码迷,mamicode.com
首页 > Web开发 > 详细

黑客攻防技术宝典web实战篇:工具web服务器习题

时间:2019-05-19 12:24:50      阅读:173      评论:0      收藏:0      [点我收藏+]

标签:表达   代理   oracle   哪些   一个   实施   过滤   bsp   iis   

猫宁!!!

参考链接:http://www.ituring.com.cn/book/885

 

随书答案。

1. 在什么情况下 Web 服务器会显示目录列表?


如果请求某目录的 URL 且满足以下条件,Web 服务器将显示目录列表:
(a) Web 服务器找不到默认文档(如 index.html);
(b) 目录列表已启用;
(c) 具有访问目录所需的权限。


2. WebDAV 方法有什么作用?为什么说它们会造成危险?


使用 WebDAV 方法可以基于 Web 创作 Web 内容。
如果未对这些方法实施严格的访问控制,则这些方法可能会造成危险。此外,由
于涉及复杂的功能,以前它们一直是 Web 服务器中漏洞的源头——例如,是通过
IIS 服务器利用操作系统漏洞的攻击向量。


3. 如何利用一个配置成 Web 代理服务器的 Web 服务器?


如果可以通过代理服务器反向连接到因特网,就可以利用它攻击因特网上的第三
方 Web 应用程序,这时提出的请求似乎是来自配置不当的 Web 服务器。
即使向因特网提出的请求被阻止,仍然可以利用代理服务器访问组织内部无法直
接访问的 Web 服务器,或访问服务器本身上的其他基于 Web 的服务。


4. 何为 Oracle PL/SQL 排除列表?如何避开这个列表?


PL/SQL 排除列表是一个模式匹配黑名单,旨在防止将 PL/SQL 网关用于访问某些
强大的数据库包。
有各种方法可以避开 PL/SQL 排除列表过滤器。这主要是因为该过滤器采用非常
简单的表达式,而后端数据库却遵循更加复杂的规则来说明输入的重要性。人们
已经找到大量方法,可用于设计与黑名单模式不匹配、但能够成功执行数据库中
的强大包的输入。


5. 如果一个 Web 服务器允许通过 HTTP 与 HTTPS 访问它的功能,当查询漏洞时,
使用其中一个协议与使用另一个协议相比有哪些优点?


使用 HTTPS 进行通信也许能够避开某些网络层入侵检测系统。但是,通常情况下,
如果使用 HTTP,自动化攻击的执行速度会更快。应用程序可能包含不同的功能,
或者在通过不同协议访问时会表现出不同的行为,因此,一般来说,应准备使用
这两种协议进行测试。

 

黑客攻防技术宝典web实战篇:工具web服务器习题

标签:表达   代理   oracle   哪些   一个   实施   过滤   bsp   iis   

原文地址:https://www.cnblogs.com/landesk/p/10888603.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!