只记录了部分题目
1、一般情况下,用户向后台提交登录口令,后台认证成功后用户跳转到管理页面,那么当跳转发生时,数据包里面的状态码最可能是多少()
A、200
B、302
C、100
D、404
参考答案:B
301,302 都是HTTP状态的编码,都代表着某个URL发生了转移,不同之处在于:
301 redirect: 301 代表永久性转移(Permanently Moved),
302 redirect: 302 代表暂时性转移(Temporarily Moved ),
当然 Http 状态 200 标示没有任何问题发生。2、Web 应用安全的核心问题在于
A、Web 服务器访问量巨大
B、用户可以提交任意输入
C、操作系统出现漏洞
D、Web服务器存在漏洞
参考答案:B
参考:http://www.ituring.com.cn/book/tupubarticle/16851Last updated
Was this helpful?
Was this helpful?
3、网络安全攻击类型多样,原理各异,其中CC攻击是当前网络中一种普遍的攻击,以下关于CC攻击说法正确的是()
A、CC攻击可以直接上传webshell控制服务器
B、syn flood攻击是CC攻击的一个分支
C、写恶意爬虫把网站爬死的原理与CC攻击一样
D、CC攻击是一种网络层的拒绝服务攻击
参考答案:C
A、这是文件上传的攻击
B、TCP攻击
D、应该是应用层的
参考:https://my.oschina.net/xiaominmin/blog/16487844、某站点存在 IIS6.0 解析漏洞,以下可解析的文件()
A、abc.asp:xx.txt
B、abc.asp.jpg
C、abc.txt
D、abc.asp;efg.jpg
参考答案:D
https://www.secpulse.com/archives/3750.html5、关于 XSS,下列说法正确的是()
A、反射型XSS漏洞可以转化成基于DOM的XSS漏洞
B、XSS都是因为后端未对数据做安全检查造成的
C、从Cookie中获取用户名并输出到页面的过程不会导致XSS
D、CSRF是XSS的一种
参考答案:A
A、这俩区别主要在于位置的不同
B、也可以是浏览器前端做检查
C、改COOKIE呢
D、CSRF概念比较泛,比如可以系统命令执行,不依赖 XSS6、OSPF路由协议比RIP路由协议的优势表现在()
A、支持协议报文验证
B、路由协议使用组播技术
C、没有环路
D、支持可变长子网掩码
参考答案:D
RIPv2才开始支持可变长子网掩码
https://www.cnblogs.com/rusty/archive/2011/03/18/1987782.html7、网关冗余的主流解决方案不包括哪些?()
A、VRRP
B、HRSP
C、GLBP
D、代理ARP
参考答案:B或D
B、书写拼错了,HSRP
D、代理ARP不主流,比较早期了
https://jingyan.baidu.com/article/414eccf64e96bd6b421f0a63.html8、如果企业内部需要连接入Internet的用户一共有 400 个,但该企业只申请到一个 C 类的合法 IP 地址,则应该使用哪种 NAT 方式实现()
A、NAPT
B、动态NAT
C、TCP负载均衡
D、静态NAT
参考答案:B
D、静态NAT是一对一转换9、为了将几个已经分片的数据按照顺序重新组装,目的主机需要使用 IP 数据报头中的哪个字段()?
A、偏移字段
B、服务类型ToS字段
C、TTL字段
D、首部长度字段
参考答案:A10、某个网站,不需要知道密码就可以直接登录任意用户账号,这个网站最可能存在什么漏洞()
A、越权
B、XSS
C、CSRF
D、SQL注入
参考答案:D11、在 NAT 环境下通过什么技术可以解决多 VPN 连接的问题?()
A、GRE
B、NAT-T
C、TRUNK
D、NAPT
参考答案:B
https://zh.wikipedia.org/zh-hans/NAT%E7%A9%BF%E9%80%8F
IPsec VPN客户普遍使用NAT-T来达到使ESP包通过NAT的目的。12、关于CSRF,下列说法错误的是()
A、CSRF本质是盗用受害者身份,以受害者名义发送恶意请求
B、CSRF能够获取受害者的 Cookie 信息
C、验证 HTTP 头的 Refer 是防御 CSRF 的方法之一
D、CSRF 的全称是 Cross Site Request Foregery
参考答案:B13、在实际应用中,我们有时候会将大的数据进行分片,分成多个小的数据进行传输,请问以上分片(分段)归属于OSI哪个层级负责?()
A、数据链路层
B、网络层
C、物理层
D、传输层
参考答案:D
https://www.nowcoder.com/questionTerminal/23e28e5041664bcaabffdaf80d33484914、请简述SQL漏洞产生的原因?
参考答案:
其成因可以归结为以下两点原因叠加造成的:
1.程序编写者再处理程序和数据库交互的时候,使用字符拼接的方法构造SQL语句
2.未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中
参考:https://blog.csdn.net/qq_29920751/article/details/51661257
参考2:https://www.jianshu.com/p/282a0d3b2afe15、请简述利用 SQL 漏洞进行脱库的全过程?
参考答案:
1、手动找出注入点
2、sqlmap -u http://www.******.com/subcat.php?id=2 --dump-all
参考:http://www.voidcn.com/article/p-uivrlyls-xe.html16、请简述 SQL 的防御办法?
参考答案:
采用sql语句预编译和绑定变量,是防御sql注入的最佳方法
但是不是所有场景都能够采用 sql语句预编译,有一些场景必须的采用 字符串拼接的方式,此时,我们严格检查参数的数据类型,还有可以使用一些安全函数,来防止sql注入。
参考:https://www.cnblogs.com/digdeep/p/4715245.html17、在 NAT 环境下应该使用哪种 VPN 封装格式和传输模式?
18、在 NAT 环境多条 VPN 连接的场景下,标准 IPSEC VPN 存在什么问题?
19、如何解决此问题,请详细说明实现原理?