教學檢測一一、單項選擇題（每小題2分，共10題，共20分）1.以下哪種工具是跨平臺的文字/代碼編輯器，支持多選、宏、代碼片段等功能？（）A.PhpStormB.SublimeText3C.Seay源代碼審計系統(tǒng)D.RIPS2.在PHP中，以下哪個配置項用于將PHP所能打開的文件限制在指定目錄樹中？（）A.safe_modeB.disable_functionsC.open_basedirD.magic_quotes_gpc3.以下哪種SQL注入方式是基于網(wǎng)頁返回的true或false結(jié)果來獲取數(shù)據(jù)庫信息？（）A.基于時間的盲注B.基于布爾的盲注C.聯(lián)合查詢注入D.基于錯誤信息的注入4.反射型XSS漏洞的觸發(fā)條件是（）A.惡意代碼存儲在服務(wù)器中B.攻擊者誘導(dǎo)用戶單擊惡意鏈接C.基于文檔對象模型解析D.無需用戶交互即可觸發(fā)5.以下哪個函數(shù)可能導(dǎo)致PHP代碼執(zhí)行漏洞？（）A.file_get_contents()B.mysqli_real_escape_string()C.assert()D.htmlspecialchars()6.在DVWA的暴力破解漏洞中，Impossible等級通過以下哪種方式防御暴力破解？（）A.僅對密碼進行MD5加密B.增加登錄失敗休眠時間C.限制錯誤登錄次數(shù)并鎖定賬號D.僅添加token驗證7.服務(wù)端請求偽造（SSRF）漏洞中，以下哪個協(xié)議可用于讀取本地文件？（）A.HTTPB.FileC.FTPD.SMTP8.以下哪種漏洞是由于程序?qū)τ脩羯蟼魑募男ｒ灢粐栏瘢瑢?dǎo)致可上傳惡意腳本文件？（）A.SQL注入漏洞B.文件包含漏洞C.任意文件上傳漏洞D.跨站請求偽造漏洞9.在ThinkPHP框架中，單一入口模式的默認入口文件是（）A.index.htmlB.app.phpC.index.phpD.start.php10.以下哪種魔術(shù)方法會在對象被反序列化時觸發(fā)？（）A.__construct()B.__destruct()C.__wakeup()D.__toString()二、多項選擇題（每小題3分，共10題，共30分）1.以下屬于PHP集成環(huán)境的有（）A.phpStudyB.WampServerC.LAMPD.XAMPP2.以下哪些屬于SQL注入漏洞的防范方法？（）A.使用PDO預(yù)編譯B.開啟magic_quotes_gpcC.過濾特殊字符D.使用intval()函數(shù)轉(zhuǎn)換參數(shù)類型3.以下哪些屬于XSS漏洞的類型？（）A.反射型XSSB.存儲型XSSC.DOM型XSSD.基于錯誤的XSS4.以下哪些函數(shù)可能導(dǎo)致命令執(zhí)行漏洞？（）A.system()B.exec()C.shell_exec()D.file_get_contents()5.以下關(guān)于文件包含漏洞的說法正確的有（）A.本地文件包含漏洞可讀取服務(wù)器本地文件B.遠程文件包含漏洞需要開啟allow_url_includeC.%00截斷適用于所有PHP版本D.可通過php://filter偽協(xié)議讀取加密文件6.跨站請求偽造（CSRF）漏洞的防御方法包括（）A.驗證tokenB.檢查RefererC.驗證用戶身份D.過濾特殊字符7.以下屬于反序列化漏洞利用條件的有（）A.可控的反序列化參數(shù)B.存在危險魔術(shù)方法C.存在危險函數(shù)D.開啟magic_quotes_gpc8.以下哪些屬于文件操作類漏洞？（）A.任意文件讀取漏洞B.任意文件修改漏洞C.任意文件刪除漏洞D.文件包含漏洞9.以下關(guān)于越權(quán)漏洞的說法正確的有（）A.水平越權(quán)是指低級別用戶訪問高級別用戶資源B.垂直越權(quán)是指同級別用戶訪問其他用戶資源C.越權(quán)漏洞源于權(quán)限校驗不嚴格D.可通過修改參數(shù)ID觸發(fā)越權(quán)漏洞10.以下屬于代碼審計工具的有（）A.Seay源代碼審計系統(tǒng)B.RIPSC.FortifySCAD.BurpSuite三、填空題（每小題2分，共5題，共10分）1.PHP安全模式在_______版本之后被刪除。2.魔術(shù)引號過濾中，_______用于對GPC數(shù)據(jù)進行特殊字符轉(zhuǎn)義，在PHP5.4之后被取消。3.DVWA默認的管理員賬號是_______，密碼是_______。4.命令注入漏洞中，_______符號表示在上一條命令執(zhí)行成功后執(zhí)行下一條命令。5.存儲型XSS漏洞的惡意代碼會被_______，每次訪問頁面都會觸發(fā)。四、判斷題（每小題2分，共10題，共20分）1.phpStudy僅支持Windows平臺的PHP環(huán)境搭建。（）2.disable_functions配置項可以禁止指定的PHP函數(shù)運行。（）3.基于時間的SQL盲注是根據(jù)頁面響應(yīng)時間差判斷漏洞是否存在。（）4.反射型XSS漏洞的惡意代碼不會存儲在服務(wù)器中。（）5.CSRF漏洞需要用戶已登錄目標網(wǎng)站才能觸發(fā)。（）6.文件包含漏洞中，include()函數(shù)在包含文件失敗時會終止程序執(zhí)行。（）7.反序列化漏洞只能通過unserialize()函數(shù)觸發(fā)。（）8.任意文件上傳漏洞中，修改Content-Type可繞過文件類型校驗。（）9.系統(tǒng)重裝漏洞是由于安裝文件未被刪除或加鎖導(dǎo)致的。（）10.ThinkPHP框架的MVC架構(gòu)中，View負責處理業(yè)務(wù)邏輯。（）五、簡答題（每小題10分，共2題，共20分）1.簡述SQL注入漏洞的原理及主要危害。2.簡述文件包含漏洞的分類及常見利用方式。教學檢測一標準答案及評分標準一、單項選擇題（每小題2分，計20分）1-5:BCBBC6-10:CBCCC二、多項選擇題（每小題3分，計30分）1.ABCD2.ACD3.ABC4.ABC5.ABD6.ABC7.ABC8.ABCD9.CD10.ABC三、填空題（每小題2分，計10分）1.PHP5.42.magic_quotes_gpc3.admin；password4.&&5.存儲在服務(wù)器中四、判斷題（每小題2分，計20分）1.×2.√3.√4.√5.√6.×7.×8.√9.√10.×五、簡單題（每小題10分，計20分）1.原理：程序開發(fā)過程中，未對用戶輸入的特殊字符進行過濾或過濾不嚴格，導(dǎo)致用戶輸入的惡意SQL語句被拼接到正常SQL語句中并執(zhí)行。危害：攻擊者可獲取數(shù)據(jù)庫敏感數(shù)據(jù)、篡改數(shù)據(jù)庫內(nèi)容、寫入Webshell、