2026年知到答案 Web应用安全 最新知到智慧树满分章节测试答案
第一章 单元测试
1、 问题:下列关于 CSRF 攻击过程的描述,正确的是( )。
选项:
A:攻击者直接窃取用户的 Cookie 信息并伪造请求
B:用户必须主动向攻击者泄露登录凭证才能触发攻击
C:浏览器会在用户不知情的情况下携带有效 Cookie 向目标网站发送恶意请求
D:目标网站会主动识别并拦截来自第三方网站的恶意请求
答案: 【
浏览器会在用户不知情的情况下携带有效 Cookie 向目标网站发送恶意请求
】
2、 问题:CSRF 攻击能够成功的关键条件之一是 “可预见的请求参数”,其含义是( )
选项:
A:攻击者必须知道用户的登录密码
B:攻击者能够推测执行恶意操作所需的全部参数
C:目标网站未启用 HTTPS 加密传输
D:用户浏览器存在漏洞允许跨域脚本执行
答案: 【
攻击者能够推测执行恶意操作所需的全部参数
】
3、 问题:下列哪一项不属于 CSRF 攻击的典型危害?( )
选项:
A:攻击者冒充用户发送恶意评论
B:未经用户授权修改账户密码
C:窃取用户浏览器中存储的所有 Cookie
D:以用户身份执行转账操作
答案: 【
窃取用户浏览器中存储的所有 Cookie
】
4、 问题:关于 CSRF 攻击与同源策略的关系,下列说法正确的是( )
选项:
A:同源策略完全阻止了 CSRF 攻击的发生
B:CSRF 攻击通过绕过同源策略直接获取用户敏感数据
C:CSRF 攻击可以部分规避同源策略,利用浏览器自动携带 Cookie 的特性
D:同源策略与 CSRF 攻击无关,仅用于防御 XSS 攻击
答案: 【
CSRF 攻击可以部分规避同源策略,利用浏览器自动携带 Cookie 的特性
】
5、 问题:根据 CSRF 漏洞利用的条件,下列哪一项描述是错误的?( )
选项:
A:用户必须已登录受信任的目标网站并持有有效会话凭证
B:目标网站仅依赖 Cookie 进行会话跟踪,未使用额外的防 CSRF 令牌
C:攻击者需要诱骗用户主动点击恶意链接或访问恶意页面
D:只要目标网站存在功能操作,无需用户登录即可实施 CSRF 攻击
答案: 【
只要目标网站存在功能操作,无需用户登录即可实施 CSRF 攻击
】
第二章 单元测试
1、 问题:下列哪一项属于 SQL 注入攻击中 “输入验证” 的防护措施?( )
选项:
A:使用预编译语句和绑定变量
B:仅允许字母、数字等特定字符输入(白名单验证)
C:实时监控网络流量并拦截异常请求
D:定期更换数据库管理员密码
答案: 【
仅允许字母、数字等特定字符输入(白名单验证)
】
2、 问题:参数化查询(预编译语句)的主要作用是( )
选项:
A:提高数据库查询效率
B:防止恶意 SQL 代码注入到查询语句中
C:加密用户输入的敏感数据
D:自动修复数据库中的漏洞
答案: 【
防止恶意 SQL 代码注入到查询语句中
】
3、 问题:以下哪一项是 SQL 注入攻击可能导致的后果?( )
选项:
A:浏览器缓存被清空
B:服务器硬件损坏
C:攻击者通过篡改查询语句获取用户敏感数据
D:网络防火墙配置被重置
答案: 【
攻击者通过篡改查询语句获取用户敏感数据
】
4、 问题:在数值型 SQL 注入中,攻击者输入 “1 and 1=1” 的目的是( )
选项:
A:使查询条件恒为真,返回所有符合逻辑的数据
B:触发数据库错误以获取详细报错信息
C:断开数据库连接,导致系统瘫痪
D:加密查询语句以绕过服务器验证
答案: 【
使查询条件恒为真,返回所有符合逻辑的数据
】
5、 问题:根据材料,下列关于 SQL 注入防护的说法,错误的是( )
选项:
A:Web 应用防火墙(WAF)可以实时检测并拦截恶意 SQL 注入流量
B:输入验证包括长度限制、类型检查和白名单验证等方法
C:ORM 框架(对象关系映射)无法防范 SQL 注入,需额外添加防护代码
D:未授权的渗透测试属于违反伦理准则的行为
答案: 【
ORM 框架(对象关系映射)无法防范 SQL 注入,需额外添加防护代码
】
第三章 单元测试
1、 问题:XSS 漏洞的根源在于( )
选项:
A:客户端浏览器存在安全漏洞
B:服务器端未对用户输入数据进行检查和过滤
C:用户主动点击了恶意链接
D:浏览器不支持同源策略
答案: 【
服务器端未对用户输入数据进行检查和过滤
】
支付后可长期查看
有疑问请添加客服QQ 2356025045反馈
如需购买期末请联系客服QQ 2356025045
如遇卡顿看不了请换个浏览器即可打开
请看清楚了再购买哦,电子资源购买后不支持退款哦

