首页
外语
计算机
考研
公务员
职业资格
财经
工程
司法
医学
专升本
自考
实用职业技能
登录
计算机
Mary is creating malicious code that will steal a user’s cookies by modifying the original client-side Java script. What type of
Mary is creating malicious code that will steal a user’s cookies by modifying the original client-side Java script. What type of
admin
2013-12-19
68
问题
Mary is creating malicious code that will steal a user’s cookies by modifying the original client-side Java script. What type of cross-site scripting vulnerability is she exploiting?
选项
A、Second order
B、DOM-based
C、Persistent
D、Nonpersistent
答案
B
解析
B正确。Mary利用的是一个基于文档对象模型(Document Object Model,DOM)的跨站脚本(Cross-Site Scripting,XSS)漏洞,也叫做本地跨站脚本。DOM是展示浏览器中的HTML和XML文档的标准结构布局。在这样的攻击中,像表单域和cookie这样的文档组件都可以通过JavaScript引用。攻击者使用DOM环境修改原始客户端的JavaScript。这将导致受害者的浏览器执行由此产生的滥用的JavaScript代码。防止这类攻击的最有效方法是禁止浏览器中的脚本支持。
A不正确。因为二阶漏洞或者持久性XSS漏洞,针对的是允许用户输入并将用户的输入存储在数据库或其他地点(如论坛或者留言板)的Web站点。二阶漏洞可导致发生最主要的攻击类型。
C不正确。因为持久性XSS漏洞只不过是二阶漏洞的另外一个名称。正如前所述,这些漏洞允许用户输入存储在数据库或其他地点(如在线论坛或留言板)的数据。这类平台是最常见的受XSS漏洞困扰的对象。弥补这类漏洞的最好办法是安全编程。每个用户的输入都应该进行过滤,并只允许用户输入有限的一套已知的、且安全的字符。
D不正确。因为非持久性XSS漏洞也叫做反映漏洞(reflected vulnerability),它出现在攻击者诱使受害人打开一个用流氓脚本编程的页面以偷取受害人敏感信息的时候(如一个cookie)。这类攻击背后的原理是:动态Web站点上缺乏适当输入或输出验证。
转载请注明原文地址:https://kaotiyun.com/show/ONhZ777K
0
CISSP认证
相关试题推荐
TheTreasurycouldpocket20millionayearinextrafinesoncethecountry’sspeedcameranetworkisexpanded.Motoringorgani
TheTreasurycouldpocket20millionayearinextrafinesoncethecountry’sspeedcameranetworkisexpanded.Motoringorgani
TheTreasurycouldpocket20millionayearinextrafinesoncethecountry’sspeedcameranetworkisexpanded.Motoringorgani
Individualsandbusinesseshavelegalprotectionforintellectualpropertytheycreateandown.Intellectualproper【C1】______fro
Thetranslatormusthaveanexcellent,up-to-dateknowledgeofhis【C1】______languages,fullfacilityinthehandlingofhistarg
BarackObama,inhisstate-of-the-unionspeechonFebruary12th,calledforaneweraofscientificdiscovery."Nowitisthet
[A]Marketforglasscraftsisgrowing[B]Dependenceofcomputerdevelopmentonglass[C]Behindtheadaptabilityofglass[D]
Writeanessayof160-200wordsbasedonthefollowingpictures.Inyouressay,youshould1)describethepicturesbriefly,
Foryears,sportsfanaticshaveturnedtostatisticstohelpthemgaugetherelativestrengthorweaknessesofdifferentteams,
YouaretheadministratorofaSQLServer2000computer.Youarecreatingadatatransformationservicespackage.Asthefirsts
随机试题
以下哪一项不是虚劳的病因病机()(1997年第72题)
A.阻尼过度(过阻尼)B.阻尼过小(欠阻尼)C.阻尼适当D.线性良好E.非线性移位若方波上升时呈圆钝状表示
关于遗产继承顺序的表述中说法不正确的是()。
根据《水工建筑物地下开挖工程施工规范》SL378--2007,下列关于水利水电工程土石方开挖施工的说法错误的是()。
1000MW发电机定子重量可达400t以上,卸车方式主要采用()。
根据给水排水管道功能性试验的有关规定,除设计有要求外,压力管道水压试验的管段长度不宜大于()m。
梅蒂绥和维米尔都是17世纪荷兰小画派的典型代表。()
(2012年河北)辛亥年到来的时候,似乎没有迹象表明,这将是这个铁血帝国的最后一年,这一年是从隆裕皇太后万寿圣节(正月初)的歌舞升平开始的,而在这一年行将结束的十二月二十五(公元1912年2月12日),隆裕却颁布了一纸退位诏书,中国的封建政权就此曲终人散。
Forthispart,youareallowed30minutestowriteacompositiononthetopic"HowtoHandleStress?"Youshouldwriteinnole
"’BuildingwithArches"RoundArchandVault→AlthoughtheroundarchwasusedbytheancientpeoplesofMesopotamia
最新回复
(
0
)
