D、小马的特点是免杀,容易上传,所以可以利用小马上传大马,通过提权获得服务器的更高
权限
以下关于网页扫描的说法正确的是
A.网站扫描一般是扫描漏洞,而无法对 web 站点的网站结构进行扫描
B.网站扫描会对 web 服务器网站结构本身等产生很大的破坏影响
C.目前常见 web 扫描工具在实现的技术来说,大部分都是基于 url 爬行的基础提取 url 及参数,
对爬行出来的网站进行分析,产生分析报告
D.网站扫描如果被 AF 识别到有扫描行为,则只会记录不做拦截
以下关于系统命令注入说法错误的是
A.操作系统命令攻击是攻击者提交特殊的字符或者操作系统命令,web 程序没有进行检测或者
绕过 web 应用程序过滤,把用户提交的请求作为指令进行解析,导致操作系统命令执行
B.系统命令注入主要用于 asp/php/jsp 等网页中嵌入 webshell 后,执行各种命令提权或收集系
统信息,但不会产生什么危害
C.系统命令注入中,多命令按成功顺序执行(linux 与 windows 使用"&&"),多命令按失败顺序
执行(linux 与 windows 使用"||")
D.系统命令注入的危害包括:获取服务器信息、构造一句话木马、更改网站主页、盗取当
前用户 cookie 等
以下关于 web 应用防护说法正确的是
A.目录遍历漏洞就是通过浏览器向 web 服务器任意目录附加或者是附加的一些变形,编码,从
访问到 WEB 服务器的根目录开始,渐渐可以访问到 web 服务器的所有目录
B . 文 件 包 含 中 , 一 般 会 用 到 如 下 几 种 包 含 函 数 :include()sinclude_once() 、 require 。
require_once()
C.利用目录遍历攻击漏洞,攻击者可以通过目录遍历的方式,可以访问到所有目录的受限制文
件或资源,或者采取更危险行为,攻击者能够执行造成系统崩溃的指令
D.文件包含攻击,可以包含各种文件格式,但除了 word 文件外
以下关于信息泄露和整站系统漏洞攻击防护说法错误的是
A.信息泄露漏洞是由于 web 服务器配置或者本身存在安全漏洞,导致一些系统文件或者配置文
件直接暴露在互联网中,泄露 web 服务器的一些铭感信息,如用户名、密码、源代码、服务器
信息、配置信息等
B.web 整站系统漏洞是一些框架漏洞,如 cms>dedeems 漏洞就都是框架漏洞
C.WEB整站系统漏洞防护是针对知名 WEB整站系统中特定漏洞进行的安全、可靠、高质量防护
D.信息泄露行为被 AF 识别到,AF 只做服务器一些敏感信息泄露的日志记录但是不做拦截处
理
以下关于 XSS 攻击错误的是
A.XSS 是一种常见于 Web 应用中的计算机安全漏洞
B.反射型 XSS,又称非持久型 XSS,是由于代码注入的是一个动态产生的页面而不是永久的页
面,所以反射型 XSS 既不会经过网页的后端,也不会经过数据库
C.<script>alert(document.cookie);</script>j^段脚本执行的结果是会弹出一个对话框显示用户
的 cookie 信息
D.攻击者可以通过使用<html>与</html1>的 HTML 标签格式,向网页中插入一段 JavaScript 脚
本时,使得这些脚本程序在浏览器中被执行从而实现 XSS 攻击
以下关于地域访问控制的作用说法正确的是
A.地域访问控制和 ACL 类似,也可以实现具体的源 IP 地址对目的 IP 地址的访问控制 B.地域访
问控制只应用于控制境外对境内业务的访问控制
C.地域访问控制是通过识别 IP 地址所属区域,针对不通的区域开放不同的权限来进行访控制
D.AF 在能上网环境下,地址库可以实现自动更新,但出现有 IP 有误判的情况下,只能通
过纠正 IP 归属地的方式来解决 IP 误判问题
