首页
登录
从业资格
案例一 安全测评工程师小张对某单位的信息系统进行安全渗透测试时,首先获取A系统
案例一 安全测评工程师小张对某单位的信息系统进行安全渗透测试时,首先获取A系统
题库
2022-08-02
101
问题
案例一安全测评工程师小张对某单位的信息系统进行安全渗透测试时,首先获取A系统部署的WebServer版本信息然后利用A系统的软件中间件漏洞,发现可以远程在A系统服务器上执行命令。小张控制A服务器后,尝试并成功修改网页。通过向服务器区域横向扫描,发现B和C服务器的root密码均为123456,利用该密码成功登录到服务器并获取root权限。案例二网络管理员小王在巡查时发现网站访问日志中有多条非正常记录。其中,日志1访问记录为:www.xx.com/ param=1'and updatexml(1, concat(0x7e (SEL ECT MD5(1234),0x7e), 1)日志2访问记录为www.xx.com/js/url. substring(0, indexN2)}/ alert(url);url+=小王立即采取措施,加强Web安全防范。案例三某信息系统在2018年上线时,在公安机关备案为等级保护第三级,单位主管认为系统已经定级,此后无须再做等保安全评测。1.案例二中,日志1所示访问记录是(4)攻击,日志2所示访问记录是(5)攻击2.案例二中,小王应采取哪些措施加强web安全防范?
选项
答案
解析
SQL注入 (5)跨站攻击加强服务器配置与设置,部署WAF安全设备。
答案解析 :
从题干日志所展示的信息来看,里面有非常明显的SQL语句,“SELECT MD5(1234),0x7e), 1)”等,而该语句是嵌入在URL中,所以明显就是一种SQL注入攻击。从题干中的日志,可以看到其中有“substring(0, indexN2)}/alert(url);url+=”这样明显的函数,显然是一种跨站攻击。而这两种攻击形式都属于典型的web应用层攻击,通常采用的防范方法可以基于web应用层进行,如采用WAF防火墙或者加强服务器的相关配置,进行严格的过滤避免出现SQL注入或者跨站攻击。
转载请注明原文地址:https://www.tihaiku.com/congyezige/2399771.html
本试题收录于:
高级网络规划设计师题库软件水平考试初中高级分类
高级网络规划设计师
软件水平考试初中高级
相关试题推荐
在网络设计和实施过程中要采取多种安全措施,其中( )是针对系统安全需求的措施。
数据库系统中的视图、存储文件和基本表分别对应数据库系统结构中的( )。A.模式
计算机系统的( )可以用MTBF/(1+MTBF)来度量,其中MTBF为平均失
以下关于结构化开发方法的叙述中,不正确的是( )。A.将数据流映射为软件系统的
某商场的销售系统所使用的信用卡公司信息系统的数据格式发生了更改,因此对该销售系统
以下关于Cache与主存间地址映射的叙述中,正确的是( )。A.操作系统负责管
三总线结构的计算机总线系统由( )组成。A.CPU总线、内存总线和IO总线
某文件管理系统在磁盘上建立了位示图(bitmap),记录磁盘的使用情况。若磁盘上
某字长为32位的计算机的文件管理系统采用位示图(bitmap)记录磁盘的使用情况
某计算机系统页面大小为4K,若进程的页面变换表如下所示,逻辑地址为十六进制1D1
随机试题
【B1】[br]【B6】A、meetB、avoidC、sinkD、fightwithCmeet意为“遇见,迎接”,avoid意为“避免,消除”,s
Thegreatadvanceinrockettheory40yearsagoshowedthatliquid-fuelrocke
[originaltext](32)Thefamilyischanging.Inthepast,grandparents,parent
铁路装车有两种方法:一种是自流装车,一种是泵送装车。下列有关液化气体铁路罐车充装
下列不是溃疡性结肠炎的X线表现的是A.肠壁边缘呈锯齿样 B.肠腔见圆形或卵圆形
手术进行期间让患者听音乐,有助于降低患者的焦虑感与止痛药使用量,研究人员检视覆盖
小冯性格内向,结婚后与公婆在一起居住,经常与婆婆发生冲突。为此,她很烦恼,感到心
户籍在B省的何某2013年6月从A省的某医药院校药学专业本科毕业后,应聘到A省某
流体做矩形水流模型实验,设满足弗劳德准则,原型水深6m,速度为4.0m/s;模型
市政公用工程施工中,每一个单位(子单位)工程完成后,应()测量。A.竣工 B
最新回复
(
0
)