系统安全题目(二)

1、在 php + mysql + apache 架构的web服务中输入GET参数 index.php?a=1&a=2&a=3 服务器端脚本 index.php 中$GET[a] 的值是?
正确答案: C

A 1
B 2
C 3
D 1,2,3

2、以下哪些不是CSRF漏洞的防御方案?
正确答案: D

A 检测HTTPreferer
B 使用随机token
C 使用验证码
D html编码

3、以下程序存在何种安全漏洞?

正确答案: A

A XSS
B sql注入
C 命令执行
D 代码执行

4、下列哪些工具可以作为离线破解密码使用?
正确答案: D

A hydra
B Medusa
C Hscan
D OclHashcat

5、下列命令中不能用于Android应用程序反调试的是?
正确答案: C

A ps
B cat/proc/self/status
C cat/proc/self/cmdline
D cat/proc/self/stat

6、用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段?
正确答案: B

A 缓存溢出攻击
B 钓鱼攻击
C 暗门攻击
D DDOS攻击

7、下列关于各类恶意代码说法错误的是?
正确答案: C

A 蠕虫的特点是其可以利用网络进行自行传播和复制
B 木马可以对远程主机实施控制
C Rootkit即是可以取得Root权限的一类恶意工具的统称
D pcshare一种远程控制木马

8、关于XcodeGhost事件的正确说法是?
正确答案: B

A 部分Android 产品 也受到了影响
B 应用程序开发使用了包含后门插件的IDE
C 当手机被盗时才有风险
D 苹果官方回应APPSTORE上的应用程序不受影响

9、下列关于各类恶意代码说法错误的是?
正确答案: C

A 蠕虫的特点是其可以利用网络进行自行传播和复制
B 木马可以对远程主机实施控制
C Rootkit即是可以取得Root权限的一类恶意工具的统称
D 通常类型的病毒都只能破坏主机上的各类软件,而无法破坏计算机硬件

10、Unix系统日志文件通常是存放在?
正确答案: A

A /var/log
B /usr/adm
C /etc/
D /var/run

11、防止系统对ping请求做出回应,正确的命令是?
正确答案: C

A echo 0>/proc/sys/net/ipv4/icmp_ehco_ignore_all
B echo 0>/proc/sys/net/ipv4/tcp_syncookies
C echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all
D echo 1>/proc/sys/net/ipv4/tcp_syncookies

12、文件名为webshell.php.phpp1.php02的文件可能会被那个服务器当做php文件进行解析?
正确答案: A

A Apache
B IIS
C nginx
D squid

13、cookie安全机制,cookie有哪些设置可以提高安全性?(多选题)
正确答案: A B C

A 指定cookie domain的子域名
B httponly设置
C cookie secure设置,保证cookie在https层面传输
D 以上都不对

14、下列哪些方式对解决xss漏洞有帮助?
正确答案: B C

A csp
B html编码
C url编码
D 验证码

15、可以抓取Windows 登录密码的安全工具有?
正确答案: A C

A mimikatz
B sqlmap
C pwdump7
D hashcat

16、关于对称加密以下说法不正确的是?
正确答案: B D

A DES属于对称加密
B 对称加密算法需要两个密钥来进行加密和解密
C 对称加密也叫单密钥加密
D RSA属于对称加密

17、以下哪些命令可以查看windows安全日志?
正确答案: A B

A wevtutil
B eventquery.vbs
C systeminfo
D dsquery

18、以下PHP代码经过mysql_real_escape_string过滤还存在漏洞?为什么?
$id = $_GET[‘id’];
$id = mysql_real_escape_string($id);
$getid = “SELECT first_name, last_name FROM users WHERE user_id = $id”;
$result = mysql_query($getid) or die(‘

‘ . mysql_error() . ‘

‘ );
$num = mysql_numrows($result);

参考答案:
这里$id变量没有经过任何的过滤,直接传入了sql语句,造成数字型注入,mysql_real_escape_string只对’ “ \ null字符做转义,而数字型注入不需要’闭合,所以仍存在注入漏洞。

原文地址:https://www.cnblogs.com/benjamin77/p/8456983.html

时间: 2024-10-19 13:05:26

系统安全题目(二)的相关文章

Linux系统基础(二)

            Linux系统基础(二) 一.linux系统结构 1.linux系统结构是倒树型 2. /bin##二进制可执行文件也就是系统命令 /sbin##系统管理命令存放位置 /boot##启动分区,负责系统启动 /dev##设备管理文件 /etc##大多数系统管理文件 /home##普通用户的家目录 /lib##32位系统库文件存放位置 /lib64##64位系统库文件存放位置 /media##系统临时设备挂载点 /mnt##系统临时设备挂载点 /run##系统临时设备挂载点

Android Touch系统简介(二):实例详解onInterceptTouchEvent与onTouchEvent的调用过程

上一篇文章主要讲述了Android的TouchEvent的分发过程,其中有两个重要的函数:onInterceptTouchEvent和onTouchEvent,这两个函数可被重装以完成特定的逻辑.onInterceptTouchEvent的定义为于ViewGroup中,默认返回值为false,表示不拦截TouchEvent.onTouchEvent的定义位于View中,当ViewGroup要调用onTouchEvent时,会利用super.onTouchEvent.ViewGroup调用onTo

Linux系统裁剪之二(Bash脚本编程之十二)

Linux系统裁剪之二(Bash脚本编程之十二) 系统函数库 ·Linux系统的启动流程     1,POST(加电自检) 计算机本身并不会执行程序,它只是一堆破铜烂铁,但是它可以在开机的时候先去载入一段程序,系统在刚刚启动的时候能够实现将某个ROM芯片中的程序映射到CPU能够寻址的地址空间中去,并且让CPU能够执行其中的指令,这些指令大部分都是用来做系统检测的,当检测完成后,如果系统中所有的基本硬件和核心硬件都没有问题的话,接下来就会根据BIOS中设定的系统启动次序(Boot Sequence

嵌入式 Linux系统编程(二)——文件描述符控制函数fcntl

嵌入式 Linux系统编程(二)--文件描述符控制函数fcntl 由于fcntl函数实在过于灵活和复杂,本文将fcntl函数从文件IO中单独列出来,便于详细解读.函数原型如下: #include <unistd.h> #include <fcntl.h> int fcntl(int fd, int cmd, ... /* arg */ ); fcntl函数用于控制操作文件描述符fd,对文件描述符的控制操作由cmd控制命令来控制,arg参数为可选参数,是否需要arg参数取决于控制命令

修改Android系统字号(二)

/*********************************************************************** * 修改Android系统字号(二) * 说明: * 虽然在<修改Android系统字号(一)>中修改了Launcher中修改了界面, * 但是在其他的系统软件里还是有很多地方需要另外修改的,所以那是不行, * 今天Charlie给出意见,修改DPI,效果很好. * * 2016-5-19 深圳 南山平山村 曾剑锋 *****************

J2SE基础:8.系统常用类二

1:基础数据与封装类型之间的转型 A:基础数据类型--->封装类型(对象类型) Boolean boolean_1 = new Boolean(true); byte ---->Byte short---->Short char---->Character int--->Integer long-->Long float-->Float double-->Double B:封装类型--->基础类型 Integer.intValue--->int

牛腩新闻发布系统总结(二)--相对路径与绝对路径

这个问题是在加载的过程中遇到的,明明已经写好了路径,可是总是加载不了图片,究其原因,还是路径的问题,下面就来区别一下相对路径和绝对路径: 关键区别:在于描述目录路径时,所采用的参考点不同 特殊符号: "." -- 代表目前所在的目录,相对路径. <img src="./Page2Image.jpg">或者<img src="Page2Image. jpg"> ".." -- 代表上一层目录,相对路径.

题目二 数据篮子

一.[题目描述] 情景是这样,我需要一个数据篮子来满足系统各模块之间的数据共享,要求通过key-value的形式储存和访问数据,但单key太容易出现冲突了,所以要求支持多key(不限制key的数量). 试题要求] 保存数据 bus.put("key1","key2" ,value1); bus.put("key1","key2","key3",value2); 注意每个key下面都可以储存数据 获取数据(k

Swift:使用系统AVFoundation实现二维码扫描和生成

系统提供的AVCaptureSession仅仅适用于iOS7.0以上的系统.之前的请用Zbar来替代 下载地址:http://download.csdn.net/detail/huobanbengkui/8881097 配置project: 引入: import Foundation import AVFoundation 接受AVCaptureMetadataOutputObjectsDelegate(如: class QrcodeVC: UIViewController,AVCaptureM