下面不是SQL注入漏洞造成的危害的是:()。A、网站页面被篡改B、核心业务数据丢失C、获取web控制权限D、系统被远程溢出
题目
下面不是SQL注入漏洞造成的危害的是:()。
- A、网站页面被篡改
- B、核心业务数据丢失
- C、获取web控制权限
- D、系统被远程溢出
相似考题
更多“下面不是SQL注入漏洞造成的危害的是:()。A、网站页面被篡改B、核心业务数据丢失C、获取web控制权限D、系统被远程溢出”相关问题
-
第1题:
【说明】 在CNCERT/CC(国家计算机网络应急技术处理协调中心)处理的安全事件中,国内政府机构和重要信息系统部门的网页篡改类事件数量增长迅速。2011年6月的某一周,中国境内仅网页被篡改的网站就有660个,其中政府网站105个。网站内容复制容易,转载速度快,后果难以预料,网页如果被篡改,将直接危害该网站的利益,尤其是门户网站作为政府发布重要新闻、重大方针政策、法规和企业信息等的重要渠道,一旦被黑客篡改,将严重损害政府和企业形象。 从网站页面被篡改的角度来看,存在两种攻击的可能,一种是网站被入侵,也就是说网站页面确实被篡改了,另外一种是网站被劫持,这种情况下网站的页面实际上并没有被篡改,但是攻击者劫持了网络访问并发送欺骗页面给来访者,进而造成页面被篡改的表象。 【问题1】(6分) 通过入侵从而进行网页篡改的可能途径有哪些?这些途径各对应安全系统防护体系的哪个层次?
正确答案:
试题五分析【问题1】 本题主要考察入侵的途径及这些途径对应的安全系统防护体系。要入侵来篡改网页,主要途径有如下几种:(1)通过操作系统、网络服务、数据库漏洞来获取主机的控制权,从而达到篡改网页的目的,这一类对应的安全防护体系层次是平台安全。(2)通过猜测或者破解密码来获取管理员的权限,从而达到篡改网页的目的,这一类对应的安全防护体系层次是数据安全。(3)通过Web漏洞或者设计缺陷来进行攻击入侵,从而达到篡改网页的目的,这一类对应的安全防护体系层次是应用安全。试题参考答案
具体见试题分析
-
第2题:
为什么需要腾讯云网站管家WAF的保护()。A、数据泄露(核心信息资产泄露)
B、恶意访问和数据抓取(无法正常服务,被对手利用数据)
C、网站被挂马被篡改(影响公信力和形象)
D、框架漏洞(补丁修复时段被攻击)
答案:ABCD
-
第3题:
在CNCERT/CC(国家计算机网络应急技术处理协调中心)处理的安全事件中,国内政府机构和重要信息系统部门的网页篡改类事件数量增长迅速。2011年6月的某一周,中国境内仅网页被篡改的网站就有660个,其中政府网站105个。网站内容复制容易,转载速度快,后果难以预料,网页如果被篡改,将直接危害该网站的利益,尤其是门户网站作为政府发布重要新闻、重大方针政策、法规和企业信息等的重要渠道,一旦被黑客篡改,将严重损害政府和企业形象。
从网站页面被篡改的角度来看,存在两种攻击的可能,一种是网站被入侵,也就是说网站页面确实被篡改了,另外一种是网站被劫持,这种情况下网站的页面实际上并没有被篡改,但是攻击者劫持了网络访问并发送欺骗页面给来访者,进而造成页面被篡改的表象。
6、通过入侵从而进行网页篡改的可能途径有哪些?这些途径各对应安全系统防护体系的哪个层次?(6分)
7、针对网页被篡改的问题,从技术层面看有哪些防范措施?(6分)8、现在出现了一些基于监测与恢复的页面防篡改系统,这类防篡改系统应具备哪些基本功能?(3分)答案:解析:6、
7、
1)给服务器打上最新的安全补丁程序
2)封闭未用但开放的网络服务端口
3)合理设计网站程序并编写安全代码
4)设置复杂的管理员密码
5)设置合适的网站权限
6)安装专业的网站防火墙和入侵检测系统
8、
7)自动监控
8)自动备份和恢复
9)自动报警
10)区分合法更新与非法篡改
【解析】
6、
本问题考查入侵方法和安全防护体系层次。
通过入侵进而篡改页面的方法从大的方面来说可以分为三类,即通过操作系统、网络服务、数据库等漏洞获得主机控制权、通过猜测或者破解密码获得管理员密码和通过Web漏洞和设计缺陷进行攻击入侵。而安全防护体系层次分为7层,分别是实体安全、平台安全、数据安全、通信安全、应用安全、运行安全以及管理安全。通过操作系统、网络服务、数据库等漏洞获得主机控制权威胁的是平台、操作系统和基本应用平台的安全,因此对应于平台安全;通过猜测或者破解密码获得管理员密码威胁的是系统数据的机密性和访问控制,因此对应于数据安全;而通过Web漏洞和设计缺陷进行攻击入侵威胁的是业务逻辑或者业务资源的安全,因此对应于应用安全。
7、
本问题考查防篡改的技术防范措施。
对于通过操作系统、网络服务、数据库等漏洞获得主机控制权这一类篡改途径,需要的防范措施是给服务器打安全补丁、关闭不需要的网络服务端口以及设置防火墙:对于通过猜测或者破解密码获得管理员密码这一类篡改途径,需要的是设置足够复杂的管理员密码并定期进行更换;而对于通过Web漏洞和设计缺陷进行攻击入侵,则需要对网站程序进行合理的设计与实现,考虑到可能的安全威胁,另外需要设置合适的网站访问权限。
8、
本问题考查网页防篡改系统的基本功能。
对一个专业的网页防篡改系统来说,首先必须能对所有页面进行自动监控,一旦发现非法篡改后能自己报警,并找到一个最新的备份自动回复,此外,这个系统也必须能够区分出某一次的更新是属于合法的更新还是非法的篡改。 -
第4题:
下面哪些属于SQL注入的危害:()
- A、窃取Cookie,劫持Session
- B、非法查询其他数据库资源
- C、执行系统命令
- D、获取服务器root权限
正确答案:B,C,D -
第5题:
Web防篡改系统是保护网站页面内容安全的软件,它的功能是()
- A、使本站得以免于受到攻击
- B、扫描网站的页面和实时监控web站点
- C、检测站点网页是否被修改
- D、自动报警并迅速恢复被破坏的文件
正确答案:B,C,D -
第6题:
Web应用安全的核心问题在于()
- A、用户可以提交任意输入
- B、Web服务器访问量巨大
- C、Web服务器存在漏洞
- D、数据库服务器容易被注入
正确答案:A -
第7题:
跨站请求伪造漏洞能造成数据库表被篡改或者删除。
正确答案:错误 -
第8题:
数据库系统中存在着各种各样的安全漏洞,其中危害性较大的有缓冲区溢出、堆溢出和SQL注入等。
正确答案:正确 -
第9题:
()为用户的网站系统提供防篡改服务,实时监测WEB服务器的访问流量,防范WEB服务器上的网站页面被非法篡改,且在页面遭受非法篡改后能够自动屏蔽非法网页以及进行页面的自动恢复,提高客户网站的安全性。
- A、网站防篡改业务
- B、主机租赁
- C、机房租赁
- D、IP地址租赁
正确答案:A -
第10题:
()是指恶意人员利用网页系统的漏洞,在访问网页时构造特定的参数实现对WEB系统后台数据库的非法操作,常用于非法修改动态网页数据或者越权获取网页信息。
- A、SQL注入
- B、WEB注入
- C、应用注入
- D、查询注入
正确答案:A -
第11题:
多选题Web防篡改系统是保护网站页面内容安全的软件,它的功能是()A使本站得以免于受到攻击
B扫描网站的页面和实时监控web站点
C检测站点网页是否被修改
D自动报警并迅速恢复被破坏的文件
正确答案: B,C,D解析: 暂无解析 -
第12题:
判断题数据库系统中存在着各种各样的安全漏洞,其中危害性较大的有缓冲区溢出、堆溢出和SQL注入等。A对
B错
正确答案: 错解析: 暂无解析 -
第13题:
下面关于漏洞扫描服务说法错误的是()A、可以检测系统及Web应用漏洞
B、可以防范暴力破解
C、为监测部门监测应用系统
D、防止利用漏洞篡改网站内容
答案:B
-
第14题:
目前网络上流行的SQL注入攻击是借助( )的漏洞进行的。A.操作系统
B.Web应用系统
C.CA系统
D.数据容灾系统答案:B解析:本题考查SQL注入攻击的基础知识。SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在编写代码的时候没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果获得某些他想得知的数据,这就是所谓的SQL Inj ection,即SQL注入。SQL注入是利用Web应用系统的漏洞进行攻击的。 -
第15题:
攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚步将被解释执行,这是哪种类型的漏洞?()
- A、缓冲区溢出
- B、sql注入
- C、设计错误
- D、跨站脚本
正确答案:A -
第16题:
下列哪项内容描述的是缓冲区溢出漏洞?()
- A、通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
- B、攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行
- C、当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上
- D、信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中,有意或无意产生的缺陷
正确答案:C -
第17题:
下面不是SQL注入漏洞造成的危害的是:()。
- A、网站页面被篡改
- B、核心业务数据丢失
- C、获取web控制权限
- D、系统被远程溢出
正确答案:D -
第18题:
关于SQL注入说法正确的是()。
- A、SQL注入攻击是攻击者直接对web数据库的攻击
- B、SQL注入攻击除了可以让攻击者绕过认证之外,不会再有其他危害
- C、SQL注入漏洞,可以通过加固服务器来实现
- D、SQL注入攻击,可以造成整个数据库全部泄露
正确答案:D -
第19题:
下列()不是由于SQL注入漏洞而造成的危害。
- A、查看、修改或删除数据库条目和表
- B、访问数据库系统表
- C、获得数据库访问权限,甚至获得DBA权限
- D、控制受害者机器向其他网站发起攻击
正确答案:D -
第20题:
IPS可以提高数据中心的安全性,主要体现在()
- A、SQL注入,跨站等基于Web的安全防护
- B、系统漏洞防护(包括Windows,非Windows系统漏洞,中间件漏洞,应用软件漏洞)
- C、防范恶意攻击者对数据中心的敏感信息窃取,拒绝服务,非法篡改等
- D、防范数据中心的Web服务器遭受网页篡改和网页挂马
- E、防止数据中心的设备硬件被毁坏
正确答案:A,B,C,D -
第21题:
SQL注入攻击有可能产生()危害。
- A、网页被挂木马
- B、恶意篡改网页内容
- C、未经授权状况下操作数据库中的数据
- D、私自添加系统账号
正确答案:A,C,D -
第22题:
多选题SQL注入攻击有可能产生()危害。A网页被挂木马
B恶意篡改网页内容
C未经授权状况下操作数据库中的数据
D私自添加系统账号
正确答案: C,B解析: 暂无解析 -
第23题:
单选题攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。这是哪种类型的漏洞?()A缓冲区溢出
BSQL注入
C设计错误
D跨站脚本
正确答案: D解析: 暂无解析 -
第24题:
单选题下列哪项内容描述的是缓冲区溢出漏洞?()A通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
B攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行
C当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上
D信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中,有意或无意产生的缺陷
正确答案: A解析: 暂无解析