民航竞赛-网站安全3

一、单项选择题

1、phpmyadmin某些低版本中存在的万能密码是

A、 localhost'@'@'

B、 localhost'@'@"

C、 localhost'@"@"

您的答案： 标准答案： B

2、通过扫描器很难扫描到逻辑漏洞，这种说法正确吗

A、 对

B、 错

您的答案： 标准答案： A

3、IIS 组件中不包括以下哪项服务？

A、 WEB 服务

B、 FTP 服务

C、 APACHE 服务

D、 SMTP 服务

您的答案： 标准答案： C

4、在网站属性的目录安全性中，不可以定义的是以下哪一项？

A、 身份验证和访问控制

B、 目录权限设置

C、 IP地址和域名限制

D、 安全通信

您的答案： 标准答案： B

5、IIS 安装后，默认可以使用ASP、等功能，是否正确？

A、 对

B、 错

您的答案： 标准答案： B

6、FTP 服务默认端口是？

A、 21

B、 80

C、 8080

D、 22

您的答案： 标准答案： A

7、以下哪个命令可往FTP服务器传输文件？

A、 GET

B、 INPUT

C、 PUT

D、 OPEN

您的答案： 标准答案： C

8、FTP 主要是用来实现客户端与服务器的文件传输，是否正确？

A、 对

B、 错

您的答案： 标准答案： A

9、使用以下哪个选项可以查看本机路由表？

A、 route add

B、 route print

C、 route delete

D、 route change

您的答案： 标准答案： B

10、以下不属于 “ 外部网络协议” 主要功能的是？

A、 用于外部邻站的获取

B、 用于邻站的可达性测试

C、 用于选路由信息更新

D、 用于本地系统内部使用的选路协议

您的答案： 标准答案： D

11、Windows Server 2003的 “路由和远程访问” 服务是一个全功能的软件路由

器，是否正确？

A、 对

B、 错

您的答案： 标准答案： A

12、按照协议分类，以下不属于VPN类型的是？

A、 PPTP

B、 L2TP

C、 IPSec

D、 TCP

您的答案： 标准答案： D

13、Windows Server 2003中，远程访问策略，默认有几个？

A、 1

B、 2

C、 3

D、 4

您的答案： 标准答案： B

14、某公司员工出差到外地，他想访问企业内网的服务器资源，这时候我们可以通过

VPN技术来实现，是否正确？

A、 对

B、 错

您的答案： 标准答案： A

15、以下哪个命令可以查看Linux系统是否安装了BIND程序包？

A、 rpm -q bind

B、 rpm -i bind

C、 rpm -v bind

D、 rpm -h bind

您的答案： 标准答案： A

16、以下哪个选项可以重启DNS服务？

A、 service named stop

B、 service named start

C、 /etc/rc.d/init.d/named stop

D、 service named restart

您的答案： 标准答案： D

17、在主配置文件中添加所规划的正向区域和反向区域，以“zone”为关键字设定区

域，指向区域文件所在位置和文件名，是否正确？

A、 对

B、 错

您的答案： 标准答案： A

18、在 wireshark筛选器中，可以捕获出所有 ip 为 192.168.1.1 的是？

A、 == 192.168.1.1

B、 == 192.168.1.1

C、 == 192.168.1.1

D、 !( == 192.168.1.1)

您的答案： 标准答案： C

19、对于筛选器中输入 == 192.168.1.1 and == 8080描述正确的

是？

A、 筛选出目的IP地址为 192.168.1.1 并且端口为 8080 的数据包

B、 筛选出目的IP地址为 192.168.1.1 或者端口为 8080 的数据包

C、 筛选出所有IP地址为 192.168.1.1 并且端口为 8080 的数据包

D、 筛选出所有IP地址为 192.168.1.1 或者端口为 8080 的数据包

您的答案： 标准答案： C

20、在 wireshark筛选器中，输入 http 可以捕获 http 协议的数据包，是否正确？

A、 对

B、 错

您的答案： 标准答案： A

21、wireshark 中，Statistics菜单项下的 Protocol Hierarchy 选项主要功能是什

么？

A、 显示捕捉数据摘要

B、 显示协议统计分层信息

C、 显示会话列表

D、 显示端点列表

您的答案： 标准答案： B

22、wireshark中最活跃的通讯端点，并不一定包括流量最大的会话，是否正确？

A、 对

B、 错

您的答案： 标准答案： A

23、在IO Graphs 中，可以使用哪项命令排查有丢失的数据包？

A、 _segment

B、 _update

C、 _rtt

D、 ate_ack

您的答案： 标准答案： A

24、我们可以使用 wireshark 中的 IO Graph来对网络整体流量信息进行显示分析，

是否正确？

A、 对

B、 错

您的答案： 标准答案： A

25、以下哪个文件夹存放的是 wireshark 负责解析网络协议文件？

A、 Core

B、 Capture

C、 Epan

D、 Wiretap

您的答案： 标准答案： C

26、FTP协议使用443端口而不是标准21端口时，我们可以强制将解析错误的包按

照指定协议解析，是否正确？

A、 对

B、 错

您的答案： 标准答案： A

27、设置后，达到无法通过客户端 JavaScript 直接访问 Cookie 的选项是

A、 Domain

B、 Expires

C、 Secure

D、 HttpOnly

您的答案： 标准答案： D

28、下列选项中，状态码解释错误的选项是

A、 200: 表示已成功提交请求，且相应主体中包含请求结果

B、 400: 表示客户端提交了一个无效的 HTTP 请求

C、 414: 服务器无法处理客户端发送的不带Content-Length的请求信息

D、 500:服务器内部错误，无法完成请求

您的答案： 标准答案： C

29、下列选项中，表示将浏览器暂时重定向到另外一个在 Location 消息头中指定的

URL 的状态码是

A、 100

B、 201

C、 302

D、 403

您的答案： 标准答案： C

30、HTTPS 本质与 HTTP 一样，都属于应用层协议，但 HTTPS 通过安全传输机制

——安全套阶层（Secure Socket Layer，SSL）来传送数据。这种说法正确吗（）

A、 对

B、 错

您的答案： 标准答案： A

31、下列 URL 编码解释错误的是：

A、 %3d 代表 =

B、 %25 代表 %

C、 %0a 代表新行

D、 %00 代表空格

您的答案： 标准答案： D

32、下面 HTML 编码解释错误的是：

A、 " 代表 "

B、 &apos 代表 '

C、 < 代表 <

D、 > 代表 <

您的答案： 标准答案： D

33、如果没有启用 WebDAV 扩展，OPTIONS 命令是无法查看 IIS 支持的方法集合

的。即便是复选上了“写入”，仍然无法写入 txt 文件。该说法正确吗（）

A、 对

B、 错

您的答案： 标准答案： A

34、动态语言，服务器和客户端代码不一致；静态语言，服务端和客户端代码一致。

该说法是否正确（）

A、 对

B、 错

您的答案： 标准答案： A

35、下列一键 PHP 环境的工具中，不可以安装在 Linux 中的是（）

A、 PHPStudy

B、 PHPNow

C、 WampServer

D、 XAMPP

您的答案： 标准答案： C

36、下列 ASP 接受参数的方式错误的是（）

A、 request

B、

C、

D、

您的答案： 标准答案： B

37、下列链接中不存在注入点的是（）

A、 www.****.com/***.asp?id=XX

B、 www.****.com/***.php?name=XX&page=99

C、 www.****.com/index/new/

D、 www.****.com/

您的答案： 标准答案： D

38、下列 mysql 的 PHP 函数说法错误的是（）

A、 mysql_connect('host', 'username', 'pass'); 连接 mysql 链接

B、 mysql_db_select($database, $conn); 选择数据库

C、 mysql_query($sql, $conn); 执行 SQL 语句

D、 mysql_fetch_array($result); 将查询结果的一条返回到一个数组中

您的答案： 标准答案： B

39、下面说法是否正确，注射式攻击的根源在于，程序命令和用户数据（即用户输入）

之间没有做到泾渭分明（）

A、 对

B、 错

您的答案： 标准答案： A

40、程序使用 SQLServer 数据库，当程序登录页面存在注入时，下列选项中，属于

万能密码的是（）

A、 用户名输入： '(或") AND 1 = 1-- ；密码随便输入

B、 用户名输入： '(或") && 1 = 1-- ；密码随便输入

C、 用户名输入： '(或") OR 1 = 1-- ；密码随便输入

D、 用户名输入： '(或") || 1 = 1-- ；密码随便输入

您的答案： 标准答案： C

41、已知 SQL 语句为：$sql = 'SELECT * FROM `member` WHERE `username` =

"'.$_GET['name'].'" AND `password` = "'.$_GET['pwd'].'"'; ，当访问

?name=admin" OR "1"="2&pwd=" OR "1"="1 时，可以完成用户验证

吗（）

A、 对

B、 错

您的答案： 标准答案： A

42、已知字符型注入语句 $sql = 'SELECT * FROM `memeber` WHERE `username`

= "'.$user.'" AND `pass` = "'.$pass.'"'，下列能成功执行注入的是（）

A、 $user = 'admin OR 1 = 1--'; $pass = 'something';

B、 $user = 'admin OR 1 = 2'; $pass = '" OR 1 = 1';

C、 $user = 'admin" OR 1 = 1'; $pass = '" OR 1 = 2';

D、 $user = 'admin" OR "1" = "2'; $pass = '" OR "1" = "1';

您的答案： 标准答案： D

43、MySQL 5 中新增了一个 information_schema 库，该库中存储了数据库信息

内容，可直接爆库、爆表、爆字段；而 MySQL 4 只能采用类似 Access 的方法进行查询

猜解，该说法是否正确（）

A、 对

B、 错

您的答案： 标准答案： A

44、用 ORDER BY 来判断字段数量时，ORDER BY 后面跟 5 时，正常返回，后面

跟 6 时，报 Unknown column '6' in 'order clause' 错误，当前目标表有几个字段（）

A、 4

B、 5

C、 6

D、 7

您的答案： 标准答案： B

45、使用 ORDER BY 手工注入进行字段数判断时，ORDER BY 6 未报错，ORDER BY

7 报 UNKNOWN COLUMN '7' IN 'ORDER CLAUSE'，该表有几个字段（）

A、 5

B、 6

C、 7

D、 8

您的答案： 标准答案： B

46、已知 MySQL 版本大于 5，手工注入时，访问

127.0.0.1/?id=3'%20SELECT%20GROUP_CAT(SCHEMA_NAME)%2

0FROM%20INFROMATION_TA，可以获取到的是（）

A、 所有数据库

B、 所有表

C、 所有字段

D、 所有字段类型

您的答案： 标准答案： A

47、在 MySQL INFORMATION_SCHEMA 数据库中，保存数据库信息的表是（）

A、 TABLES

B、 SCHEMATA

C、 COLUMNS

D、 DATABASES

您的答案： 标准答案： B

48、SELECT * FROM INFORMATION_ WHERE

TABLE_SCHEMA=DATABASE() LIMIT 0,1 ，该语句查询的是当前数据库的第一条表信息，

该说法正确吗（）

A、 对

B、 错

您的答案： 标准答案： A

49、下列 MySQL 的 SQL 语句中，能同时查询用户、数据库版本、数据库并以 , 分

割的是（）

A、 SELECT user(),version(),database();

B、 SELECT user(),',',version(),',',database();

C、 SELECT user().version().database();

D、 SELECT group_concat(user(),version(),database());

您的答案： 标准答案： D

50、下列 MySQL 的 SQL 语句中，能够查询所有数据库的是（）

A、 SELECT TABLE_NAME FROM INFROMATION_;

B、 SELECT SCHEMA_NAME FROM INFROMATION_TA;

C、 SELECT DATABASE_NAME FROM INFROMATION_SES;

D、 SELECT COLUMN_NAME FROM INFROMATION_S;

您的答案： 标准答案： B