如果Web应用没有对攻击者的输入进行适当的编码和过滤,就用于构造数据库查询或操作系统命令时
如果Web应用对URL访问控制不当,可能造成用户直接在浏览器中输入URL,访问不该访问的页面。()
代码,当用户打开有恶意代码的链接或页面时,恶意代码通过浏览器自动执行,从而达到攻击的目的。
A.对用户输入做关键字过滤
B.部署Web应用防火墙进行防护
C.部署入侵检测系统阻断攻击
D.定期扫描系统漏洞并及时修复
Web应用的认证与会话处理不当,可能被攻击者利用来伪装其他用户身份。强认证手段不包括如下哪种()。
A.静态密码
B.短信挑战
C.指纹认证
D.图片认证
A.对用户进行认证、管理
B.对带宽、访问、切换、安全进行控制
C.收集计费信息并支持各种计费策略
D.实现强制Portal应用(用户可以输入任何URL地址,宽带接入服务器强制下推WEB页面)
A.操作系统命令攻击是攻击者提交特殊的字符或者操作系统命令,web程序没有进行检测或者绕过web应用程序过滤,把用户提交的请求作为指令进行解析,导致操作系统命令执行
B.系统命令注入主要用于asp/php/jsp等网页中嵌入webshell后,执行各种命令提权或收集系统信息,但不会产生什么危害
C.系统命令注入中,多命令按成功顺序执行(linux与windows使用“&&”),多命令按失败顺序执行(linux与windows使用“||”)
D.系统命令注入的危害包括:获取服务器信息、构造一句话木马、更改网站主页、盗取当前用户cookie等
A.认证凭证生成规律性强存,储认证凭证直接采用hash方式
B.能够通过薄弱的的帐户管理功能(例如账户创建、密码修改、密码恢复,弱口令)重置账户密码
C.内部或外部攻击者进入系统的密码数据库,存储在数据库中的用户密码没有被加密,所有用户的密码都被攻击者获得
D.以上全部
A.1.项目没有Web自动化测试需求
B.2.项目有自动化测试需求,但是不会写自动化测试用例
C.3.可以使用AATF写出简单的Web回归自动化测试用例并进行定期维护
D.4.能使用AATF根据ATDD等模式编写高质量的Web自动化测试脚本并对脚本进行定期维护
E.5.在4的基础上熟练应用AATF,会使用AATFDIY模式对自动化测试框架进行定制
A.XSS和SQL注入攻击都利用了Web服务器没有对用户输入数据进行严格的检查和有效过滤的缺陷
B.SQL注入的SQL命令在用户浏览器中执行,而XSS跨站的脚本在Web后台数据库中执行
C.XSS和SQL注入攻击中的攻击指令都是由黑客通过用户输入域注入,只不过XSS注入的是HTML代码(以后称脚本),而SQL注入注入的是SQL命令
D.XSS攻击盗取Web终端用户的敏感数据,甚至控制用户终端操作,SQL注入攻击盗取Web后台数据库中的敏感数据,甚至控制整个数据库服务器