有可能對(duì)服務(wù)器做哪些操作（）A繞過(guò)登錄驗(yàn)證，不知道密碼即可登錄B獲取敏感信息：以管理員帳號(hào)登錄C文件讀取D遠(yuǎn)程執(zhí)行系統(tǒng)命令正確答案：ABCD第4題以下哪種符號(hào)在SQL注入攻擊中經(jīng)常用到（）。A'B$C@D-SQL注入原理--作業(yè)第1題以下語(yǔ)句可以返回Student表中的所有記錄。Select*fromStudentwhere1or0and0;第2題以下語(yǔ)句可以返回Student表中的所有記錄。Select*fromStudentwhere0or1and0;第3題以下語(yǔ)句可以返回Student表中的所有記錄。Select*fromStudentwhere1or0and1;第4題Student表中按順序注冊(cè)了A、B和C三名用戶。登錄頁(yè)面的查詢語(yǔ)句是這樣構(gòu)造的select*fromStudentwherename=GET[′name′]andpass=_GET['password']。那么，在登錄頁(yè)面的用戶名輸入框中輸入【A'#】可以以用戶A身份登入。第5題Student表中按順序注冊(cè)了A、B和C三名用戶。登錄頁(yè)面的查詢語(yǔ)句是這樣構(gòu)造的select*fromStudentwherename=GET[′name′]andpass=_GET['password']。那么，在登錄頁(yè)面的用戶名輸入框中輸入B'or1#可以以用戶A身份登入。第6題Student表中按順序注冊(cè)了A、B和C三名用戶。登錄頁(yè)面的查詢語(yǔ)句是這樣構(gòu)造的select*fromStudentwherename=GET[′name′]andpass=_GET['password']。那么，在登錄頁(yè)面的用戶名輸入框中輸入'or1#可以以用戶A身份登入。第7題Student表中按順序注冊(cè)了A、B和C三名用戶。登錄頁(yè)面的查詢語(yǔ)句是這樣構(gòu)造的select*fromStudentwherename=GET[′name′]andpass=_GET['password']。那么，在登錄頁(yè)面的用戶名輸入框中輸入C'and1#可以以用戶A身份登入。第8題Student表中按順序注冊(cè)了A、B和C三名用戶。登錄頁(yè)面的查詢語(yǔ)句是這樣構(gòu)造的select*fromStudentwherename=GET[′name′]andpass=_GET['password']。那么，在登錄頁(yè)面的用戶名輸入框中輸入A'and'1可以以用戶A身份登入。第9題Student表中按順序注冊(cè)了A、B和C三名用戶。登錄頁(yè)面的查詢語(yǔ)句是這樣構(gòu)造的select*fromStudentwherename=GET[′name′]andpass=_GET['password']。那么，在登錄頁(yè)面的用戶名輸入框中輸入A'and'A#可以以用戶A身份登入。第10題Student表中按順序注冊(cè)了A、B和C三名用戶。登錄頁(yè)面的查詢語(yǔ)句是這樣構(gòu)造的select*fromStudentwherename=GET[′name′]andpass=_GET['password']。那么，在登錄頁(yè)面的用戶名輸入框中輸入B'#可以以用戶B身份登入。第11題Student表中按順序注冊(cè)了A、B和C三名用戶。登錄頁(yè)面的查詢語(yǔ)句是這樣構(gòu)造的select*fromStudentwherename=GET[′name′]andpass=_GET['password']。那么，在登錄頁(yè)面的用戶名輸入框中輸入B'or0#可以以用戶B身份登入。第12題Student表中按順序注冊(cè)了A、B和C三名用戶。登錄頁(yè)面的查詢語(yǔ)句是這樣構(gòu)造的select*fromStudentwherename=GET[′name′]andpass=_GET['password']。那么，在登錄頁(yè)面的用戶名輸入框中輸入B'or'B#可以以用戶B身份登入。第13題Student表中按順序注冊(cè)了A、B和C三名用戶。登錄頁(yè)面的查詢語(yǔ)句是這樣構(gòu)造的select*fromStudentwherename=GET[′name′]andpass=_GET['password']。那么，在登錄頁(yè)面的用戶名輸入框中輸入A'and1=1可以以用戶A身份登入。第14題Student表中按順序注冊(cè)了A、B和C三名用戶。登錄頁(yè)面的查詢語(yǔ)句是這樣構(gòu)造的select*fromStudentwherename=GET[′name′]andpass=_GET['password']。那么，在登錄頁(yè)面的用戶名輸入框中輸入'or'1可以以用戶A身份登入。第15題第16題第17題WebShell中使用的PHP語(yǔ)句是system