×
多选题
189、在测试一个使用joe和pass证书登录的Web应用程序的过程中,在登录阶段,在拦截代理服务器上看到一个要求访问以下URL的请求:http://www.wahh-app.com/app?action=login&uname=joe&password=pass如果不再进行其他探测,可以确定哪几种漏洞?( )
A
由于证书在该URL的查询字符串中传送,因此,这些证书将面临通过浏览器历史记录、Web服务器和IDS日志或直接在屏幕上显示而遭到未授权泄露的风险。
B
密码为一个包含四个小写字母的英文单词。应用程序并未实施任何有效的密码强度规则。
C
证书通过未加密HTTP连接传送,因而易于被位于网络适当位置的攻击者拦截。
D
以上都不(正确)
答案解析
正确答案:ABC
解析:
题目解析
答案:ABC
解析:在该题目中,给出了一个使用joe和pass证书登录的Web应用程序的请求URL。根据题目中提供的信息,可以确定以下几种漏洞:
A. 由于证书在该URL的查询字符串中传送,因此,这些证书将面临通过浏览器历史记录、Web服务器和IDS日志或直接在屏幕上显示而遭到未授权泄露的风险。这是因为敏感信息(用户名和密码)直接暴露在URL中,可能会被记录或截取,从而导致未授权访问。
B. 密码为一个包含四个小写字母的英文单词。应用程序并未实施任何有效的密码强度规则。这是因为密码太简单,缺乏安全性规则,容易被猜测或暴力破解。
C. 证书通过未加密HTTP连接传送,因而易于被位于网络适当位置的攻击者拦截。这是因为敏感信息通过不安全的HTTP连接传输,容易被中间人攻击者截取和查看。
因此,答案为ABC。
相关知识点:
Web应用程序漏洞判断
相关题目
单选题
142、以下网络攻击中,()属于被动攻击( )
单选题
141、以下有关信息安全管理员职责的叙述,不正确的是()( )
单选题
140、()服务用来确认网络中信息传送的源结点与目的结点的用户身份是否真实( )
单选题
139、在Internet中,ISP的接入方式有帧中继方式、专线(DDN)方式及( )
单选题
138、一个学生在自习室使用无线连接到他的试验合作者的笔记本电脑,A.他使用的是()模式( )
单选题
137、无线局域网采用直序扩频接入技术,使用户可以在()GHz的ISM频段上进行无线Internet连接( )
单选题
136、以下关于无线局域网硬件设备特征的描述中,()是错误的( )
单选题
135、CA一般分为企业级CA和独立的CA,以下关于这两种CA的说法正确的是( )
单选题
134、发现安全软件提醒自己的电脑有系统漏洞,最恰当的做法是( )
单选题
133、家明使用安装了Windows操作系统的电脑,同学建议他电脑中重要的资料最好不要保存在C盘中。下列哪个观点最合理( )
