OSWE 测试题

*
1.某网站的流程突然激增,访问该网站响应慢,则该网站最有可能受到的攻击是?()
A:SQL 注入攻击
B:特洛伊木马
C:端口扫描
D:DOS 攻击
*
2.网站的安全协议是 https 时,该网站浏览时会进行________处理。
A、口令验证
B、增加访问标记
C、身份验证
D、加密
*
3.以下有关文件上传漏洞的说法错误的是()。
A.文件上传漏洞是由于文件上传功能实现代码没有严格限制用户上
B.文件上传漏洞对网站服务器没什么影响
C.文件上传漏洞可导致攻击者向服务器上传 Webshell
D.文件上传漏洞可导致攻击者控制服务器
*
4.Web 应用安全的核心问题在于( )。
A.用户可以提交任意输入
B.Web 服务器访问量巨大
C.Web 服务器存在漏洞
D.数据库服务器容易被注入
*
5.在 HTTP 状态码中表示重定向的是()
A. 200
B. 302
C. 403
D. 500
*
6.哪种 SQL 注入解决方案最容易产生漏洞()
A.通过预编译方式执行 SQL 语句
B.设置数据库语句白名单
C.使用字符串拼接方式执行 SQL 语句
D.全局过滤特殊符号
*
7.下列哪个不属于 XSS 漏洞危害()
A.身份盗用
B.钓鱼欺骗
C.网站挂马
D.SQL 数据泄露
*
8.下列哪种处理文件上传的方式比较安全()
A.通过 JavaScript 限制文件上传类型
B.在服务端限制 content-type 文件类型
C.使用文件后缀白名单并随机化上传文件名称
D.通过文件头验证文件类型
*
9.已知上级目录下的 db 目录中存在敏感文件 db.7z,以下哪个请求可以下载到该文件(),
这种漏洞的名称是()
A. download.php?../db/db.7z 目录穿越
B. download.php?/db/db.7z 文件包含
C. download.php?db.7z 远程命令执行
D. download.php?../db/db.7z 代码注入
*
10.这段代码会产生什么漏洞()
A.SQL 注入漏洞
B.命令执行漏洞
C.XSS 漏洞
D.文件包含漏洞
*
11.下列代码可以实现以下哪一项攻击()
A.通过控制 userid 和 password 参数进行 SQL 注入攻击
B.通过控制 userid 和 password 参数修改任意用户密码
C.通过控制 userid 和 password 参数进行任意用户登录
D.通过控制 userid 和 password 参数实现任意文件上传
*
12. linux 环境下,查询日志文件最后 100 行数据,正确的方式是?()
A.mv -100 log
B.grep -100 log
C.cat -100 log
D.tail -100 log
*
13.在 php + mysql + apache 架构的 web 服务中输入 GET 参数 index.php?a=1&a=2&a=3
服务器端脚本 index.php 中$GET[a] 的值是?
A.1
B.2
C.3
D.1,2,3
*
14.以下可能存在 SQL 注入攻击的部分是( )
A. GET 请求参数
B. POST 请求参数
C. COOKIE 值
D. 以上均有可能
*
15.安全专家在对某网站进行安全部署时,调整了 Apache 的运行权限,从 root 权限降低为
nobody 用户,以下操作的主要目的是:( )
A. 为了提高 Apache 软件运行效率
B. 为了提高 Apache 软件的可靠性
C. 为了避免攻击者通过 Apache 获得 root 权限
D. 为了减少 Apache 上存在的漏洞
*
16. Linux 系统对文件的权限是以模式位的形式来表示,对于文件名为 test 的一个文件,属
于 admin 组中 user 用户,以下哪个是该文件正确的模式表示?( )
A. -rwxr-xr- 3 user admin 1024 Sep 13 11:58 test;
B. drwxr-xr-x 3 user admin 1024 Sep 13 11:58 test;
C. -rwxr-xr-x 3 admin user 1024 Sep 13 11:58 test;
D. drwxr-xr-x 3 admin user 1024 Sep 13 11:58 test;
*
17. 通过修改 HTTP headers 中的哪个键值可以伪造来源网址()
A. X-Forwarded-For
B. User-Agent
C. Accept
D. Referer
*
18.SQL 注入出 password 字段值为“YWRtaW44ODg=”,这是采用了哪种加密或编码方式()
A. md5
B. base64
C. AES
D. DES
*
19.下列哪个方法不是 HTTP 协议的请求方法()
A.HEAD
B.SELECT
C.PUT
D.OPTIONS
*
20. 若已检测出当前界面所对应的数据库中有 user 表,且在使用 order by 3 测试时网页正
常显示,之后测试网页报错,现在要对 user 表进行联合查询,则以下的联合查询正确的是
()
A. ?id=44 union select 1,2,3,4 from shop
B. ?id=44 union insert 1,2,3,4 from user
C. ?id=44 union select 1,2,3 from shop
D. ?id=44 union select 1,2,3 from user
*
21.SQLmap 中–columns 命令实现的效果是()
A. 列出所有数据库名字
B. 列出所有字段名字
C. 列出所有表的名字
D. 列出指定数据库指定表中的所有字段的名字
*
22.下列哪个一句话木马可在 JSP 网站环境下执行成功?
A. <%execute(request("w"))%>
B. <?$_POST['admin']($_POST['w'],$_POST['w'])?>
C..<%@PageLanguage="Jscript"validateRequest="false" %><%Response.Write(eval(Request.It em["w"],"unsafe"));%>
D.<%if(request.getParameter("f")!=null)(newjava.io.FileOutputStream(application.getRe alPath("\\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%>
*
23.如下 PHP 代码是否存在漏洞?
A.没有安全漏洞
B.存在 SQL 注入
C.存在文件包含
D.存在命令执行
*
24.正则表达式语法中 \D 匹配的是?
A 数字
B 非数字
C 字母
D 空白字符
*
25. 下列对跨站脚本攻击描述正确的是( )。
A. XSS 攻击是指恶意攻击者往 web 页面里面插入恶意代码,当用户浏览该页之时,嵌入其 中 Web 里面的代码会被执行,从而达到恶意攻击用户的特殊目的
B. XSS 攻击是 DDOS 攻击的一种变种
C. XSS 攻击就是 CC 攻击
D. XSS 攻击就是利用被控制的机器不断地向被攻击网站发送访问请求,迫使 IIS 连接数超出限制,当 CPU 资源或者带宽资源耗尽,那么网站也就被攻击垮了,从而达到攻击目的
问卷星提供技术支持
举报