OWASP针对WEB应用提出的十大漏洞是什么?

题目

OWASP针对WEB应用提出的十大漏洞是什么?

相似考题

1.省党代会提出的“十大重点行动” 的内容是什么?

2.下列哪个不属于WEB漏洞?()A、上传漏洞B、应用系统安全漏洞C、XSS漏洞D、CRLF

3.能有效解决网页挂马、敏感信息泄露等安全问题,充分保障Web应用安全的移动云安全产品是()A、抗DDoSB、Web应用防护C、漏洞扫描D、态势感知

4.下面关于漏洞扫描服务说法错误的是()A、可以检测系统及Web应用漏洞B、可以防范暴力破解C、为监测部门监测应用系统D、防止利用漏洞篡改网站内容

参考答案和解析
正确答案: 跨站脚本
注入式漏洞
恶意文件执行
不安全的对象参考
跨站请求伪造
信息泄露和操作不当
错误的认证和会话管理
不安全的密码存储
不安全的通信
U.RL访问限制失败
更多“OWASP针对WEB应用提出的十大漏洞是什么?”相关问题

  • 第1题:

    以下关于腾讯云网站安全产品——网站管家WAF的功能描述中,哪些是正确的()。

    A、AI+Web应用防火墙:基于AI+规则的Web攻击识别,防绕过、低漏报、低误报、精准有效防御常见Web攻击,如SQL注入、非授权访问、XSS跨站脚本、CSRF跨站请求伪造,Webshell木马上传等OWASP定义的十大Web安全威胁攻击

    B、0day漏洞虚拟补丁:腾讯安全团队7*24小时监测,主动发现并响应,24小时内下发高危Web漏洞,0day漏洞防护虚拟补丁,受护用户无需任何操作即可获取紧急漏洞,0day漏洞攻击防护能力,大大缩短漏洞响应周期

    C、网页防篡改:用户可设置将核心网页内容缓存云端,并对外发布缓存中的网页内容,实现网页替身效果,防止网页篡改给组织带来负面影响。数据防泄漏:通过事前服务器应用隐藏,事中入侵防护及事后敏感数据替换隐藏策略,防止后台数据库被黑客窃取

    D、爬虫BOT行为管理:基于AI+规则库的网页爬虫及BOT机器人管理,协助企业规避恶意BOT行为带来的站点用户数据泄露、内容侵权、竞争比价、库存查取、黑产SEO、商业策略外泄等业务风险问题


    答案:ABCD

  • 第2题:

    关于Web应用软件系统安全,说法正确的是______。

    A.Web应用软件的安全性仅仅与Web应用软件本身的开发有关

    B.系统的安全漏洞属于系统的缺陷,但安全漏洞的检测不属于测试的范畴

    C.黑客的攻击主要是利用黑客本身发现的新漏洞

    D.以任何违反安全规定的方式使用系统都属于入侵


    正确答案:D

  • 第3题:

    WAF是什么意思?()

    A.web扫描

    B.web应用防护系统

    C.web流量清洗

    D.web流量检测


    参考答案:B

  • 第4题:

    《论十大关系》提出的基本方针是什么?


    参考答案:

    一定要努力把党内党外、国内国外的一切积极的因素,直接的、间接的积极因素,全部调动起来,把我国建设成为一个强大的社会主义国家。


  • 第5题:

    在移动云产品体系中,云安全产品包含下列哪几种()

    • A、抗DDOS防护
    • B、WEB应用防护
    • C、主机安全
    • D、WEB漏洞检测
    • E、网络入侵检测

    正确答案:A,B,C,D,E

  • 第6题:

    篡改技术可以利用各种漏洞进行木马植入,然后利用木马程序进行文件篡改。通常可供利用的漏洞包括()。

    • A、操作系统漏洞
    • B、数据库漏洞
    • C、Web服务器漏洞
    • D、Web应用程序漏洞
    • E、安全设置

    正确答案:A,B,C,D

  • 第7题:

    影响WEB安全性的因素主要有()

    • A、WEB程序员程序设计漏洞
    • B、用户使用不当
    • C、浏览器本身的安全漏洞
    • D、WEB服务器存在漏洞

    正确答案:A,C,D

  • 第8题:

    安排工程师对一个新的web应用进行负向测试,需要做的是?()

    • A、输入范围外的值来判断系统的反应
    • B、web应用漏洞扫描
    • C、对web应用性能进行压力测试
    • D、对web应用性能进行负载测试

    正确答案:A

  • 第9题:

    十大网络安全漏洞


    正确答案: 一、域名服务系统BIND的弱点:nxt(在处理NXT记录时存在漏洞,允许远程攻击者以运行DNS服务的身份(缺省为root)进入运行DNS服务的系统。in.named守护进程的漏洞有泄漏root权限的危险。
    二、容易受攻击的CGI程序和服务器端应用程序扩展。
    三、远端进程调用(RemoteProcedurecall)其进程守护程序rpc.ttdb(ToolTalk)拒绝服务漏洞(使用早先公布的ttdbserver溢出程序对上述系统可以造成rpc.ttdbserver的崩溃。问题产生的原因是由于一个已经不在使用的空指针。这个漏洞不能造成rpc.ttdbserver执行任意代码,但可以造成“拒绝服务攻击”的问题)。还有rpc.cmsd(CalendarManager)溢出漏洞,以及rpc.statd是NFS文件锁定的状态监视服务,近期被发现存在漏洞,以上漏洞有可能导致root权限泄漏及受到恶意攻击。
    四、微软的IISRDS安全漏洞。
    五、SMTP邮件服务的缓存溢出漏洞,直接威胁root权限安全,攻击者在入侵成功后,可以system身份执行任意命令。
    六、sadmind存在远程溢出漏洞,在存在sadmind漏洞的一些版本中如果传送一个超长的缓存数据,会改写堆栈指针,从而造成可执行任意代码。因为sadmind以root身份来运行,因而这个漏洞会危及系统的最高安全。同时存在于某些系统内部的mountd溢出漏洞,攻击者通过修改堆数据有可能会获得root特权。
    七、NfS以及WindowsNT135-139服务端口(Windows2000的服务端口),UnixNFS的服务端口2049,还有苹果机用户支持基于IP文件共享的AppletalkoverIP协议服务端口。这些服务的目的是让用户共享网络资源,但不正确的配置,将有可能让入侵者以root身份执行任意代码。
    八、用户名往往是某些攻击者最先着手的突破口,特别是系统管理员对于root/administrator超级用户设置的低安全度口令更可能造成黑客的长驱直入。
    九、IMAP和POP邮件服务器缓冲溢出漏洞和错误的配置存在的危险。
    十、许多网络设备和网络操作系统的SNMP(简单网络管理协议)在实现中,往往存在能进行SNMP写操作的缺省communitystring。远程攻击者利用这些可这写操作的communitystring能够无需任何认证直接影响设备或操作系统的运行状态。这将导致攻击者可以控制路由表和篡改ARP缓存等。

  • 第10题:

    下面哪个漏洞属于应用系统安全漏洞:()。

    • A、Windows 2000中文版输入法漏洞
    • B、Widows 2000的Unicode编码漏洞
    • C、SQL Server存在的SA空口令漏洞
    • D、Web服务器asp脚本漏洞

    正确答案:D

  • 第11题:

    问答题
    Web应用的商业目的是什么?

    正确答案: 建立市场部分的合作共识、利用新的渠道促销产品或者服务、在Internet上提供产品或者服务、在Internet上出售产品获取利润。
    解析: 暂无解析

  • 第12题:

    ( 难度:中等)WEB漏洞扫描是指以()为目标的漏洞扫描
    A.telnet
    B.Web应用
    C.电子邮件
    D.微博

    答案:B

  • 第13题:

    性能是Web应用系统的一个重要质量属性。请用200字以内的文字说明三个主要影响Web应用系统性能的因素,针对每个因素提出解决方案以提高系统性能。


    正确答案:影响Web应用系统性能的三个主要因素分别是: (1)数据库的连接与销毁。可以采用数据池的方式缓存数据库连接实现数据库连接复用提高系统的数据访问效率。 (2)构件或中间件的加载与卸载。可以采用分布式对象池的方式缓存创建开销大的对象实现对象复用用以提高效率。 (3)线程的创建与销毁。可以采用线程池的方式缓存已经创建的线程提高系统的反应速度。
    影响Web应用系统性能的三个主要因素分别是: (1)数据库的连接与销毁。可以采用数据池的方式缓存数据库连接,实现数据库连接复用,提高系统的数据访问效率。 (2)构件或中间件的加载与卸载。可以采用分布式对象池的方式缓存创建开销大的对象,实现对象复用,用以提高效率。 (3)线程的创建与销毁。可以采用线程池的方式缓存已经创建的线程,提高系统的反应速度。 解析:本问题主要考查Web应用系统的性能优化问题。主要有如下三个重要的因素影响着系统的执行效率。
    (1) 数据库的连接与销毁。可以采用数据池的方式缓存数据库链接,实现数据库链接复用,提高系统的数据访问效率。
    (2) 构件或中间件的加载与卸载。可以采用分布式对象池的方式缓存创建开销大的对象,实现对象复用,提高效率。
    (3)线程的创建与销毁。可以采用线程池的方式缓存已经创建的线程,提高系统的反应速度。

  • 第14题:

    关于Web应用软件系统安全,说法正确的是______。

    A) 黑客的攻击主要是利用黑客本身发现的新漏洞

    B) 以任何违法安全性的方式使用系统都属于入侵

    C) 系统的安全漏洞属于系统的缺陷,但安全漏洞的检测不属于测试的范畴

    D) Web应用软件的安全性仅仅与Web应用软件本身的开发有关

    A.

    B.

    C.

    D.


    正确答案:B

  • 第15题:

    影响WEB安全性的因素主要有()

    A.WEB程序员程序设计漏洞

    B.用户使用不当

    C.浏览器本身的安全漏洞

    D.WEB服务器存在漏洞


    参考答案:A, C, D

  • 第16题:

    为增强Web应用程序的安全性,某软件开发经理决定加强Web软件安全开发培训,下面哪项内容要在他的考虑范围内()

    • A、关于网站身份签别技术方面安全知识的培训
    • B、针对OpenSSL心脏出血漏洞方面安全知识的培训
    • C、针对SQL注入漏洞的安全编程培训
    • D、关于ARM系统漏洞挖掘方面安全知识的培训

    正确答案:C

  • 第17题:

    Web应用安全的核心问题在于()

    • A、用户可以提交任意输入
    • B、Web服务器访问量巨大
    • C、Web服务器存在漏洞
    • D、数据库服务器容易被注入

    正确答案:A

  • 第18题:

    Web应用的商业目的是什么?


    正确答案:建立市场部分的合作共识、利用新的渠道促销产品或者服务、在Internet上提供产品或者服务、在Internet上出售产品获取利润。

  • 第19题:

    下列功能中,NGAF旁路部署时不支持的是()

    • A、僵尸网络
    • B、WEB应用防护
    • C、实时漏洞分析
    • D、DOS/DDOS防护

    正确答案:D

  • 第20题:

    Web攻击事件频繁发生的原因不包括()。

    • A、Web应用程序存在漏洞,被黑客发现后利用来实施攻击
    • B、Web站点安全管理不善
    • C、Web站点的安全防护措施不到位
    • D、Web站点无法引起黑客的兴趣,导致自身漏洞难以及时发现

    正确答案:D

  • 第21题:

    WAF是什么意思?()

    • A、web扫描
    • B、web应用防护系统
    • C、web流量清洗
    • D、web流量检测

    正确答案:B

  • 第22题:

    单选题
    安排工程师对一个新的web应用进行负向测试,需要做的是?()
    A

    输入范围外的值来判断系统的反应

    B

    web应用漏洞扫描

    C

    对web应用性能进行压力测试

    D

    对web应用性能进行负载测试


    正确答案: B
    解析: 暂无解析

  • 第23题:

    单选题
    为增强Web应用程序的安全性,某软件开发经理决定加强Web软件安全开发培训,下面哪项内容要在他的考虑范围内()
    A

    关于网站身份签别技术方面安全知识的培训

    B

    针对OpenSSL心脏出血漏洞方面安全知识的培训

    C

    针对SQL注入漏洞的安全编程培训

    D

    关于ARM系统漏洞挖掘方面安全知识的培训


    正确答案: C
    解析: 暂无解析

相关内容