系统安全题目(二)

1、在 php + mysql + apache 架构的web服务中输入GET参数 index.php?a=1&a=2&a=3 服务器端脚本 index.php 中$GET[a] 的值是?
正确答案: C

A 1
B 2
C 3
D 1,2,3

2、以下哪些不是CSRF漏洞的防御方案?
正确答案: D

A 检测HTTPreferer
B 使用随机token
C 使用验证码
D html编码

3、以下程序存在何种安全漏洞?

正确答案: A

A XSS
B sql注入
C 命令执行
D 代码执行

4、下列哪些工具可以作为离线破解密码使用?
正确答案: D

A hydra
B Medusa
C Hscan
D OclHashcat

5、下列命令中不能用于Android应用程序反调试的是?
正确答案: C

A ps
B cat/proc/self/status
C cat/proc/self/cmdline
D cat/proc/self/stat

6、用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段?
正确答案: B

A 缓存溢出攻击
B 钓鱼攻击
C 暗门攻击
D DDOS攻击

7、下列关于各类恶意代码说法错误的是?
正确答案: C

A 蠕虫的特点是其可以利用网络进行自行传播和复制
B 木马可以对远程主机实施控制
C Rootkit即是可以取得Root权限的一类恶意工具的统称
D pcshare一种远程控制木马

8、关于XcodeGhost事件的正确说法是?
正确答案: B

A 部分Android 产品 也受到了影响
B 应用程序开发使用了包含后门插件的IDE
C 当手机被盗时才有风险
D 苹果官方回应APPSTORE上的应用程序不受影响

9、下列关于各类恶意代码说法错误的是?
正确答案: C

A 蠕虫的特点是其可以利用网络进行自行传播和复制
B 木马可以对远程主机实施控制
C Rootkit即是可以取得Root权限的一类恶意工具的统称
D 通常类型的病毒都只能破坏主机上的各类软件,而无法破坏计算机硬件

10、Unix系统日志文件通常是存放在?
正确答案: A

A /var/log
B /usr/adm
C /etc/
D /var/run

11、防止系统对ping请求做出回应,正确的命令是?
正确答案: C

A echo 0>/proc/sys/net/ipv4/icmp_ehco_ignore_all
B echo 0>/proc/sys/net/ipv4/tcp_syncookies
C echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all
D echo 1>/proc/sys/net/ipv4/tcp_syncookies

12、文件名为webshell.php.phpp1.php02的文件可能会被那个服务器当做php文件进行解析?
正确答案: A

A Apache
B IIS
C nginx
D squid

13、cookie安全机制,cookie有哪些设置可以提高安全性?(多选题)
正确答案: A B C

A 指定cookie domain的子域名
B httponly设置
C cookie secure设置,保证cookie在https层面传输
D 以上都不对

14、下列哪些方式对解决xss漏洞有帮助?
正确答案: B C

A csp
B html编码
C url编码
D 验证码

15、可以抓取Windows 登录密码的安全工具有?
正确答案: A C

A mimikatz
B sqlmap
C pwdump7
D hashcat

16、关于对称加密以下说法不正确的是?
正确答案: B D

A DES属于对称加密
B 对称加密算法需要两个密钥来进行加密和解密
C 对称加密也叫单密钥加密
D RSA属于对称加密

17、以下哪些命令可以查看windows安全日志?
正确答案: A B

A wevtutil
B eventquery.vbs
C systeminfo
D dsquery

18、以下PHP代码经过mysql_real_escape_string过滤还存在漏洞?为什么?
$id = $_GET[‘id’];
$id = mysql_real_escape_string($id);
$getid = “SELECT first_name, last_name FROM users WHERE user_id = $id”;
$result = mysql_query($getid) or die(‘

' . mysql_error() . '

‘ );
$num = mysql_numrows($result);

参考答案:
这里$id变量没有经过任何的过滤,直接传入了sql语句,造成数字型注入,mysql_real_escape_string只对’ “ \ null字符做转义,而数字型注入不需要’闭合,所以仍存在注入漏洞。

转载于:https://www.cnblogs.com/benjamin77/p/8456983.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/252346.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ceres-solver学习笔记

前一段时间总有一个想法,那就是,我只直到视觉slam是远远不够的,激光slam仍然是一个比较稳妥的技术,好落地,应用广泛,我想着,如果我学会了会大大增加自己的核心竞争力,所以我抽时间开…

几款常见的视频格式转换器

在短视频占半壁江山的时候,关于体积、格式等成了困扰人们的因素,视频太大不利于传播,比如微信里就限制了传输的大小不得超过20M,所以其实说起来工作上QQ的性能远超微信。今天这里小编给大家总结几款常用的视频转换器,希…

egg(110,111,112)--egg之微信支付

微信支付前的准备工作 准备工作 准备工作:个体工商户、企业、政府及事业单位。需要获取内容 appid:应用 APPID(必须配置,开户邮件中可查看)MCHID:微信支付商户号(必须配置,开户邮件中…

旋转三维平面与某一坐标平面平行

在上一篇文章(https://blog.csdn.net/weixin_38636815/article/details/109495227)中我写了如何使用ceres,根据一系列的点来拟合一个平面,很难保证ORB-SLAM输出的轨迹严格与某一个坐标平面平行,所以这篇文章我我将说一…

windows下配置opencv

我的windows下是使用的一个镜像安装的vs2015,然后在vs上编译工程需要使用opencv时,需要在工程中配置opencv 新建一个C工程,按照下面的步骤进行配置。 设置opencv的环境变量 “此电脑”右键点击“属性”-->选择“高级系统设置”-->选…

面试时,面试官到底在考察什么?

作者:白海飞出处:极客时间《面试现场》专栏 先看一段面试对话,“大面”是一位久经沙场的面试官,小明就是今天的应聘者。一通面试下来,前面的技术问题小明都对答如流,双方相谈甚欢,接下来面试官“…

NoSQL-MongoDB with python

前言: MongoDB,文档存储型数据库(document store)。NoSQL数据库中,它独占鳌头,碾压其他的NoSQL数据库。 使用C开发的,性能仅次C。与redis一样,开源、高扩展、高可用。 基于分布式文件…

linux 一个超简单的makefile

2019独角兽企业重金招聘Python工程师标准>>> makefile 自动化变量&#xff1a; $ : 规则的目标文件名 例如&#xff1a;main:main.o test.o g -Wall -g main.o test.o -o main 可以写成&#xff1a; main:main.o test.o g -Wall -g main.o test.o -o $ $< : …

跨域问题

一、为什么会有跨域问题&#xff1f; 是因为浏览器的同源策略是对ajax请求进行阻拦了&#xff0c;但是不是所有的请求都给做跨域&#xff0c;像是一般的href属性&#xff0c;a标签什么的都不拦截。 二、解决跨域问题的两种方式 JSONPCORS 三、JSONP 先简单来说一下JSONP&#x…

PAT A1052

这个需要注意的是相关的string转整数或者double的函数&#xff1b;详见这个链接blog #include <iostream> #include <string> using namespace std; bool isPrime(int n) {if (n 0 || n 1) return false;for (int i 2; i * i < n; i)if (n % i 0) return fa…

php审计学习:xdcms2.0.8注入

注入点Fields: 注册页面会引用如下方法: $fields 变量是从 $fields$_POST[fields]; 这里获取&#xff0c; 在代码里没有过滤。 打印 fields 数据查看: 从代码上看 $field_sql.",{$k}{$f_value}"; 最终会变成: ,truename111111,email12345 因为 $field_sql 最终会引入…

windows下安装python和Python-opencv

背景&#xff1a;目前基于python的图像处理和机器视觉的研究还挺多&#xff0c;最近不是在研究目标检测和目标跟踪的算法&#xff0c;由于检测和跟踪的环境比较简单所以从不带学习的跟踪方法&#xff0c;在搜索资料时搜到这个网站&#xff0c;是对opencv中的目标跟踪算法的一个…

捋一捋js面向对象的继承问题

说到面向对象这个破玩意&#xff0c;曾经一度我都处于很懵逼的状态&#xff0c;那么面向对象究竟是什么呢&#xff1f;其实说白了&#xff0c;所谓面向对象&#xff0c;就是基于类这个概念&#xff0c;来实现封装、继承和多态的一种编程思想罢了。今天我们就来说一下这其中继承…

java8简单入门

1、介绍 本片文章会从一下几个知识点进行介绍&#xff1a; 函数式接口 FunctionalInterfaceLambda 表达式函数引用 Function ReferenceStream看了几篇关于 java8 入门的例子&#xff0c;其中引入了许多令人期待已久的特性&#xff08;虽然我没有过这样的体会&#xff09;&#…

玩转带外触发的单目相机之一

背景&#xff1a;去年开始研究vins,但是只是用了普通的相机&#xff0c;然后将IMU和相机粘在一起&#xff0c;然后就是联合标定相机和IMU。VINS使用的相机是带有外触发的&#xff0c;还进行了相机和IMU的硬件时间同步。当时我特别想买个带外触发的相机&#xff0c;一直没找到资…

基于django的视频点播网站开发-step11-后台用户管理功能...

用户管理功能&#xff0c;包含用户添加、列表展示、编辑、删除四大功能。下面我们一一揭晓。 用户添加 我们先实现用户添加功能&#xff0c;我们现在urls.py下添加相关的路由 path(user_add/, views.UserAddView.as_view(), nameuser_add), path(user_list/, views.UserListVie…

分布式之数据库和缓存双写一致性方案解析

先做一个说明&#xff0c;从理论上来说&#xff0c;给缓存设置过期时间&#xff0c;是保证最终一致性的解决方案。这种方案下&#xff0c;我们可以对存入缓存的数据设置过期时间&#xff0c;所有的写操作以数据库为准&#xff0c;对缓存操作只是尽最大努力即可。也就是说如果数…

‘(‘:illegal token on right side of ‘::‘

背景&#xff1a;想整理升级一下代码&#xff0c;添加了两个类&#xff0c;再一编译代码&#xff0c;出现了好多这样的错误提示“(:illegal token on right side of ::”&#xff0c;我很纳闷这是啥问题&#xff0c;我就使用“注释法”来定位出错的位置&#xff0c;我发现把所有…

虹软免费人脸识别SDK注册指南

2019独角兽企业重金招聘Python工程师标准>>> 成为开发者三步完成账号的基本注册与认证&#xff1a; STEP1:点击注册虹软AI开放平台右上角注册选项&#xff0c;完成注册流程。 STEP2:首次使用&#xff0c;登录后进入开发者中心&#xff0c;点击账号管理完成企业或者个…

C++中的类加多线程代码修炼

背景&#xff1a;现在在做一个目标跟踪的项目&#xff0c;需要实时的从工业相机中获取图像&#xff0c;然后再跟踪图像上的目标物&#xff0c;由于起初为了测试跟踪算法&#xff0c;就把“从相机获取图像”和“跟踪处理”都放在了主线程中&#xff0c;在实际测试时&#xff0c;…