文件上传漏洞原理与实践练习题

一.单选

1.IIS默认的Web目录是（ C ）

A.C:\phpStudy\PHPTutorial\WWW           B.C:\xampp\htdocs

C.C:\Inetpub\wwwroot                               D./var/www/html

2.Nginx识别文件的mime.types文件的路径是（ B ）

A./etc/mime.types                                      B./etc/nginx/mime.types

C./usr/share/mime.ytpes                           D./usr/share/nginx/mime.ytpes

3.Tomcat的默认端口是（ D ）

A.1433          B.1521          C.80          D.8080

二.多选

1.造成文件上传漏洞的成因有哪些（ ABD ）

A.对上传文件没有进行足够限制           B.操作系统特性       C.危险函数       D.web服务器解析漏洞

2.下列属于文件上传漏洞危害的是（ ABC ）

A.上传恶意脚本       B.网站沦陷       C.服务器沦陷       D.刷流量

3.下列属于文件上传客户端检测绕过方法的是（ ACD ）

A.删除浏览器事件       B.添加文件头       C.利用Bp抓包修改后缀名       D.伪造上传表单

4.IIS在正常配置、无漏洞的情况下，可以解析以下哪些后缀名的脚本文件？（ ABD ）

A. .asp          B. .cer          C. .jpg          D. .asa

5.Apache和PHP的结合方法有哪些？（ ABC ）

A. CGI          B. FastCGI          C. Module          D. 动静分离

三.判断

1.恶意上传行为可能导致网站甚至整个服务器被控制（ √ ）

2.文件上传客户端做过滤限制后服务端不需要再做了（ × ）

3.点、空格、::$DATA等特殊文件名在Windows和Linux下都是不被允许的（ × ）

4.Web容器是一种服务程序。（ √ ）

5./etc/mime.types文件记录了大量文件后缀和MIME类型（ √ ）

6.使用AddHandler就可以避免Apache解析漏洞（ × ）

7.php.ini文件将cgi.fix_pathinfo的值设置为0可以在一定程度上防止Nginx文件解析漏洞。（ √ ）

8.Nginx文件解析漏洞的攻击形式是xxx.jpg/xxx.php。（ √ ）

9.readonly参数默认是false。（ × ）

10.Tomcat运行环境需要依赖Java环境。（ √ ）

11.IIS5.1也有解析漏洞。（ × ）

12.将上传的文件存放于Web Server之外的远程服务器可以在一定程度上预防文件上传漏洞（ √ ）

13.文件上传的目录设置为不可执行可以预防文件上传漏洞。（ √ ）