web 安全试题及答案.docVIP

web安全试题及答案

一、单项选择题（每题2分，共10题）

1.以下哪种不属于常见的Web漏洞？

A.SQL注入B.跨站脚本C.防火墙漏洞D.身份认证漏洞

答案：C

2.防止SQL注入的有效方法是？

A.使用动态SQLB.对用户输入进行过滤和验证C.不使用数据库D.只允许管理员访问数据库

答案：B

3.Web服务器默认端口一般是？

A.21B.80C.443D.22

答案：B

4.以下哪个是跨站脚本攻击简称？

A.SQLiB.XSSC.CSRFD.DDoS

答案：B

5.以下哪种加密算法常用于Web安全通信？

A.MD5B.SHA1C.AESD.DES

答案：C

6.安全的密码策略不包括？

A.长度足够B.包含多种字符类型C.定期更换D.使用生日作为密码

答案：D

7.检测Web漏洞常用工具是？

A.NmapB.BurpSuiteC.WiresharkD.Snort

答案：B

8.以下哪个不属于身份认证方式？

A.用户名/密码B.指纹识别C.防火墙D.数字证书

答案：C

9.防止文件上传漏洞关键是？

A.限制上传文件大小B.验证上传文件类型C.允许任何文件上传D.上传到任意目录

答案：B

10.最容易遭受暴力破解的是？

A.复杂密码B.简单短密码C.带特殊字符密码D.动态口令

答案：B

二、多项选择题（每题2分，共10题）

1.常见的Web攻击手段有（）

A.SQL注入B.暴力破解C.钓鱼攻击D.端口扫描

答案：ABC

2.属于Web安全防护措施的有（）

A.安装防火墙B.定期更新系统C.进行安全测试D.开放所有端口

答案：ABC

3.以下哪些可能导致XSS漏洞（）

A.对用户输出未进行编码B.使用了不安全的第三方库C.数据库配置错误D.服务器性能低

答案：AB

4.安全的Web开发原则包括（）

A.最小权限原则B.数据加密C.代码简洁D.定期备份数据

答案：ABD

5.防止CSRF攻击的方法有（）

A.使用验证码B.验证请求来源C.加密传输数据D.不使用表单

答案：AB

6.以下哪些属于Web应用层协议（）

A.HTTPB.HTTPSC.FTPD.TCP

答案：AB

7.检测SQL注入的方法有（）

A.代码审计B.漏洞扫描工具C.人工测试D.查看服务器日志

答案：ABCD

8.数字证书可以用于（）

A.身份认证B.数据加密C.防止SQL注入D.提升网站性能

答案：AB

9.选择安全的Web服务器需要考虑（）

A.安全更新支持B.性能C.市场占有率D.漏洞情况

答案：ABD

10.以下哪些是安全的会话管理措施（）

A.定期更换会话IDB.对会话数据加密C.将会话数据存于客户端D.限制会话超时时间

答案：ABD

三、判断题（每题2分，共10题）

1.只要安装了防火墙，Web应用就绝对安全。（×）

2.MD5加密算法现在依然非常安全，不会被破解。（×）

3.所有用户输入都应该进行严格验证和过滤。（√）

4.跨站脚本攻击只能攻击本站点用户。（×）

5.定期进行数据备份可以防止因安全事件导致的数据丢失。（√）

6.允许用户上传任意类型文件不会带来安全风险。（×）

7.安全的Web应用不需要进行安全测试。（×）

8.简单的密码策略有助于用户记忆，不会影响安全。（×）

9.身份认证只需要用户名和密码就足够安全。（×）

10.HTTPS协议比HTTP协议更安全。（√）

四、简答题（每题5分，共4题）

1.简述SQL注入原理。

通过在用户输入中插入恶意SQL语句，利用程序对输入验证不足，攻击者可篡改数据库查询逻辑，获取、修改或删除敏感数据。

2.如何预防XSS漏洞？

对用户输入进行严格过滤和验证，对输出进行编码，避免将未处理的用户输入直接输出到页面，使用安全的库和框架。

3.简述HTTPS工作原理。

客户端向服务器请求连接，服务器发送证书，客户端验证证书。双方协商加密密钥，之后数据在对称加密下传输，保证通信安全。

4.列举三种常见的Web安全测试方法。

代码审计：