猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案。 1. 某网络设备提供用于执行设备配置的 Web 界面。为什么这种功能通常易于受到操作系统命令注入攻击? 用于配置网络设备的应用程序通常包含使用正常的 Web 脚本 API 无法轻松实现的功能,如用 ...
分类:
Web程序 时间:
2019-05-19 11:55:52
阅读次数:
209
猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案。 1. 在应用程序的行为中,有什么“明显特征”可用于确定大多数 XSS 漏洞? 用户提交的输入在应用程序对该输入的响应中原样返回。 2. 假设在应用程序未通过验证的功能区域发现了一个反射型 XSS ...
分类:
Web程序 时间:
2019-05-19 11:53:15
阅读次数:
193
猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案。 1. 当探查 SQL 注入漏洞时,如果请求以下 URL:https://wahh-app.com/list.aspx?artist=foo’+having+1=1--将收到如下错误消息:Serve ...
分类:
Web程序 时间:
2019-05-19 11:49:43
阅读次数:
170
猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案。 1. 指出使用自动技巧在应用程序中枚举标识符时用到的 3 个标识符“触点”。 (a) HTTP 状态码(b) 响应长度(c) 响应主体的内容(d) Location 消息头的内容(e) 任何 co ...
分类:
Web程序 时间:
2019-05-19 11:48:48
阅读次数:
140
猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案。 1. 假设受攻击的应用程序使用两台不同的服务器:一台应用程序服务器和一台数据库服务器。已经发现一个漏洞,可以在应用程序服务器上执行任意操作系统命令。是否可以利用这个漏洞获取保存在数据库中的敏感应用 ...
分类:
Web程序 时间:
2019-05-19 11:42:19
阅读次数:
156
猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案。 1. 登录一个应用程序后,服务器建立以下 cookie:Set-cookie: sessid=amltMjM6MTI0MToxMTk0ODcwODYz;一个小时后,再次登录并得到以下 cookie ...
分类:
Web程序 时间:
2019-05-19 11:41:32
阅读次数:
145
猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案。 1. 在测试一个使用joe和pass证书登录的Web应用程序的过程中,在登录阶段,在拦截代理服务器上看到一个要求访问以下 URL 的请求:http://www.wahh-app.com/app?a ...
分类:
Web程序 时间:
2019-05-19 11:37:39
阅读次数:
149
猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 黑客攻防技术宝典web实战篇是一本非常不错的书,它的著作人之一是burpsuite的作者,课后的习题值得关注,而随书附带有答案。 1. 为什么说应用程序处理用户访问的机制是所有机制中最薄弱的机制? 典型的应用 ...
分类:
Web程序 时间:
2019-05-19 10:28:41
阅读次数:
172
猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案。 1. OPTIONS 方法有什么作用? OPTIONS 方法要求服务器报告可用于特定资源的 HTTP 方法。 2. If-Modified-Since 和 If-None-Match 消息头的作用 ...
分类:
Web程序 时间:
2019-05-19 09:44:52
阅读次数:
126
猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案。 1. 当解析一个应用程序时,会遇到以下 URL:https://wahh-app.com/CookieAuth.dll?GetLogon?curl=Z2Fdefault.aspx据此可以推论出服务 ...
分类:
Web程序 时间:
2019-05-19 09:37:58
阅读次数:
154
