题目内容
(请给出正确答案)
[主观题]
如果Web应用没有对攻击者的输入进行适当的编码和过滤,就用于构造数据库查询或操作系统命令时
,可能导致注入漏洞。()
查看答案
如果结果不匹配,请 联系老师 获取答案
题目内容
(请给出正确答案)
如果结果不匹配,请 联系老师 获取答案
题目内容
(请给出正确答案)
如果结果不匹配,请 联系老师 获取答案
更多“如果Web应用没有对攻击者的输入进行适当的编码和过滤,就用于…”相关的问题
如果Web应用对URL访问控制不当,可能造成用户直接在浏览器中输入URL,访问不该访问的页面。()
代码,当用户打开有恶意代码的链接或页面时,恶意代码通过浏览器自动执行,从而达到攻击的目的。
A.对用户输入做关键字过滤
B.部署Web应用防火墙进行防护
C.部署入侵检测系统阻断攻击
D.定期扫描系统漏洞并及时修复
Web应用的认证与会话处理不当,可能被攻击者利用来伪装其他用户身份。强认证手段不包括如下哪种()。
A.静态密码
B.短信挑战
C.指纹认证
D.图片认证
A.对用户进行认证、管理
B.对带宽、访问、切换、安全进行控制
C.收集计费信息并支持各种计费策略
D.实现强制Portal应用(用户可以输入任何URL地址,宽带接入服务器强制下推WEB页面)
A.操作系统命令攻击是攻击者提交特殊的字符或者操作系统命令,web程序没有进行检测或者绕过web应用程序过滤,把用户提交的请求作为指令进行解析,导致操作系统命令执行
B.系统命令注入主要用于asp/php/jsp等网页中嵌入webshell后,执行各种命令提权或收集系统信息,但不会产生什么危害
C.系统命令注入中,多命令按成功顺序执行(linux与windows使用“&&”),多命令按失败顺序执行(linux与windows使用“||”)
D.系统命令注入的危害包括:获取服务器信息、构造一句话木马、更改网站主页、盗取当前用户cookie等
A.认证凭证生成规律性强存,储认证凭证直接采用hash方式
B.能够通过薄弱的的帐户管理功能(例如账户创建、密码修改、密码恢复,弱口令)重置账户密码
C.内部或外部攻击者进入系统的密码数据库,存储在数据库中的用户密码没有被加密,所有用户的密码都被攻击者获得
D.以上全部
A.1.项目没有Web自动化测试需求
B.2.项目有自动化测试需求,但是不会写自动化测试用例
C.3.可以使用AATF写出简单的Web回归自动化测试用例并进行定期维护
D.4.能使用AATF根据ATDD等模式编写高质量的Web自动化测试脚本并对脚本进行定期维护
E.5.在4的基础上熟练应用AATF,会使用AATFDIY模式对自动化测试框架进行定制
A.XSS和SQL注入攻击都利用了Web服务器没有对用户输入数据进行严格的检查和有效过滤的缺陷
B.SQL注入的SQL命令在用户浏览器中执行,而XSS跨站的脚本在Web后台数据库中执行
C.XSS和SQL注入攻击中的攻击指令都是由黑客通过用户输入域注入,只不过XSS注入的是HTML代码(以后称脚本),而SQL注入注入的是SQL命令
D.XSS攻击盗取Web终端用户的敏感数据,甚至控制用户终端操作,SQL注入攻击盗取Web后台数据库中的敏感数据,甚至控制整个数据库服务器
