web安全试题及答案
一、单项选择题(每题2分,共10题)
1.以下哪种不属于常见的Web攻击方式?()
A.SQL注入B.安装杀毒软件C.XSS攻击
答案:B
2.Web服务器默认端口一般是?()
A.21B.80C.443
答案:B
3.防止XSS攻击的有效方法是?()
A.过滤用户输入B.重启服务器C.更新数据库
答案:A
4.以下哪个是安全的加密算法?()
A.MD5B.SHA-256C.DES
答案:B
5.攻击者通过构造恶意链接,诱导用户点击,获取用户信息,这是?()
A.CSRF攻击B.DDoS攻击C.暴力破解
答案:A
6.HTTP协议是?()
A.面向连接B.无连接C.都不是
答案:B
7.以下不属于身份认证方式的是?()
A.密码B.数字证书C.防火墙
答案:C
8.检测Web漏洞常用工具是?()
A.PhotoshopB.NmapC.BurpSuite
答案:C
9.网站的敏感信息不包括?()
A.用户密码B.产品介绍C.数据库连接字符串
答案:B
10.防止SQL注入可采用?()
A.存储过程B.增加页面加载时间C.禁用JavaScript
答案:A
二、多项选择题(每题2分,共10题)
1.常见的Web安全漏洞有()
A.SQL注入B.XSSC.CSRFD.DDoS
答案:ABC
2.以下哪些是Web安全防护措施()
A.安装防火墙B.定期更新系统C.进行安全审计D.关闭服务器
答案:ABC
3.身份认证的因素有()
A.你知道的东西B.你拥有的东西C.你是什么D.你去过的地方
答案:ABC
4.加密算法有()
A.AESB.RSAC.MD5D.SHA-1
答案:AB
5.以下属于Web服务器的有()
A.ApacheB.NginxC.IISD.MySQL
答案:ABC
6.安全的密码策略包括()
A.足够长度B.包含多种字符C.定期更换D.全部用数字
答案:ABC
7.检测Web漏洞的方法有()
A.漏洞扫描工具B.手工测试C.代码审计D.网络监听
答案:ABC
8.防止XSS攻击可采取()
A.对输出进行编码B.过滤特殊字符C.禁用脚本D.增加验证码
答案:AB
9.保护Web应用的措施有()
A.输入验证B.访问控制C.数据加密D.隐藏网站
答案:ABC
10.安全的传输协议有()
A.HTTPB.HTTPSC.FTPD.SFTP
答案:BD
三、判断题(每题2分,共10题)
1.只要安装了防火墙,Web应用就绝对安全。()
答案:错
2.MD5算法现在依然非常安全,可用于密码加密。()
答案:错
3.XSS攻击主要是针对服务器端的漏洞。()
答案:错
4.定期更新Web应用程序有助于提高安全性。()
答案:对
5.用户名和密码直接传输是安全的。()
答案:错
6.所有的JavaScript脚本都是安全的。()
答案:错
7.防火墙可以阻止所有的网络攻击。()
答案:错
8.数据库备份对Web安全没有作用。()
答案:错
9.进行用户认证可以有效防止非法访问。()
答案:对
10.网站使用HTTPS协议就不会有安全问题。()
答案:错
四、简答题(每题5分,共4题)
1.简述SQL注入原理。
答案:攻击者通过在输入字段中构造恶意SQL语句,利用程序对用户输入过滤不足,使其插入到合法SQL语句中执行,从而获取、修改或删除数据库数据。
2.如何预防CSRF攻击?
答案:使用验证码,在表单提交等操作时要求用户输入验证码;验证请求来源,检查请求是否来自合法站点;添加CSRF令牌,在表单或链接中添加唯一令牌并在服务器端验证。
3.简述HTTPS工作原理。
答案:客户端向服务器发起HTTP请求,服务器返回证书。客户端验证证书后生成会话密钥。之后双方用会话密钥加密通信,保证数据传输的保密性和完整性。
4.为什么要进行代码审计?
答案:通过代码审计可发现潜在安全漏洞,如SQL注入、XSS等。提前发现问题能及时修复,避免安全事故,