渗透测试考题，你是青铜还是王者？

1. 以下命令可以用来获取DNS记录的是？

A. who

B. ping

C. traceroute

D. dig

2. SQL Sever中可以使用哪个存储过程调用操作系统命令，添加系统账号?

A. xp_dirtree

B. xp_xshell

C. xp_cmdshell

D. xpdeletekey

3. 不属于数据库加密方式的是?

A. 硬件/软件加密

B. 库内加密

C. 专用中间件加密

D. 库外加密

4. IPSecVPN安全技术没有用到?

A. 端口映射技术

B. 隧道技术

C. 加密技术

D. 入侵检测技术

5. 小方正在对小明的网站进行渗透测试，经过一段时间的探测后，小方发现小明的网站存在一个sql注入漏洞: http://i.xiaoming.com/user/says.php?uid=1845%20skey=2014 该地址是用于搜索用户曾经的发言的页面,会返回一些留言信息，小方简单测试后发现 http://i.xiaoming.com/user /says.php?uid=1845%20skey=2014’%20or%202-1%20--%20 返回错误信息 http://i.xiaoming.com/user /says.php?uid=1845%20skey=2014’%20)%20or%201-1%20--%20 却返回空白信息则小明网站该处逻辑可能的sql语句是：

A. select * from user_says where deleted=0 and uid=$uid and skey like “%$skey%”

B. select * from user_says where deleted=0 and (uid=$uid and skey like ‘%$skey%’)

C. select * from user_says where deleted=0 and (uid=$uid and skey=’$key’)

D. select * from user_says where deleted=0 and uid=$uid and skey=’$key’

6. 张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友的昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击？

A. 口令攻击

B. 拒绝服务攻击

C. 社会工程学攻击

D. 暴力破解

7. 如何防护存储型XSS漏洞?

A. 使用Cookie存储身份信息

B. 对html标签进行转义处理

C. 使用Ajax技术

D. 使用安全的浏览器

8. 以下算法中属于非对称算法的是?

A. DES

B. RSA算法

C. IDEA

D. 三重DES

9. 在web页面中增加验证码功能后，下面说法正确的是？

A. 可以防止注入攻击

B. 可以防止文件上传漏洞

C. 可以防止数据重复提交正确答案

D. 可以防止文件包含漏洞

10. 数据保密性安全服务的基础是？

A. 数字签名机制

B. 加密机制

C. 访问控制机制

D. 数据完整性机制

您的姓名：



联系方式

邮箱

专业或岗位

您意向培训应急响应哪个级别？【多选题】

CISP-PTE（国家注册渗透测试工程师）

CISP-PTS（国家注册渗透测试专家）