网络基础及其安全 5

项目1路由交换设备的安全配置练习与实践题目参考答案1.选择题1）使用Wireshark过滤HTTP请求时，以下哪个过滤条件是正确的？（C）A.http.request.method=="get" B.http.request.method==GETC.http.request.method=="GET" D.http.method=="GET"2）SQLMap是一款什么类型的工具？（C）A.自动化渗透测试工具 B.网络流量分析工具C.自动化SQL注入工具 D.Web服务器3）文件上传漏洞可能导致的危害不包括以下哪项？（C）A.代码执行 B.诱骗下载执行C.服务器性能提升 D.WebShell控制4）HTTP请求方法GET和POST的主要区别在于：（B）A.GET更安全 B.POST可以传输更大的数据量C.GET可以发送请求体 D.POST可以被浏览器缓存5）反射型XSS攻击的特点是什么？（C）A.持久性跨站脚本 B.需要存储在服务器端C.临时性，依赖于用户点击恶意链接 D.只在客户端执行2.简答题1）如何使用输入验证来防止SQL注入攻击？参考答案：输入验证是防止SQL注入的基础防御手段。具体做法包括：类型与格式检查：对输入数据（如数字、邮箱、日期）进行严格的格式验证，拒绝不符合预期格式的数据。白名单过滤：对输入内容（如选项、分类）采用白名单机制，仅允许预设范围内的值通过。转义与规范化：对特殊字符（如引号、分号）进行转义处理，但需注意转义规则与数据库类型匹配，避免因规则不一致导致绕过。注意：输入验证应作为辅助措施，必须与参数化查询等核心防御结合使用，单靠验证无法完全杜绝注入风险。（说明：没有标准答案，符合教材的认知层次，并能解决该问题即可。）2）XSS漏洞的修复方法有哪些？参考答案：XSS漏洞修复需结合多重防御措施：输入验证与过滤：对用户输入进行严格校验，过滤或转义危险字符（如<、>、"等）。输出编码：根据输出位置（HTML、属性、JavaScript、URL）采用相应编码（如HTML实体编码）。内容安全策略（CSP）：通过HTTP头限制脚本加载源，禁用内联脚本，有效阻断恶意脚本执行。安全HTTP头：设置X-Content-Type-Options:nosniff等头部，降低MIME混淆风险。框架与库更新：定期更新前端框架及依赖库，修复已知漏洞。注意：应优先采用输出编码与CSP，并结合输入验证构建纵深防护体系。（说明：没有标准答案，符合教材的认知层次，并能解决该问题即可。）3）SQL注入的原理是什么？参考答案：SQL注入的原理是：攻击者通过用户可控的输入参数（如表单、URL），向应用程序插入恶意的SQL代码片段。当应用程序未对输入进行充分过滤或转义，直接将参数拼接到SQL语句中执行时，恶意代码会被数据库解析并执行，从而绕过正常查询逻辑，实现非授权的数据操作（如数据窃取、篡改或删除）。其核心条件包括：1）用户可控制输入参数；2）参数被直接拼接至SQL语句并执行。典型的攻击过程为：寻找注入点→构造恶意SQL→提交并触发恶意执行→获取敏感数据或破坏数据库。（说明：没有标准答案，符合教材的认知层次，并能解决该问题即可。）4）SQL注入有哪几种分类？参考答案：SQL注入的常见分类方式包括：按变量类型分数字型：参数为数字（如ID），可直接拼接。字符型：参数为字符串，需闭合引号进行注入。按HTTP提交方式分GET注入：通过URL参数提交。POST注入：通过请求体提交。Cookie注入：通过Cookie值提交。按注入手法分联合查询注入：使用UNION合并恶意查询结果。布尔盲注：通过真假条件推断数据。报错注入：利用数据库报错信息获取数据。延时盲注：通过响应延迟判断条件真假。堆叠查询：执行多条SQL语句（需数据库支持）。按数据库类型分如MySQL、SQLServer、Oracle等，语法和特性差异影响注入方式。（说明：没有标准答案，符合教材的认知层次，并能解决该问题即可。）5）在PHP和MySQL的应用程序中，SQL注入的修复方式有哪些？参考答案：在PHP与MySQL应用中，SQL注入修复的核心措施包括：参数化查询（预处理语句）使用

PDO

或

mysqli

扩展的预处理功能，将SQL语句与数据分离，确保数据不被解释为代码。输入验证与过滤对输入类型（如数字、字符串）进行严格校验。使用白名单限制输入格式，拒绝非法字符。最小化数据库权限为应用数据库账户分配仅必要的最低权限，避免写入或管理权限。转义特殊字符仅在无法使用预处理时，使用

mysqli_real_escape_string()

对字符串进行转义（需注意字符集一致）。注意：应优先采用参数化查询，其他方法作为辅助或补充防御。（说明：没有标准答案，符合教材的认知层次，并能解决该问题即可。）6）什么是文件上传漏洞？它有哪些危害？参考答案：文件上传漏洞是指Web应用因对上传文件的安全控制不足（如校验不严、过滤缺陷），导致攻击者可上传恶意文件（如脚本、木马）至服务器，并可能被解析执行的安全缺陷。主要危害包括：代码执行：上传的脚本文件（如PHP）被服务器执行，导致任意命令执行。WebShell控制：上传WebShell脚本，获取服务器控制权限。钓鱼与欺诈：上传恶意图片或Flash文件，诱导用户执行钓鱼攻击。系统破坏：上传