猫宁!!!

参考链接:http://www.ituring.com.cn/book/885

随书答案。

1. 在什么情况下 Web 服务器会显示目录列表?

如果请求某目录的 URL 且满足以下条件,Web 服务器将显示目录列表:
(a) Web 服务器找不到默认文档(如 index.html);
(b) 目录列表已启用;
(c) 具有访问目录所需的权限。

2. WebDAV 方法有什么作用?为什么说它们会造成危险?

使用 WebDAV 方法可以基于 Web 创作 Web 内容。
如果未对这些方法实施严格的访问控制,则这些方法可能会造成危险。此外,由
于涉及复杂的功能,以前它们一直是 Web 服务器中漏洞的源头——例如,是通过
IIS 服务器利用操作系统漏洞的攻击向量。

3. 如何利用一个配置成 Web 代理服务器的 Web 服务器?

如果可以通过代理服务器反向连接到因特网,就可以利用它攻击因特网上的第三
方 Web 应用程序,这时提出的请求似乎是来自配置不当的 Web 服务器。
即使向因特网提出的请求被阻止,仍然可以利用代理服务器访问组织内部无法直
接访问的 Web 服务器,或访问服务器本身上的其他基于 Web 的服务。

4. 何为 Oracle PL/SQL 排除列表?如何避开这个列表?

PL/SQL 排除列表是一个模式匹配黑名单,旨在防止将 PL/SQL 网关用于访问某些
强大的数据库包。
有各种方法可以避开 PL/SQL 排除列表过滤器。这主要是因为该过滤器采用非常
简单的表达式,而后端数据库却遵循更加复杂的规则来说明输入的重要性。人们
已经找到大量方法,可用于设计与黑名单模式不匹配、但能够成功执行数据库中
的强大包的输入。

5. 如果一个 Web 服务器允许通过 HTTP 与 HTTPS 访问它的功能,当查询漏洞时,
使用其中一个协议与使用另一个协议相比有哪些优点?

使用 HTTPS 进行通信也许能够避开某些网络层入侵检测系统。但是,通常情况下,
如果使用 HTTP,自动化攻击的执行速度会更快。应用程序可能包含不同的功能,
或者在通过不同协议访问时会表现出不同的行为,因此,一般来说,应准备使用
这两种协议进行测试。

黑客攻防技术宝典web实战篇:工具web服务器习题的更多相关文章

  1. 《黑客攻防技术宝典Web实战篇@第2版》读书笔记1:了解Web应用程序

    读书笔记第一部分对应原书的第一章,主要介绍了Web应用程序的发展,功能,安全状况. Web应用程序的发展历程 早期的万维网仅由Web站点构成,只是包含静态文档的信息库,随后人们发明了Web浏览器用来检 ...

  2. 黑客攻防技术宝典web实战篇:核心防御机制习题

    猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 黑客攻防技术宝典web实战篇是一本非常不错的书,它的著作人之一是burpsuite的作者,课后的习题值得关注 ...

  3. 黑客攻防技术宝典Web实战篇(二)工具篇DVWA Web漏洞学习

    DVWA是一个学习Web漏洞的很好的工具. DVWA全程是Damn Vulnerable Web Application,还有一个跟它一样好的工具尽在http://www.360doc.com/con ...

  4. 黑客攻防技术宝典Web实战篇(二)工具篇

    扫描工具.中间攻击工具.加密解密工具等. 1 TM Thread Module 2 burpsuite 代理.中间攻击.repeatur.spider.暴力破解(intrude).加密.解密.扫描器 ...

  5. 黑客攻防技术宝典web实战篇:攻击其他用户习题

    猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案. 1. 在应用程序的行为中,有什么“明显特征”可用于确定大多数 XSS 漏洞? 用户提交的输入在应 ...

  6. 黑客攻防技术宝典Web实战篇(一)Web应用程序技术基础

    在开展Web应用程序渗透测试之前请先了解下面列出的这些内容,如果不是很懂的话,请读David Gourley & Brian Totty的HTTP权威指南也叫HTTP:The Definiti ...

  7. 黑客攻防技术宝典web实战篇:攻击应用程序架构习题

    猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案. 1. 假设受攻击的应用程序使用两台不同的服务器:一台应用程序服务器和一台数据库服务器.已经发现一 ...

  8. 黑客攻防技术宝典web实战篇:解析应用程序习题

    猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案. 1. 当解析一个应用程序时,会遇到以下 URL:https://wahh-app.com/Coo ...

  9. 黑客攻防技术宝典Web实战篇(三)web攻击方式总结

    web攻击的手段无非就是使服务器资源耗尽,使服务器无法接收正常请求. 一.DDos攻击 二.DRDos攻击 三.慢攻击 与Ddos攻击相反,慢攻击并不是以多取胜,而是靠保持连接.

随机推荐

  1. go test test & benchmark

    开发程序其中很重要的一点是测试,我们如何保证代码的质量,如何保证每个函数是可运行,运行结果是正确的,又如何保证写出来的代码性能是好的,我们知道单元测试的重点在于发现程序设计或实现的逻辑错误,使问题及早 ...

  2. WCF 内存入口检查失败 Memory gates checking failed

    在做JC系统时,出现这样的错误: 出现该错误信息的原因是因为WCF服务激活之前,系统应该具有的最小内存量不足config文件中设置的百分比.我是在本机调试的时候出现的. 解决方法:        关闭 ...

  3. hive cli 启动缓慢问题

    hive-0.13.1启动缓慢的原因 发现时间主要消耗在以下3个地方: 1. hadoopjar的时候要把相关的jar包上传到hdfs中(这里大概消耗5s,hive0.11一样,这个地方不太好优化) ...

  4. Ubuntuserver版安装

          近期因为工作的须要.又一次部署server.安装了Ubuntuserver版本号,依据当时遇到的一些问题,整理了下,为方便以后的使用做个记录.       因为直接安装server端.无法 ...

  5. adb的那点小事——360电视助手实现研究

    欢迎转载,转载请注明:http://blog.csdn.net/zhgxhuaa 1.   前言 1.1.  行业背景简单介绍 当下,智能家居与智能穿戴设备无疑是继智能手机后两个最热门的方向.而智能家 ...

  6. Direct3D 9 入门样例程序 圆锥体

    介绍 Directx3D 9 什么是DirectX,非常好说了,Win32 C++ API.主要是多媒体编程方面的,长处体如今高性能了,如今我知道的版本号最高是D3D11,可是我是学习入门的,从D3D ...

  7. 【iOS系列】-自定义Modar动画

    [iOS系列]-自定义Modar动画.md 我们需要做的最终的modar动画的效果是这样的, 就是点击cell,cell发生位移,慢慢的到第二个界面上的.为了做出这样的动画效果,我们需要以下的知识. ...

  8. Qt & opencv 学习(一)

    Qt也没怎么系统学过,opencv也没系统学过.慢慢来,一步一步弄清楚吧. 天嵌科技有个文档,先去看这个文档,主要是开发环境的配置.文档名字就是QT应用程序开发手册-20150918.pdf.在QT里 ...

  9. ios实现倒计时的两种方法

    方法1:使用NSTimer来实现 主要使用的是NSTimer的scheduledTimerWithTimeInterval方法来每1秒执行一次timeFireMethod函数,timeFireMeth ...

  10. redis---01

    redis是什么: redis是开源,BSD许可,高级的key-value存储系统. 可以用来存储字符串,哈希结构,链表,集合,因此,常用来提供数据结构服务. redis和memcached相比,的独 ...