2024年服務(wù)器滲透測(cè)試題庫(kù)及答案

2024年服務(wù)器滲透測(cè)試題庫(kù)及答案

1.關(guān)于DOMxss和尋常xss下面說(shuō)法正確的是（）□

A.DOMxss是服務(wù)端代碼造成的而尋常xss不是。

B.DOMxss不是服務(wù)端代碼造成的而尋常xss是。（正確答案）

C.兩者都是服務(wù)端代碼造成的。

D.兩者都不是服務(wù)端代碼造成的。

2.一個(gè)口站存在命令執(zhí)□漏洞由于服務(wù)器桶自上外網(wǎng)，這是我們可以利用什么樣的口

式將文件上傳到服務(wù)器上（）？

A.FTPo

B.powershell0

C.vbso

D.echoo（正確答案）

3.ns曾經(jīng)出現(xiàn)過(guò)的漏洞不包括哪個(gè)O?

A.解析漏洞。

B.ns溢出漏洞。

C.PUT漏洞。

D.反序列化漏洞。（正確答案）

4.中間件未出現(xiàn)過(guò)以下哪個(gè)漏洞（）?

A.命令執(zhí)行。

B.文件解析。

C.反序列化。

D.序列化。（正確答案）

5.apache默認(rèn)解析的后綴中不可咆括（）。

A.php3o

B.php5o

C.phtmlo

D.phpl?（正確答案）

6.在linux安裝應(yīng)用，哪個(gè)命令不需要（）?

A../installo（正確答案）

B.makeo

C.makeinstall0

D../configureo

7.下□面的哪個(gè)命令可以打印linux下的所有進(jìn)程信息（）?

A.Is-do

B.Is-lo

C.suo

D.ps-efo（正確答案）

8.要向現(xiàn)有表中添加列，應(yīng)使□哪個(gè)命令（）?

A.ALTERo（正確答案）

B.CHANGEo

C.INSERTo

D.UPDATEo

9.之前版本的中間件未出現(xiàn)過(guò)解析漏漏的是（）o

A.apacheo

B.iiso

C.tomcato（正確答案）

D.ngnixo

10.以下數(shù)據(jù)庫(kù)只能通過(guò)字典枚舉數(shù)據(jù)表的是（）。

A.mssqlo

B.oracleo

C.mysql<5.00（正確答案）

D.mysql>5.0。

11.linux環(huán)境下渣詢(xún)□日志□件最后100口行數(shù)據(jù),正確的□方式是（）。

A.mv-100logo

B.grep-100logo

C.cat-100logo

D.tail-100logo（正確答案）

12.ns不不可以解析哪個(gè)后綴（）?

A.aspo

B.asao

C.cero

D.cepo（正確答案）

13.在編寫(xiě)目錄掃描工具時(shí)哪種請(qǐng)求方式可以增加掃描速度O?

A.GETo

B.HEADo（正確答案）

C.POSTo

D.PUTo

14.以下說(shuō)法正確的是（）o

A.SSRF是跨站請(qǐng)求偽造攻擊，由客戶(hù)端發(fā)起。

B.SSRF是服務(wù)器端請(qǐng)求偽造，由服務(wù)器發(fā)起。（正確答案）

C.CSRF是服務(wù)器端請(qǐng)求偽造，由服務(wù)器發(fā)起。

D.重放攻擊是將截獲的數(shù)據(jù)包進(jìn)行重放，達(dá)到身份認(rèn)證等目的。

15.php提供以下哪些函數(shù)來(lái)避免sql注□入（）?

A.mysql_real_escape_string。（正確答案）

B.escapeshellargo

C.htmlentities。

D.htmlspecialcharso

16.在拿到U個(gè)windows服務(wù)器下的webshell之后，我想看看當(dāng)前在線的用戶(hù)，下面這

些命令可以做到的是（）O

A.dirc:\users。

B.netusero

C.tasklist/v0（正確答案）

D.netlocalgroupadministrators。

17.在測(cè)試sql注入時(shí)，下哪種□式不可取（）?

A.?id=l+lo（正確答案）

B.?id=2-lo

C.?id=landl=lo

D.?id=lor1=1o

18.下面關(guān)于SSRF漏洞描述正確的是（）。

A.SSRF漏洞就是服務(wù)端請(qǐng)求偽造漏洞。（正確答案）

B.SSRF漏洞無(wú)法修復(fù)。

C.SSRF漏洞只存在與PHP語(yǔ)言中。

D.SSRF漏洞是針對(duì)瀏覽器的漏洞。

19.以下哪種U式可以利用ngnix解析漏洞來(lái)將1件當(dāng)作php來(lái)執(zhí)UO?

A./xx.jpg%OO.phpo（正確答案）

B./xx.jpg.phpo

C./xx.php.jpgo

D./xx.php%00.jpgo

20.如果一個(gè)網(wǎng)站存在CSRF漏洞，可以通過(guò)CSRF漏洞做下面哪些事情O?

A.獲取網(wǎng)站用戶(hù)注冊(cè)的個(gè)人資料信息。

B.修改網(wǎng)站用戶(hù)注冊(cè)的個(gè)人資料信息。

C.冒用網(wǎng)站用戶(hù)的身份發(fā)布信息。

D.以上都可以。（正確答案）

21.拿到一個(gè)windows下的webshell,我想看一下主機(jī)的名字，如下命令做不到的是

（）O

A.hostname□

B.systeminfoo

C.ipconfig/allo

D.seto（正確答案）

22.在linux下為某個(gè)口文件添加權(quán)限，命令chmod741test中的4代表什什么權(quán)限

（）?

A.執(zhí)行權(quán)限。

B.只讀權(quán)限。（正確答案）

C.只寫(xiě)權(quán)限。

D.所有權(quán)限。

23.關(guān)于XSS漏洞分類(lèi)說(shuō)法錯(cuò)誤的是（）o

A.存儲(chǔ)型XSSo

B.反射型XSSo

C.擴(kuò)展性XSS。（正確答案）

D.DOM型XSS。

24.在web頁(yè)面中增加驗(yàn)證碼功能后，下面說(shuō)法正確的是（）。

A.可以防止注入攻擊。

B.可以防止上傳漏洞。

C.可以防止文件包含漏洞。

D.可以防止數(shù)據(jù)重復(fù)提交。（正確答案）

25.對(duì)于下面的狀態(tài)碼，對(duì)應(yīng)關(guān)系有錯(cuò)誤的是O。

A.200-請(qǐng)求成功。

B.404-（禁止）服務(wù)器拒絕請(qǐng)求。（正確答案）

C.500-內(nèi)部服務(wù)器錯(cuò)誤。

D.405-（方法禁用）禁用請(qǐng)求中指定的方法。

26.以下最有效的防范上傳漏同的方式是什么O?

A.用黑名單的方式驗(yàn)證文件后綴，上傳后保持文件名不變。

B.驗(yàn)證文件頭，確定是否為圖片格式，上傳后保持文件名不變。

C.驗(yàn)證上傳文件的內(nèi)容，匹配關(guān)鍵字來(lái)確定是否允許上傳，上傳后保持文件名不變。

D.不做任何驗(yàn)證，上傳后的文件名由系統(tǒng)自動(dòng)修改為隨機(jī)字符串加圖片后綴的形

式。（正確答案）

27.關(guān)于"WannaCry”勒索病毒軟件描述正確的是（）。

A.利用RDP協(xié)議漏洞傳播。

B.利用SMB協(xié)議漏洞傳播。（正確答案）

C.利用HTTP協(xié)議漏洞傳播。

D.利用FTP協(xié)議傳播。

28.sql注入漏洞防護(hù)中，不正確的是哪一個(gè)O?

A.數(shù)據(jù)有效性校驗(yàn)。

B.后綴校驗(yàn)。（正確答案）

C.用戶(hù)權(quán)限分離。

D.去除代碼中的敏感信息。

29.如下哪個(gè)響應(yīng)報(bào)頭是讓我們跳轉(zhuǎn)到新的位置（）?

A.Locationo（正確答案）

B.Servero

C.Hosto

D.WWW-Authenticateo

30.下面關(guān)于CSRF漏洞的防御方法不正確的是（）o

A.驗(yàn)證Refereio

B.添加token驗(yàn)證。

C.增加驗(yàn)證碼。

D.更換瀏覽器。（正確答案）

31.系統(tǒng)疑似被入侵，查看系統(tǒng)登錄日志wtmp,正確的命令是（）。

A.catwtmp。

B.Iswtmpo

C.last-fwtmpo（正確答案）

D.mvwtmpo

32.Apache的配置文件中，哪個(gè)字段定義了訪問(wèn)日志的路徑（）。

A.HttpLogo

B.HttpdLogo

C.AccessLog0

D.CustomLogo（正確答案）

33.如何防御CSRF漏洞,下面說(shuō)法不正確的是（）。

A.檢查HTTPReferer字段是否同域。

B.使用驗(yàn)證碼。

C.使用一次性Token。

D.使用POST方式提交。（正確答案）

34.關(guān)于文件包含漏洞描述錯(cuò)誤的是（）。

A.只有PHP語(yǔ)言存在文件包含漏洞。（正確答案）

B.文件包含漏洞可以分為本地文件包含和遠(yuǎn)程文件包含。

C.include函數(shù)可以用來(lái)包含文件。

D.require函數(shù)也可以用來(lái)包含文件。

35.Linux文件權(quán)限一共10位長(zhǎng)度，分成四段,第三段表示的內(nèi)容是（）。

A.文件類(lèi)型。

B.文件所有者的權(quán)限。

C文件所有者所在組的權(quán)限。（正確答案）

D.其他用戶(hù)的權(quán)限。

36.HTTP響應(yīng)頭信息中,allow允許哪種請(qǐng)求方式（）。

A.GETo

B.POSTo

C.OPTIONSo

D.以上都是。（正確答案）

37.若需要修改TOMCAT的監(jiān)聽(tīng)地址，應(yīng)修改哪個(gè)配置□文件（）？

A.tomcat.xmlo

B.server.xmlo（正確答案）

C.wexmlo

D.tomcat-users.xmlo

38.用于查看/var/log/wtmp日志的命令是（）。

A.lasto（正確答案）

B.lastlogo

C.lastwtmpo

D.lastmpo

39.利用CSRF漏洞同可以做什么（）?

A.攻擊者利用受害者的cookie執(zhí)行惡意操作。（正確答案）

B.攻擊者盜取受害者的cookie執(zhí)行惡意操作?。

C.攻擊者利用受害者的憑證執(zhí)行惡意操作。

D.攻擊者盜取受害者的憑證執(zhí)行惡意操作。

40.sqlmap不支持的數(shù)據(jù)庫(kù)有（）。

A.mysql□

B.mssqlo

C.oracle0

D.rediSo（正確答案）

41.下面sql語(yǔ)句解釋不正確的是（）。

A.SELECT-從數(shù)據(jù)庫(kù)表中獲取數(shù)據(jù)。

B.UPDATE-更新數(shù)據(jù)庫(kù)表中的數(shù)據(jù)。

C.DELETE-從數(shù)據(jù)庫(kù)表中刪除數(shù)據(jù)。

D.INSERTINTO-向數(shù)據(jù)庫(kù)中插入數(shù)據(jù)。（正確答案）

42.base64（）函數(shù)在mysql中可以使用的最低版本什么O?

A.5.4版本。

B.5.5版本。

C.5.6版本。（正確答案）

D.5.7版本。

43.以下哪些工具不可以抓取HTTP數(shù)據(jù)包()?

A.Burpsuiteo

B.Wiresharko

C.Fiddlero

D.Nmapo(正確答案)

44.下面不屬于sql注入的危害的是()o

A.數(shù)據(jù)庫(kù)信息泄漏。

B.獲取會(huì)話信息。(正確答案)

C.破壞硬盤(pán)數(shù)據(jù)。

D.網(wǎng)頁(yè)篡改。

45.下面哪個(gè)是網(wǎng)絡(luò)模型()?

A.物理層。

B.傳輸層。

C.會(huì)話層。

D.以上都是。(正確答案)

46.常見(jiàn)的上傳點(diǎn)有()o

A.證書(shū)上傳處。

B.附件上傳處。

C.編輯器處。

D.以上都是。（正確答案）

47.下面后綴名與iis解析無(wú)關(guān)的是（）。

A.asa。

B.php5o（正確答案）

C.cer0

D.aspxo

48.mysql中不用的注釋符有（）。

A.#o

B./**/0

C.--a。

D.<!>。（正確答案）

49.下面安全意識(shí)防范中，哪一個(gè)做法是錯(cuò)誤的（）？

A.在筆記本或其它地方不要記錄口令。

B.離開(kāi)電腦前，鎖定電腦，設(shè)置密碼。

C.可以向管理員和維護(hù)人員透露口令。（正確答案）

D.在多個(gè)帳戶(hù)之間使用不相同的口令。

50.下面哪個(gè)不是sql注入類(lèi)型（）?

A.后綴注入。（正確答案）

B.布爾盲注。

C.報(bào)錯(cuò)注入。

D.時(shí)間盲注。

51.上傳中，常見(jiàn)的繞過(guò)方式有（）。

A.后綴名黑名單校驗(yàn)。

B.waf設(shè)備繞過(guò)。

C.自定義正則校驗(yàn)。

D.以上都是。（正確答案）

52.下面sql語(yǔ)句中，查詢(xún)當(dāng)前數(shù)據(jù)庫(kù)的是（）。

A.CREATEDATABASEdatabase-name。

B.selectofrom[user]o

C.unionselectdatabase（）,2,3,4,5。（正確答案）

D.SELECT<*,column[alias],,,,>FROMtableo

53.常見(jiàn)的數(shù)據(jù)庫(kù)操作中，下面哪一個(gè)是創(chuàng)建表（）?

A.CREATEDATABASEo

B.DROPTABLEo

C.CREATETABLEo（正確答案）

D.ALTERTABLEo

54.這段代碼存在的安全問(wèn)題，不會(huì)產(chǎn)生什么安全漏洞O?

A.命令執(zhí)行漏洞。

B.SQL注入漏洞。

C.文件包含漏洞。（正確