关于文件上传漏洞防范，以下哪一项描述是错误的？（)

A.由于对上传文件的类型、内容没有进行严格的过滤、检查，使得攻击者可以通过上传木马获取服务器的webshell权限

B.用户直接或者通过各种绕过方式将webshell上传到服务器中进而执行利用

C.会导致网站被控制，增删改查文件，链接数据库

D.上传漏洞与SQL注入或XSS相比,其风险更小

A.网络硬件、软件和协议存在漏洞

B.网络广泛应用

C.攻击网络有利可图

D.所有攻击行为都会对网络和用户产生影响

A.常使用0-day漏洞进行攻击

B.攻击目标明确

C.外联通道通常加密，不易检测

D.遵守网络攻击链流程

A.存在黑客终端与攻击目标之间的传输路径

B.攻击目标存在漏洞

C.黑客通过扫描发现攻击目标存在漏洞

D.黑客必须已经获取攻击目标的管理员账户信息

A.需要存在跨站脚本漏洞的web应用程序

B.这些恶意代码能够被浏览器成功的执行

C.需要向URL注入恶意代码

D.需要用户点击连接或者是访问某一页面

A.不能防范内网内的恶意攻击

B.不能防范针对面向连接协议的攻击

C.不能防范病毒和内部驱动的木马

D.不能防范针对防火墙开放端口的攻击

A.检验HTTPReferer来源

B.在请求地址中添加Cookie并验证

C.在HTTP头中自定义属性并验证

D.设置验证码

A.服务识别是一种识别服务器上提供的服务类型的侦查技术

B.SSH协议会主动告知访问者自己版本信息

C.攻击者可根据服务版本检索到相关的漏洞，并加以利用

D.所有服务的识别均可通过端口扫描技术实现

A.XSS攻击利用的是URL过滤不严格的漏洞

B.XSS的重点不在于跨站点，而在于HTML脚本的执行

C.恶意攻击者在web页面中会插入一些恶意的script代码

D.当用户浏览该页面的时候，那么嵌入到web页面中script代码会执行

A.信息安全需要积极防御和综合防范

B.需要综合考虑社会因素对信息安全的制约

C.需要明确国家、企业和个人对信息安全的职责和可确认性

D.工程原则中降低复杂度的原则是需要实现访问的最大特权控制

A、基于会话防范，针对有连接状态的报文检查是否命中会话，可有效防御FIN/RSTFlood、TCP连接耗尽攻击、TCP异常会话攻击等

B、特征过滤，通过抓包分析来获取流量特征，基于报文的内容特征进行静态匹配过滤，主要针对没有连接状态的攻击进行防御，包括黑白名单过滤

C、基于文件特征值

D、畸形报文过滤，过滤利用协议栈漏洞的畸形报文攻击、特殊控制报文