更多"[多选题] 如果Tomcat存在任意文件上传漏洞,那么包含以下哪些前提"的相关试题:
[单选题]上传任意文件漏洞能够使攻击者通过上传木马文件,最终获得目标服务器的控制权限。
A. 对
B. 错
[单选题] 导致命令执行漏洞以及文件上传漏洞产生的是以下哪个原因( )。
A.. 运维能力不足
B.. Web服务端对用户输入数据过滤不严
C.. 源码泄露,被审计
D.. 防火墙更新过慢
[多选题]文件上传漏洞常见检测内容的是(____)。
A. 基于目录验证的上传漏洞
B. 基于服务端扩展名验证的上传漏洞
C. 基于MIME验证的上传漏洞
D. 基于Javascript验证的上传漏洞
[多选题]下列是文件上传漏洞常见检测内容的是(____)
A. 基于目录验证的上传漏洞
B. 基于服务端扩展名验证的上传漏洞
C. 基于MIME验证的上传漏洞
D. 基于JavaScript验证的上传漏洞
[判断题]‒年,国家电监会通报公司某地市单位调度管理(OMS)系统处在权限绕过和文件上传漏洞,利用漏洞可上传后门,获得服务器管理权限。经核实,系统上线前未开展运行环境安全评估,其边界防火墙未设置安全策略,且系统正式运行后补丁安装不及时。
重要信息系统上线后,建立漏洞补丁管理机制,定期扫描漏洞,安装补丁。
A.正确
B.错误
[单选题]文件上传是一种十分常见的漏洞,下列哪种做法不能起到防御的效果()。
A.
设置HttpOnly为false
B.
黑白名单过滤
C.
文件类型验证
D.
改为文件名和文件路径
[单选题]构造.asp;.gif这样的文件名去上传非法文件利用的是哪个IIS版本的解析漏洞。(____)。
A. IIS 4.0
B. IIS 4.2
C. IIS 6.0
D. IIS 7.0
[单选题]上传漏洞产生的原因不包括(____)。
A. 没有对上传的扩展名进行检查
B. 没有对文件内容进行检查
C. 服务器存在文件名解析漏洞
D. 文件名生成规律不可预测
[多选题]能够一定程度预防上传漏洞被利用的方式正确的是(____)。
A. 使用白名单方式进行限制上传类型
B. 通过检查后缀的方式判断文件的类型
C. 检查函数经过安全验证,防止后缀检查可被饶过
D. 上传文件目录放置在WEB目录中
[单选题]某贸易公司的OA 系统由于存在系统漏洞,被攻击者上传了木马病毒并删除了系统 中的数据,由于系统备份是每周六进行一次,事件发生时间为周三,因此导致该公司三个工 作日的数据丢失并使得 OA 系统在随后两天内无法访问,影响到了与公司有业务往来部分公 司业务。在事故处理报告中,根据 GB/Z 20986-2007 《信息安全事件分级分类指南》,该事 件的准确分类和定级应该是()
A.有害程序事件特别重大事件(Ⅰ级)
B.信息破坏事件重大事件(Ⅱ级)
C.有害程序事件较大事件(Ⅲ级)
D.信息破坏事件一般事件(Ⅳ级)
[单选题]Apache ActiveMQ Fileserver被爆出存在远程代码执行漏洞(CVE-2016-3088),利用该漏洞可直接上传木马文件,甚至覆盖目标系统SSH密钥,获取目标服务器的完全控制权限,判断服务器是否存在此漏洞的第一步为确认是否开启该服务,一般可以利用nmap等工具进行默认端口扫描,Apache ActiveMQ默认监听端口为(____)。
A. 8161
B. 8171
C. 8181
D. 8191
[多选题]防范PHP文件包含漏洞的措施有(____):
A. 开发过程中应该尽量避免动态的变量,尤其是用户可以控制的变量
B. 采用“白名单”的方式将允许包含的文件列出来,只允许包含白名单中的文件,这样就可以避免任意文件包含的风险
C. 将文件包含漏洞利用过程中的一些特殊字符定义在黑名单中,对传入的参数进行过滤
D. 通过设定php.ini中open_basedir的值将允许包含的文件限定在某一特定目录内,这样可以有效的避免利用文件包含漏洞进行的攻击
[单选题]以下哪个服务器未曾被发现文件解析漏洞。(____)。
A. Apache
B. IIS
C. nginx
D. squid
[多选题]以下哪些服务器曾被发现文件解析漏洞(____)。
A. apache
B. IIS
C. nginx
D. squid
[多选题]以下代码会造成php文件包含漏洞的有(____)。
A. include($_GET['page']);
B. echo readfile($_GET['server']);
C. #include
D. require_once($_GET['page']);
