关于XSS的描述,错误的是:()。
A.反射型XSS需要用户点一个链接
B.存储型XSS又叫持久性XSS,攻击代码保存在数据库中
C.DOMbasedXSS的本质是反射型XSS
D.XSS的全称是Cross-SiteScripting,需要跨域才能发挥作用
A.反射型XSS需要用户点一个链接
B.存储型XSS又叫持久性XSS,攻击代码保存在数据库中
C.DOMbasedXSS的本质是反射型XSS
D.XSS的全称是Cross-SiteScripting,需要跨域才能发挥作用
A、将重要的cookies标记为httponly,这样JavaScript中的document.cookie语句就不能获取到cookie了
B、允许用户输入尽量多的数据
C、对数据进行HtmlEncode处理
D、过滤或移除特殊的Html标签
A.CSRF利用是网站对用户浏览器的信任。
B.XSS利用的是网站对用户浏览器的信任。
C.SSRF是服务器对用户提供的可控URL过于信任,没有对攻击者提供的URL进行地址限制和检测。
D.三种常见的web服务端漏洞均是由于服务端对用户提供的可控数据过于信任或者过滤不严导致的
A.注入
B.未验证的重定向
C.XSS
D.会话劫持
A.为cookie添加HttpOnly属性后,js便无法读取,由此可以防御所有类型的XSS攻击
B.在处理富文本时,应当使用黑名单处理危险标签
C.使用ESAPI提供的HtmlEncoder函数编码所有输出的场景
D.为了防御DOMbasedXSS,如果输出到HTML中,需要使用HtmlEncoder编码
A.可通过扫描器发现弱口令
B.可通过扫描器获取服务器权限
C.可通过扫描器进行sql注入攻击获得数据
D.可通过扫描器进行xss攻击劫持他人浏览器
A.用户认证易猜解
B.用户操作基于参数/缺乏二次(N次)身份认证
C.COOKIE欺骗
D.前台SQL/XSS/参数错误提交