选择题
1.(10分)下面关于SQL注入的描述错误的是( )
A该攻击是通过在受害者计算机上执行SQL语句,达到窃取秘密的目的
B这种攻击是通过电子邮件实现的
C攻击者可以使用SQL注入漏洞绕过应用程序安全措施
DSQL注入攻击是最古老,最流行,最危险的Web应用程序攻击之一。
正确答案: B 您的答案: B
解析:SQL注入是现在普通使用的一种攻击手段,就是通过把非法的SQL命令插入到Web表单中或页面请求查询字符串中,最终达到欺骗服务器执行恶意的SQL语句的目的。
2.(10分)关于DVWA平台描述错误的是( )
A关于DVWA平台描述错误的是( )
BDVWA 1.9的代码分为四种安全级别:Low,Medium,High,Impossible
CDVWA共有Command Injection、CSRF、SQL Injection等十个模块
D以上都对
正确答案: D 您的答案: D
解析:DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。DVWA共有十个模块,分别是:Brute Force(暴力破解)、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、SQL Injection(SQL注入)、SQL Injection(Blind)、(SQL盲注)、XSS(Reflected)(反射型跨站脚本)、XSS(Stored)(存储型跨站脚本)
需要注意的是,DVWA 1.9的代码分为四种安全级别:Low,Medium,High,Impossible。
3.(10分)SQL注入的危害有哪些( )
A数据库泄露
B数据库被破坏
C网站崩溃
D以上都是
正确答案: D 您的答案: D
解析:SQL注入攻击的危害:1、未经授权状况下操作数据库中的数据 2、恶意篡改网页内容 3、私自添加系统帐号或者是数据库使用者帐号 4、网页挂木马
4.(10分)SQL注入的防御方法有哪些( )
A代码层面对查询参数进行转义
B预编译与参数绑定
C利用WAF防御
D以上都是
正确答案: D 您的答案: D
解析:ABC三项都可以用来防御SQL注入。
5.(10分)关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订( ),明确安全和保密义务与责任。
A安全责任条款
B安全服务合同
C安全保密协议
D保密合同
正确答案: C 您的答案: C
解析:《网络安全法》第三十六条 关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
判断题
1.(10分)SQL注入一般可以通过网页表单直接输入。
正确答案: 对 您的答案: 对
解析:SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序。
2.(10分)SQL注入时,数字型与字符型一样都不需要单引号闭合。
正确答案: 错 您的答案: 错
解析:数字型与字符型注入最大的区别在于:数字型不需要单引号闭合,而字符串类型一般要使用单引号来闭合。
3.(10分)程序员在书写SQL语言时,禁止将变量直接写入到SQL语句,必须通过设置相应的参数来传递相关的变量。
正确答案: 对 您的答案: 对
解析:数据输入不能直接嵌入到查询语句中。同时要过滤输入的内容,过滤掉不安全的输入数据。或者采用参数传值的方式传递输入变量。这样可以最大程度防范SQL注入攻击。
4.(10分)国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。
正确答案: 对 您的答案: 对
解析:《网络安全法》第二十条 国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。
5.(10分)《网络安全法》规定:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于1年;
正确答案: 错 您的答案: 错
解析:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
