多项选择题
在内网中,使用弱口令进行内网渗透,是很常见的攻击方式,不论是使用FTP还是数据库,如果口令不够安全,就会给予攻击者有效的攻击途径,在MySQL中,通过什么方式获取到的口令,一般可以认为是弱口令()。
A.通过select username,password from mysql.user获取到的密码,在本机使用一些数字+字母的字典,就可以直接破解出来
B.通过hydra上自带的字典暴力破解得到
C.通过查看WEB站点的配置文件获取到的数据库密码
D.通过扫描发现了一个共享目录,通过共享目录上找到了一些密码文件,之后利用这些密码文件组成的字典,用hscan进行扫描发现了MySQL的密码
点击查看答案
相关考题
-
多项选择题
随着移动平台的智能化和高效性,越来越多的企业开发了移动客户端,但是随之而来的就是移动平台上面临的安全的问题,下面移动平台开发工作符合安全规范的是()。
A.防止开发的应用软件被插入恶意代码
B.禁止直接将用户账户密码等敏感信息直接明文存储的移动平台上
C.由于移动客户端和服务器端的通信都是由客户端编辑好后发送的请求,防止客户如在PC上使用浏览器一样插入很多恶意字符,只需要在客户端上做好过滤特殊字符的工作就好了,服务端就很安全了
D.为了防止用户的手机丢失后,很多信息泄露,应用软件采用了双因素等认证方式,对客户端的登录做了校验 -
多项选择题
一个WEB站点的管理员,在自己的网站的后台,发现了突然多了一个管理员的账户,之后查看日期和创建者,发现创建者是自己,且那天自己确实登录过,但是却没有执行过此操作,之后查看了一下后台登录失败的错误记录,发现之前有过自己账户登录失败的记录,但错误次数不超过10次,且之后就没有记录了,并且自己的口令应该是强口令,且WEB站点是站库分离的,下面的攻击方式基本可以排除的是()。
A.本地文件包含
B.SQL注入
C.目录遍历
D.CSRF攻击
E.暴力破解 -
多项选择题
针对风险评估,下列描述正确的是()
A.资产是具有价值的资源,是安全防护体系保护的对象,评估者可根据企业自身情况灵活地把握资产划分粒度,如可将某个定级对象整体作为一个资产进行评估
B.脆弱性是资产本身存在的,是资产中存在的弱点、缺陷与不足
C.威胁是一种对资产构成潜在破坏的可能性因素,是客观存在的
D.评估者应针对每一个资产,对已经采取的安全措施及其有效性进行确认,并将已经采取的安全措施记录下来
E.评估者判断威胁利用资产的脆弱性导致安全事件发生的可能性以及安全事件一旦发生造成的资产损失,分析资产存在的安全风险,结合已有的安全措施判断目前的安全风险是否在可接受的范围内
