造成文件上传漏洞的原因包括（)

对于上传的页面，在单击上传时，会弹出一个对话框，在弹出的对话框中输入多个文件名，然后单击上传，若单击上传这个对话框没有访问控制，就可以通过在浏览器中直接输入URL访问，可能会导致某些用户在不经过认证的情况下直接上传文件。从以上描述中，可以得出该系统存在( )安全漏洞。

A.不安全的加密存储

B.安全配置错误

C.没有限制的URL访问

D.传输层保护不足

阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。

【说明】

图3-1是某互联网服务企业网络拓扑，该企业主要对外提供网站消息发布、在线销售管理服务，Web网站和在线销售管理服务系统采用JavaEE开发，中间件使用Weblogic，采用访问控制、NAT地址转换、异常流量检测、非法访问阻断等网络安全措施。

问题：3.1根据网络安全防范需求，需在不同位置部署不同的安全设备，进行不同的安全防范，为上图中的安全设备选择相应的网络安全设备。

在安全设备1处部署(1)；

在安全设备2处部署(2)；

在安全设备3处部署(3)。

(1)～(3)备选答案：

A．防火墙B．入侵检测系统(IDS)C．入侵防御系统(IPS)

问题：3.2

在网络中需要加入如下安全防范措施：

A．访问控制

B．NAT

C．上网行为审计

D．包检测分析

E．数据库审计

F．DDoS攻击检测和阻止

G．服务器负载均衡

H．异常流量阻断

I．漏洞扫描

J．Web应用防护

其中，在防火墙上可部署的防范措施有(4)；

在IDS上可部署的防范措施有(5)；

在口S上可部署的防范措施有(6)。

问题：3.3结合上述拓扑，请简要说明入侵防御系统(IPS)的不足和缺点。

问题：3.4该企业网络管理员收到某知名漏洞平台转发在线销售管理服务系统的漏洞报告，报告内容包括：

1．利用Java反序列化漏洞，可以上传jsp文件到服务器。

2．可以获取到数据库链接信息。

3．可以链接数据库，查看系统表和用户表，获取到系统管理员登录帐号和密码信息，其中登录密码为明文存储。

4．使用系统管理员帐号登录销售管理服务系统后，可以操作系统的所有功能模块。

针对上述存在的多处安全漏洞，提出相应的改进措施。

A、攻击者可以上传恶意脚本文件

B、攻击者可以执行本地或远程的脚本文件

C、攻击者可能获取系统控制权限

D、攻击者可能获取敏感数据

A、入侵者利用搜索引擎或专用工具，寻找具备文件上传漏洞的网站或者web应用系统

B、注册用户，获得文件上传权限和上传入口

C、利用漏洞，上传恶意脚本文件

D、通过浏览器访问上传的恶意脚本文件，使恶意文件被IIS、Apache、Tomcat等WEB解析器执行，并根据恶意脚本文件提供的功能，实施下一步攻击

A.客户端JS检测

B.服务器MIME类型检测

C.服务器目录路径检测

D.服务器文件扩展名检测

E.服务器文件内容检测

A、对面文件后缀进行检测

B、对文件类型进行检测

C、对文件内容进行检测

D、设置上传白名单

此题为判断题(对，错)。

此题为判断题(对，错)。

为了防止文件上传漏洞，需要在服务端做一些验证，下列说法错误的是( )。

A.对文件类型进行检查

B.对文件的长度和可接受的大小限制进行检查

C.对于文件类型要使用白名单过滤，不要使用黑名单

D.对于一些特殊字符串(../)一定要做好过滤，如果发现含有不合法的字符串，要及时进行异常处理，尝试纠正错误

对上传任意文件漏洞，只需要在客户端对上传文件大小、上传文件类型进行限制。判断对错