以下关于XSS攻击错误的是
A.XSS是一种常见于Web应用中的计算机安全漏洞
B.反射型XSS,又称非持久型XSS,是由于代码注入的是一个动态产生的页面而不是永久的页面,所以反射型XSS既不会经过网页的后端,也不会经过数据库
C.j^段脚本执行的结果是会弹出一个对话框显示用户的cookie信息
D.攻击者可以通过使用与的HTML标签格式,向网页中插入一段JavaScript脚本时,使得这些脚本程序在浏览器中被执行从而实现XSS攻击
试卷相关题目
- 1以下关于信息泄露和整站系统漏洞攻击防护说法错误的是
A.信息泄露漏洞是由于web服务器配置或者本身存在安全漏洞,导致一些系统文件或者配置文件直接暴露在互联网中,泄露web服务器的一些铭感信息,如用户名、密码、源代码、服务器信息、配置信息等
B.web整站系统漏洞是一些框架漏洞,如cms> dedeems漏洞就都是框架漏洞
C.WEB整站系统漏洞防护是针对知名WEB整站系统中特定漏洞进行的安全、可靠、高质量防护
D.信息泄露行为被AF识别到,AF只做服务器一些敏感信息泄露的日志记录但是不做拦截处理
开始考试点击查看答案 - 2以下关于web应用防护说法正确的是
A.目录遍历漏洞就是通过浏览器向web服务器任意目录附加或者是附加的一些变形,编码,从访问到WEB服务器的根目录开始,渐渐可以访问到web服务器的所有目录
B.文件包含中,一般会用到如下几种包含函数:include()s include_once()、require。、require_once()
C.利用目录遍历攻击漏洞,攻击者可以通过目录遍历的方式,可以访问到所有目录的受限制文件或资源,或者采取更危险行为,攻击者能够执行造成系统崩溃的指令
D.文件包含攻击,可以包含各种文件格式,但除了word文件外
开始考试点击查看答案 - 3以下关于系统命令注入说法错误的是
A.操作系统命令攻击是攻击者提交特殊的字符或者操作系统命令,web程序没有进行检测或者绕过web应用程序过滤,把用户提交的请求作为指令进行解析,导致操作系统命令执行
B.系统命令注入主要用于asp/php/jsp等网页中嵌入webshell后,执行各种命令提权或收集系统信息,但不会产生什么危害
C.系统命令注入中,多命令按成功顺序执行(linux与windows使用"&&"),多命令按失败顺序执行(linux与windows使用"||")
D.系统命令注入的危害包括:获取服务器信息、构造一句话木马、更改网站主页、盗取当前用户cookie等
开始考试点击查看答案 - 4以下关于网页扫描的说法正确的是
A.网站扫描一般是扫描漏洞,而无法对web站点的网站结构进行扫描
B.网站扫描会对web服务器网站结构本身等产生很大的破坏影响
C.目前常见web扫描工具在实现的技术来说,大部分都是基于url爬行的基础提取url及参数,对爬行出来的网站进行分析,产生分析报告
D.网站扫描如果被AF识别到有扫描行为,则只会记录不做拦截
开始考试点击查看答案 - 5关于webshell,以下说法错误的是
A.WEBSHELL是web入侵的一种脚本工具,通常情况下是一个ASP、PHP或者JSP程序页面,也叫做网站后门木马,在入侵一个网站后,常常把这些木马放置在服务器web目录中,与正常页面混在一起,通过webshell长期操纵和控制受害者网站
B.网页木马是一个经过黑客精心设计的HTML网页,所以网页木马不属于webshell
C.目前被公布的一句话webshell, shell的实现都需要两步:数据的传递、执行所传递的数据
D.小马的特点是免杀,容易上传,所以可以利用小马上传大马,通过提权获得服务器的更高权限
开始考试点击查看答案 - 6以下关于地域访问控制的作用说法正确的是
A.地域访问控制和ACL类似,也可以实现具体的源IP地址对目的IP地址的访问控制
B.地域访问控制只应用于控制境外对境内业务的访问控制
C.地域访问控制是通过识别IP地址所属区域,针对不通的区域开放不同的权限来进行访控制
D.AF在能上网环境下,地址库可以实现自动更新,但出现有IP有误判的情况下,只能通过纠正IP归属地的方式来解决IP误判问题
开始考试点击查看答案 - 7关于地域访问控制功能中使用的地址库说法错误的是
A.IP归属地只能通过自动更新,不能在控台界面进行修改
B.地址库能自动进行更新
C.在控制台界面能查询到IP地址的归属地
D.国外IP归属地可以细分到具体的国家或地区
开始考试点击查看答案 - 8关于地域访问控制功能说法正确的是
A.地域访问控制功能产生的日志可以在内置数据中心查询
B.地域访问控制策略动作允许或拒绝
C.如果需要排除某个IP不受地域访问控制策略约束,需要在黑白名单中排查即可
D.地域访问控制功能能触发联动封锁
开始考试点击查看答案 - 9关于地域访问控制功能不能实现的场景是
A.可以根据IP地址来区分不同的地区或国家
B.国内的IP地址可以区分到省级单位
C.可以针对不同应用进行控制
D.可以针对不同区域或国家进行控制
开始考试点击查看答案 - 10关于地域访问控制与应用控制功能说法正确的是
A.先匹配地域访问控制,再匹配应用控制
B.先匹配应用控制,再匹配地域访问控制
C.地域访问控制与应用控制策略是同时匹配
D.先匹配的地址访问控制的拒绝之后,还是会匹配应用控制策略
开始考试点击查看答案
最新试卷
注册安全工程师注册安全工程师安全生产法及相关法律知识2013
类别:建筑类其它注册安全工程师注册安全工程师安全生产法及相关法律知识2013
类别:建筑类其它注册安全工程师注册安全工程师安全生产法及相关法律知识2013
类别:建筑类其它注册安全工程师注册安全工程师安全生产法及相关法律知识2013
类别:建筑类其它注册安全工程师注册安全工程师安全生产法及相关法律知识2013
类别:建筑类其它注册安全工程师注册安全工程师安全生产法及相关法律知识2013
类别:建筑类其它注册安全工程师注册安全工程师安全生产法及相关法律知识2013
类别:建筑类其它注册安全工程师注册安全工程师安全生产法及相关法律知识2013
类别:建筑类其它注册安全工程师注册安全工程师安全生产法及相关法律知识2013
类别:建筑类其它注册安全工程师注册安全工程师安全生产法及相关法律知识2013
类别:建筑类其它