ImageVerifierCode 换一换
格式:DOCX , 页数:4 ,大小:28.35KB ,
资源ID:23705119      下载积分:15 文币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.wenkunet.com/d-23705119.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录   微博登录 

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(《网络安全技术配置与应用》课件项目四 Web站点安全监测与防范习题及解答.docx)为本站会员(bubibi)主动上传,文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知文库网(发送邮件至13560552955@163.com或直接QQ联系客服),我们立即给予删除!

《网络安全技术配置与应用》课件项目四 Web站点安全监测与防范习题及解答.docx

1、项目二 Web站点安全监测与防范习题及解答任务一 Sql注入检测与防范1)、在WEB交互过程中,用户通过浏览器输入的数据是如何提交给服务器端的?解答:WEB交互中,用户通过http协议可以以下3种形式提交数据:一是web表单形式;二是通过GET方式附加在请求的URL后面;三是通过POST方式,把数据存储在一个指定区域进行提交。分析:GET方式附加在请求的URL后面提交数据,数据暴露给用户,不安全。2)、哪些系统中有可能存在SQL注入威胁,请举例说明?解答:涉及数据存储并使用数据库软件作为后台数据存储、管理的系统、平台都可能存在SQL注入威胁,如各类信息管理系统:教务管理系统、学生成绩查询系统、

2、图书馆管理系统等。分析:是否存在SQL注入威胁可通过构建注入语句对各系统、平台进行测试。3)、简述SQL注入产生的原因?解答:产生SQL注入的根本原因是数据库没有对SQL语句进行有效性检测,恶意的SQL语句被执行,导致了信息的泄露,所以使用数据库须养成良好的习惯。分析:可采用以下措施进行防范:不要信任用户的输入;不要动态拼装SQL语句,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取,参数化查询是访问数据库时在需要填入数值或数据的地方,使用参数 (Parameter) 来赋值;应用的异常信息应该给出尽可能少的提示;不要使用数据库系统管理员权限的连接数据库,应对库、表进行用户、权限的细

3、分,确保表、库、系统的使用者不要越界。4)、使用SQL注入如何猜测数据表名?解答:在sql语句中构建包含“-”字符,sql数据库软件执行时会把其后的语句当注释处理,所以在“-”字符前添加select from语句即可对数据库进行数据表名猜测攻击。分析:任务可构建1=1变为1=(select count(*) from allusertbls)语句;利用这个注入语句可以实现对信息系统的数据表名的猜测攻击,数据表名错误,点击“Sign In”按钮后,服务器将返回如图4- 17所示错误提示信息,数据表名称无效即该表名不正确;如果输入变为“12 or 1=(select count(*) from a

4、llusertbl)- ”,数据表名正确,点击“Sign In”按钮后,服务器返回如图4- 16所示用户列表界面;通过这种方式攻击者可以获取目标主机的数据表名。5)、C#中使用参数化查询方式操作数据库涉及哪些对象?解答:涉及Connection对象和Command对象,在Command对象中使用“+参数名”的形式占位并使用Parmmeters 属性的AddWithValue方法进行格式化赋值。分析:参数化查询方式操作数据库时数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有特殊字符串或指令,也不会被数据库运行。6)、在进行SQL防范时,参数化查询和特殊字符检测方式相比,哪种方法最

5、好,为什么?解答:参数化查询方式好,特殊字符检测方式需要收集特殊字符、指令库,一旦特殊字符、指令库不完整,也同样会造成SQL注入。分析:参数化查询方式操作数据库时数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有特殊字符串或指令,也不会被数据库运行。任务二任务二 XSS攻击检测与防范1) XSS攻击的必备条件是什么?解答:界面提供用户录入接口且对用户录入不做限制,服务器端对用户录入信息不进行过滤且能返回用户录入的原始信息;用户录入的信息中包含有HTML代码和javascript脚本,HTML代码可触发javascript脚本代码。分析:XXS攻击的核心是javascript脚本代

6、码。2)、浏览器同源策略下如何实现数据的跨域传输?解答:、标签的src、href属性以及 JSONP(JSON with Padding)都可实现跨域通信方式,其它的非同源通信都是被禁止的。分析:任务中编写网页时通过标签的href属性指定从”3)、NetFrameWork2.0框架是如何防范XSS的?解答:C# .NetFrameWork2.0框架采用服务器端方式对XSS攻击进行防范,可在服务器端设置全局参数文件Global.asax,设置Cookie信息的HttpOnly属性为true禁止客户端读取Cookie信息;其次可设置站点配置文件web.config的节点,设置其选项的validateRequest属性值为true,开启对js脚本代码的检测。分析:客户端防范XSS攻击可减少开发者的工作量,chrome浏览器默认对用户录入的信息进行js脚本代码检测。4)、请使用javascript语言对字符串“”进行URL编码并查看输出。解答:输出为 <script type="text/javascript">分析:Html编码采用符号代替字符串中出现的标点符号,使得浏览器不能执行相应的html代码。

本站链接:文库   一言   我酷   合作


客服QQ:2549714901微博号:文库网官方知乎号:文库网

经营许可证编号: 粤ICP备2021046453号世界地图

文库网官网©版权所有2025营业执照举报