Web安全滲透測試試題及答案

Web安全滲透測試試題及答案一、選擇題（單選10題）1.關(guān)于XSS的存儲型和反射型，以下說法不正確的是（）A、xss的安全問題可以采用token進行防范B、xss反射型會將數(shù)據(jù)保存到數(shù)據(jù)庫(正確答案)C、xss可以通過在輸入框中輸入script腳本進行測試D、對于dvwa靶場，不同的安全級別，防御能力也不同2.關(guān)于sql注入，以下說法不正確的是（）A、sql注入的原理是惡意的拼接sql，達到欺騙服務(wù)器的目的，從而暴漏數(shù)據(jù)庫的信息B、sql注入通過orderby獲取字段個數(shù)C、sql注入不能暴漏數(shù)據(jù)庫的信息(正確答案)D、sql注入通過union聯(lián)合追加查詢從而定位回顯位置3.以下哪個可以認為不是敏感信息（）A、Http請求中的服務(wù)器版本號B、Web訪問頁面中顯示的登錄名(正確答案)C、服務(wù)器的配置文件中包含的用戶信息、端口號D、報錯頁面中提及到具體的文件路徑4.以下關(guān)于越權(quán)，錯誤的是（）A、越權(quán)分為水平越權(quán)和垂直越權(quán)B、水平越權(quán)指的是同級別的用戶訪問的權(quán)限設(shè)定C、越權(quán)的問題可以通過工具掃描百分百覆蓋(正確答案)D、垂直越權(quán)指的是不同級別的用戶訪問的權(quán)限設(shè)定5.測試用例一般不需要包含以下哪個部分（）A、用例編號B、測試步驟C、預(yù)期結(jié)果D、版本號(正確答案)6.Burpsuite工具掃描出的問題，不包括（）A、Css（xss）B、Sql注入C、文件上傳漏洞D、Web頁面的錯別字(正確答案)7.測試用例評審的角度一般不包括（）A、用例的規(guī)范性B、用例的覆蓋率C、用例的優(yōu)先級D、用例的執(zhí)行時間(正確答案)8.關(guān)于越權(quán)，錯誤的是（）A、通過前后端同時加密不是修復(fù)越權(quán)問題的方法(正確答案)B、越權(quán)是安全測試中比較經(jīng)典的問題，也稱為權(quán)限問題C、越權(quán)問題可以存在于相同級別的用戶和不同級別的用戶之間D、越權(quán)可以通過核心信息多重加密輔助修復(fù)9.培訓(xùn)中，關(guān)于靶場錯誤的是（）A、每個靶場都部署在xampp下面的htdocs下B、每個靶場的訪問路徑前三部分都是相同的C、Dvwa靶場需要將安全級別（DVWASecurity）設(shè)置為低（low）才能重現(xiàn)出課上的安全問題D、訪問靶場，不需要啟動xampp的服務(wù)（服務(wù)即面板上的apache和mysql）(正確答案)10.關(guān)于數(shù)據(jù)庫，錯誤的是（）課堂中，通過用戶名和密碼的方式連接mysql數(shù)據(jù)庫通過burpsuite掃描請求，不會影響數(shù)據(jù)庫的數(shù)據(jù)(正確答案)Information_schema.tables中存放數(shù)據(jù)庫所有的表信息Information_schema.columns中存放數(shù)據(jù)庫所有的字段信息二、填空題（5題）1、xss的英文全稱為：__(答案：crosssitescript|crosssitescripting)2、越權(quán)分為水平越權(quán)和____________________(答案：垂直越權(quán))3、XSS跨站腳本攻擊分為反射型和___________________(答案：存儲型)4、文件上傳中,容易發(fā)生問題的文件后綴名可能有__________(任意填寫一種)(答案：php)5、CSRF稱為跨站攻擊請求偽造（也稱為釣魚），通過其操作實現(xiàn)修改了dvwa系統(tǒng)的_____(課堂案例)(答案：登錄密碼|密碼)三、判斷題（5題，請選擇對/錯）1、web漏洞可以通過安全工具掃描出所有的安全問題對錯(正確答案)2、可以采用過濾文件的后綴名來避免文件上傳漏洞對(正確答案)錯3、Burpsuite掃描結(jié)束不可以生