第五章----Web应用常见漏洞原理与防范

1. (12分)单选题 5-1.（ ）攻击的主要特征为攻击者直接将恶意JS代码上传到具有XSS漏洞的服务
   器中，当其他用户浏览该页面时，站点即从数据库中读取恶意JS代码发送给受害者，并在受害者浏览器上执行。
   A 反射型XSS
   B 存储型XSS
   C DOM型XSS
   D 突变型XSS

2. (12分)单选题 5-4.如果用户提交用户名和密码后系统会动态生成如下SQL语句：select count(*) from admin where username=‘admin’ and password=‘password’那么用户可以通过输入什么内容进行SQL注入，在不知道用户名密码的情况下成功登陆系统
   A 输入用户名‘ –
   B 输入用户名‘ and 1=1 –
   C 输入用户名‘ or 1=2 –
   D 输入用户名‘ or 2=2 –

3. (12分)单选题 5-2.用户使用HTTP协议访问某Web服务器，如果访问成功，那么返回的状态码可能是：
   A 200
   B 302
   C 404
   D 500

4. (20分)多选题 5-6.下列哪些方法对于防范SQL注入漏洞是有效可行的？
   A 数据库在执行SQL语句之前对动态生成的SQL语句进行合法性检查
   B 使用强类型编程语言编写Web程序
   C 对用户输入的内容进行数据类型检查
   D 对输入的特殊字符进行转义

5. (20分)多选题 5-3.一个HTTP请求行中可能包含哪些内容：
   A HTTP协议版本
   B 请求方法
   C 请求的主机地址
   D 用户的cookie值

6. (12分)判断题 5-7.在反射型XSS攻击中，在用户浏览器上执行的恶意JS代码，是用户发送给Web服务器并由Web服务器返回给用户的。
   A) 正确
   B) 错误

7. (12分)判断题 5-5.输入URL为HTTP://www.xxser.com/test.php?id=8’，如果页面返回错误，则说明Web服务器存在数字型SQL注入漏洞，否则说明Web服务器存在字符型SQL注入漏洞
   A) 正确
   B) 错误