《2016年信息安全管理与评估补充题》由会员分享,可在线阅读,更多相关《2016年信息安全管理与评估补充题(5页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理与评估补充题- 1 -信息安全管理与评估信息安全管理与评估补充题题1.配置靶机WebServ2003的DHCP功能,能够分配IP的范围为172.19.X.X(111150),XP客户端申请IP地址,将第二阶段和第四的数据包类型作为Flag值提交,格式为:F1-F2;2.使用渗透机攻击WebServ2003,进行DHCP地址池耗尽攻击,把使用中的IP地址数比例作为Flag提交;3.进入loginAuth.php程序,修改PHP源程序,使之可以抵御SQL注入,并填补空缺处内容,将填补内容作为Flag提交,格式为F1|F2|F3;信息安全管理与评估补充题- 2 -4.再次对该任务logi
2、nAuth.php页面注入点进行渗透测试,验证此次利用任意用户进行SQL注入渗透测试无效,并将回显提示信息作为Flag提交。5.Web继续访问WebServ2003服务器,“/“-“Employee Information Query“,分析该页面源程序,找到提交的变量名,并作为Flag提交。6. Web继续访问WebServ2003服务器,“/“-“Employee Information 信息安全管理与评估补充题- 3 -Query“,分析该页面源程序,将表单提交方式作为Flag提交。7. Web继续访问WebServ2003服务器,“/“-“Employee Information Qu
3、ery“,分析该页面源程序,表单提交后跳转页面的路径作为Flag提交。8.对“Employee Information Query“页面注入点进行渗透测试,根据输入“%”以及“_”的返回结果确定是注入点,并将显示结果倒数第三行内容作为Flag提交;9.通过对该任务题目5页面注入点进行SQL注入渗透测试,删除WebServ2003服务器的C:目录下的1.txt文档,并将注入代码作为Flag提交。exec master.dbo.xp_cmdshell del c:1.txt10.进入WebServ2003服务器的C:AppServwww目录,找到QueryCtrl.php程序,分析并修改PHP源程
4、序,将%替换为%,_替换为_使之可以抵御SQL注入渗透测试,并将修改后新增语句内容作为Flag提交。格式为F1-F2-F311.再次对该任务题目5页面注入点进行渗透测试,验证此次利用注入点对该WebServer进行SQL注入渗透测试无效,并将验证过程截图。将系统出现的错误提示作为Flag提交。12.进入WebServ2003服务器,禁用系统存储过程可以抵御SQL注入渗透测试,将禁用系统存储的语句作为Flag提交。格式为Y1-Y2-Y3-Y4.13.进入“/“-“ Employee Message Board“-“Display Message“页面,再次对页面注入点进行渗透测试,调用存储过程删
5、除WebServ2003服务器的C:目录下的1.txt文档,将页面提示第一个字符串作为Flag提交;14.进入“/“-“ Employee Message Board“-“Display Message“页面进行XSS渗透测试,循环弹框“Hacker!“,根据该页面的显示,确定是注入点,并将构造的注入代码作为Flag提交。信息安全管理与评估补充题- 4 -15.通过IIS搭建网站(http:/hacker.org/),并通过渗透机生成木马程序TrojanHorse.exe,将使用的工具和模块路径作为Flag提交。格式为F1 21.进入WebServ2003服务器的C:AppServwww目录,
6、找到DisplayMessage.php程序,分析并修改PHP源程序,使之可以抵御CSRF渗透测试,将需要用到的函数作为Flag提交。22.Web访问ebServ2003服务器,“/“-“ Display Directory“,分析该页面源程序,找到提交的变量名作为Flag。23.对题目22页面注入点进行渗透测试,使页面DisplayDirectoryCtrl.php回显C:Windows目录内容的同时,对WebServer添加账号“Hacker”,将该账号加入管理员组,并将注入代码作为Flag提交。24.对该任务题目22页面注入点进行第23题渗透测试,使页面DisplayDirectoryC
7、trl.php回显内容最后一行作为Flag提交。25.Web访问WebServ2003服务器,“/“-“ Display Uploadeds File Content“,分析该页面源程序,找到提交的变量名作为Flag提交。26.对该任务题目5页面注入点进行渗透测试,使页面DisplayFileCtrl.php回显WebServ2003服务器访问日志文件:AppServ/Apache2.2/logs/access.log的内容,并将注入代码作为Flag提交。27.进入WebServ2003服务器的C:AppServwww目录,找到DisplayFileCtrl.php程序,分析并修改PHP源程序,使之可以抵御文件包含渗透测试,并将使用的函数和回显内容作为Flag提交。格式为(F1-F2)28.在BT5对PC进行ARP Spoofing渗透测试,使PC无法WebServ2003服务器,PC的ARP缓存为: WebServ2003服务器IP-BT5的MAC地址,在PC查看被BT5毒化后的ARP缓存信息,并将该渗透工具作为Flag提交。信息安全管理与评估补充题- 6 -29.在BT5对PC和WebServ2003服务器进行ARP中间人渗透测试,需要开启中间设备的路由功能,并将开启路由功能的命令作为Flag提交。
