下列Web应用攻击方法中，不属于跨站被动攻击的是（   ）。

试卷相关题目

• 1为了防范跨站脚本攻击（XSS），需要对用户输入的内容进行过滤，下列字符中，不应被过滤的是（　 　　　）。

  A.<

  B.>

  C.'

  D.o

  开始考试点击查看答案
• 2在Web用户登录界面上，某攻击者在输入口令的地方输入' or 'a' = 'a后成功实现了登录，则该登录网页存在（   ）漏洞。

  A.SQL注入

  B.CSRF

  C.HTTP头注入

  D.XSS

  开始考试点击查看答案
• 3下列选项中，（    ）不属于Web应用在输出过程中产生的安全漏洞。

  A.SQL注入

  B.CSRF

  C.HTTP头注入

  D.OS命令注入

  开始考试点击查看答案
• 4为提高Cookie的安全性，不建议采取的策略是（   ）。

  A.在Cookie中设置secure属性

  B.在Cookie中不设置domain属性

  C.在Cookie中设置domain属性

  D.将Cookie的生存周期设置为0或负值

  开始考试点击查看答案
• 5下列哪一个描述是Internet比较恰当的定义？（   ）

  A.一个协议

  B.一个由许多个网络组成的网络

  C.OSI模型的下三层

  D.一种内部网络结构

  开始考试点击查看答案
• 6利用已登录网站的受信任用户身份来向第三方网站发送交易转账请求的攻击方法是（   ）。

  A.CSRF

  B.XSS

  C.SQL注入

  D.HTTP头注入

  开始考试点击查看答案
• 7下列方法中，不能防止CSRF攻击的是（    ）。

  A.嵌入令牌

  B.再次输入密码

  C.校验HTTP头中的Referer

  D.过滤特殊字符

  开始考试点击查看答案
• 8列选项中，不属于目录遍历漏洞的必要条件是（    ）。

  A.外界能够指定文件名

  B.设置Cookie中的secure属性

  C.能够使用绝对路径或相对路径等形式来指定其它目录的文件名

  D.没有对拼接后的文件名进行校验就允许访问该文件

  开始考试点击查看答案
• 9可污染缓存服务器的Web攻击方法是（   ）。

  A.SQL注入

  B.操作系统命令注入

  C.HTTP消息头注入

  D.XSS

  开始考试点击查看答案
• 10下列选项中，不能消除操作系统命令注入漏洞的是（    ）。

  A.使用HTTPS

  B.不调用Shell功能

  C.避免使用内部可能会调用Shell的函数

  D.不将外部输入的字符串作为命令行参数

  开始考试点击查看答案