在Web用户登录界面上，某攻击者在输入口令的地方输入' or 'a' = 'a后成功实现了登录，则该登录网页存在（   ）漏洞。

试卷相关题目

• 1下列选项中，（    ）不属于Web应用在输出过程中产生的安全漏洞。

  A.SQL注入

  B.CSRF

  C.HTTP头注入

  D.OS命令注入

  开始考试点击查看答案
• 2为提高Cookie的安全性，不建议采取的策略是（   ）。

  A.在Cookie中设置secure属性

  B.在Cookie中不设置domain属性

  C.在Cookie中设置domain属性

  D.将Cookie的生存周期设置为0或负值

  开始考试点击查看答案
• 3下列哪一个描述是Internet比较恰当的定义？（   ）

  A.一个协议

  B.一个由许多个网络组成的网络

  C.OSI模型的下三层

  D.一种内部网络结构

  开始考试点击查看答案
• 4下列对于网络哪一种陈述是真实的？（   ）

  A.对应于系统上的每一个网络接口都有一个IP地址

  B.IP地址中有16位描述网络

  C.位于美国的NIC提供具唯一性的32位IP 地址

  D.以上陈述都正确

  开始考试点击查看答案
• 5属于域名服务系统DNS中所维护的信息的是（   ）。

  A.域名与IP地址的对应关系

  B.CPU类型

  C.域名与MAC地址的对应关系

  D.IP地址与MAc地址的对应关系

  开始考试点击查看答案
• 6为了防范跨站脚本攻击（XSS），需要对用户输入的内容进行过滤，下列字符中，不应被过滤的是（　 　　　）。

  A.<

  B.>

  C.'

  D.o

  开始考试点击查看答案
• 7下列Web应用攻击方法中，不属于跨站被动攻击的是（   ）。

  A.CSRF

  B.XSS

  C.SQL注入

  D.HTTP头注入

  开始考试点击查看答案
• 8利用已登录网站的受信任用户身份来向第三方网站发送交易转账请求的攻击方法是（   ）。

  A.CSRF

  B.XSS

  C.SQL注入

  D.HTTP头注入

  开始考试点击查看答案
• 9下列方法中，不能防止CSRF攻击的是（    ）。

  A.嵌入令牌

  B.再次输入密码

  C.校验HTTP头中的Referer

  D.过滤特殊字符

  开始考试点击查看答案
• 10列选项中，不属于目录遍历漏洞的必要条件是（    ）。

  A.外界能够指定文件名

  B.设置Cookie中的secure属性

  C.能够使用绝对路径或相对路径等形式来指定其它目录的文件名

  D.没有对拼接后的文件名进行校验就允许访问该文件

  开始考试点击查看答案