窃取一个用户的会话cookie并伪装成该用户，这种攻击方式称为会话劫持。（）

第1题：

某黑客组织通过拷贝中国银行官方网站的登陆页面，然后发送欺骗性电子邮件，诱使用户访问此页面以窃取用户的账户信息，这种攻击方式属于（）

• A、SQL注入
• B、钓鱼攻击
• C、网页挂马
• D、域名劫持

第2题：

攻击者将自己伪装成合法用户，这种攻击方式属于（）。

• A、别名攻击
• B、洪水攻击
• C、重定向
• D、欺骗攻击

第3题：

（）是有失效的身份认证和会话管理而造成的危害。

• A、窃取用户凭证和会话信息
• B、冒充用户身份查看或者变更记录，甚至执行事务
• C、访问未授权的页面和资源
• D、执行超越权限操作

第4题：

目前，国内大多数ISP使用的都是使用动态分配IP地址的方式。这种上网方式给（）会话识别机制带来更大的困难。

• A、IP地址+浏览器
• B、嵌入SessionID
• C、用户注册访问
• D、cookie

第5题：

3GPPAAA动态会话用户数利用率定义：3GPPAAA动态会话用户数的利用比例。该指标若超过（），建议预警。

• A、50%
• B、60%
• C、70%
• D、0.8

第6题：

mySession是属于HttpSession类型的对象，则下列语句：mySission.setMaxInactiveInterval（60）；的作用为（）？

• A、如果用户访问本web应用程序的间隔超过了1分钟，会话将被容器终止
• B、如果用户访问本web应用程序的间隔超过了1小时，会话将被容器终止
• C、该会话的Cookie将在客户浏览器上保存60天
• D、从该语句调用算起，再过60秒钟该会话将被容器强制终止

第7题：

关于cookie的会话识别机制说法正确的是（）。

• A、不涉及隐私
• B、用户不可以清除
• C、不可跟踪同一台机器或用户
• D、需在客户端存取文件

第8题：

攻击者通过收集数据包，分析得到共享密钥，然后将一个虚假AP放置到无线网络中，截获用户和AP传输的所有数据，还可以对双方的传输数据任意进行修改。这种攻击方式称为（）。

• A、会话劫持攻击
• B、拒绝服务攻击
• C、漏洞扫描攻击
• D、中间人攻击

第9题：

下列危害中（）是由失效的身份认证和会话管理造成的。

• A、窃取用户凭证和会话信息
• B、访问未授权的页面和资源
• C、网页挂马
• D、执行超越权限的操作

第10题：

第11题：

第12题：

第13题：

下面说法错误的是（）

• A、Http协议是无状态的协议
• B、会话跟踪技术有：用户授权，隐藏表单域，URL重写，Cookie等
• C、使用request.getSession（false）可以新建会话
• D、使用request.addCookie（）可以添加Cookie到客户端

第14题：

与服务器连接的每个用户都可能要求保存会话状态数据，数据可以通过哪些方法与用户建立连接（）

• A、Web服务器会话
• B、数据库会话
• C、Cookie

第15题：

Cookie是网站用于身份认证和会话跟踪而存储在用户本地终端上的数据。当用户需要访问该网站时，需要将Cookie发送给服务端。

第16题：

下列会话识别机制容易侵犯用户隐私的是（）。

• A、IP地址+浏览器
• B、嵌入SessionID
• C、用户注册访问
• D、cookie

第17题：

通常情况下，应用程序向每名用户发布一个唯一的会话令牌或标识符标识用户身份，并根据该令牌在服务端维护对应用户的访问状态。

第18题：

GPRS系统中，用户终端业务包括基于PTP的用户终端业务会话，基于PTP的用户终端业务会话有（）。

• A、报文传送
• B、会议
• C、检索
• D、遥信

第19题：

当一个无线终端通过认证后，攻击者可以通过无线探测工具得到到合法终端的MAC地址，通过修改自身的MAC地址与其相同，再通过其他途径使得合法用户不能工作，从而冒充合法用户，这种攻击方式称为（）。

• A、中间人攻击
• B、会话劫持攻击
• C、漏洞扫描攻击
• D、拒绝服务攻击

第20题：

下列属于会话管理设计要求的是（）。

• A、用户登陆成功后应建立新的会话
• B、确保会话数据的存储和传输安全
• C、避免跨站请求伪造
• D、设计合理的会话存活时间，超时后应销毁会话，并清除会话的信息

第21题：

第22题：

第23题：

第24题：