OWASP简介
1:关于OWASP说法正确的是?
[‘OWASP是一个开源的专注于Web安全问题得组织。’, ‘OWASP是一个美国开放的安全机构。’, ‘OWASP是一个专注渗透测试的开源组织。’, ‘OWASP是一个开源的专注于SQL安全问题得组织。’]
答案:[‘1’]
2:已知某个链接存在SQL注入漏洞,网址是http://www.xxx.com.cn/product.asp?id=20,以下哪个URL访问之后,页面不会报错?
[‘http://www.xxx.com.cn/product_more.asp?id=20’, ‘http://www.xxx.com.cn/product_more.asp?id=20 and 1=1’, ‘http://www.xxx.com.cn/product_more.asp?id=20 and 1=2’, ‘http://www.xxx.com.cn/product_more.asp?id=20 and 99*9<100']
答案:加微信看答案
OWASP TOP 10 2017
3:2018年8月份汉庭酒店发生信息泄露事件,据报道原因是由于运维人员将数据库账户信息同步到了github上了,关于信息泄露说法正确的是?
[‘Web站点轻易不会发生信息泄露事件。’, ‘信息泄露事件一般影响不大。’, ‘信息泄露事件只发生在酒店行业。’, ‘信息泄露可能会导致例如用户账户、密码、身份信息、电话等数据泄露,会对个人的安全产生严重影响。’]
答案:
4:关于访问控制说法错误的是?
[‘对于Web站点的安全问题可以通过WAF来实现安全控制。’, ‘访问控制只能实现对外的连接,对内不能。’, ‘MySQL、MSSql等数据库可以通过修改配置文件实现安全加固措施。’, ‘Web站点只能通过买防火墙等安全设备进行访问控制等安全加固措施。’]
答案:
常用Web安全工具
5:下列不属于安全配置的选项是?
[‘检查上传文件的大小、类型、后缀格式等属性,防止上传恶意文件。’, ‘Web网站安装并运行并不需要的服务,比如FTP或SMTP。’, ‘对于站点的所有输入进行过滤转义,防止有SQL注入攻击。’, ‘在登录页面选择POST方法传递账户信息,并在后台做校验,防止万能密码登录。’]
答案:
6:日志记录监控是Web安全非常重要的一个安全问题,请问网络安全法中关于日志保留时间说法正确的是?
[‘1个月’, ‘3个月’, ‘6个月’, ‘1年’]
答案:[‘3’]
OWASP TOP 10与常见Web应用安全风险介绍
7:Sqlmap经常用来做注入检测,下面关于Sqlmap语法表述错误的是?
[‘–current-db 表示获取当前数据库名称。’, ‘–-tables –D security 表示获取security数据库的表信息。’, ‘–dbs 表示枚举处mysql数据库中当前所有的数据库信息。’, ‘–dump –column username,password 表示抓取字段值。’]
答案:加微信看答案
8:以下哪项是burpsuite不具备的功能?
[‘代理抓取HTTP数据包。’, ‘修改HTTP数据包。’, ‘可以爆破账户信息。’, ‘可以修改HTTP的返回值。’]
答案:
9:下面关于网络安全工具说法不正确的是?
[‘Brupsuite是一款非常流行的Web安全工具。’, ‘Wireshark在网络安全领域不怎么受欢迎。’, ‘nmap是一款网络扫描工具。’, ‘AWVS经常用来做漏扫工作。’]
答案:
10:一般来说,通过WEB运行http服务的子进程时,我们会选择( )的用户权限方式,这样可以保证系统的安全。
[‘root’, ‘httpd’, ‘guest’, ‘nobody’]
答案: