1+x網絡安全評估復習題及答案

1+x網絡安全評估復習題及答案一、單選題(共60題，每題1分，共60分)1、MD5文摘算法得出的文摘大小是？A、128字節(jié)B、160字節(jié)160位128位正確答案：D2、HTTPBASIC認證中，使用了哪一種加密方法A、Base32B、AESBase64D、Md5正確答案：c3、Windows操作系統(tǒng)中查看ARP緩存表的命令是()。arp-aarp-nC^arp-darp-s正確答案：A4、AWVS是一款什么用途的滲透測試工具()。A、漏洞掃描B、暴力破解C、XSS攻擊D、SQL注入正確答案：A5、PHP關閉顯示所有錯誤提示信息方法error_reporting(E_ERR0R)errorreporting(0)error_reporting(E_WARNING)error_reporting(E_N0TICE)正確答案：B6、B類IP地址，有多少位主機號？A、8正確答案：D50、盜取Cookie是用做什么？A、釣魚B、劫持用戶會話C、固定用戶會話D、預測用戶下一步的會話憑證正確答案：B51、TCP協(xié)議頭部前16位是以下哪個選項的定義？A、目的端口B、序列號C、源端口D、窗口大小正確答案：C答案解析：1T6位為源端口，17-32位為目的端口。52、0SI參考模塊分幾層？A、7B、4C、5D、6正確答案：A53、關于命令執(zhí)行漏洞，以下說法錯誤的是？A、命令執(zhí)行漏洞只發(fā)生在PHP的環(huán)境中B、該漏洞可導致黑客控制整個網站甚至控制服務器C、沒有對用戶輸入進行過濾或過濾不嚴可能會導致此漏洞D、命令執(zhí)行漏洞是指攻擊者可以隨意執(zhí)行系統(tǒng)命令正確答案：A54、以下哪一協(xié)議不是工作在應用層？A、文件傳輸協(xié)議(FileTransferProtocol,FTP)B、用戶數據報協(xié)議(UserDatagramProtocol,UDP)C、簡單網絡管理協(xié)議(SimpleNetworkManagementProtocol,SNMP)D、超文本傳輸協(xié)議(HyperTextTransferProtocol,HTTP)正確答案：B55、下面說法正確的是？A、在輸入和輸出處都要過濾xss攻擊B、htmlspecialchars()可以完全杜絕xss攻擊C、使用防止sql注入的函數也可以防御xssD、只需要在輸入處過濾xss就可以了正確答案：A56、關于PHP文件包含利用方法，錯誤的是()A、文件包含漏洞?？梢耘浜衔募蟼髀┒垂餐肂、利用偽協(xié)議需開啟allow_url_include配置C、利用文件包含漏洞需被包含文件為.php格式D、遠程文件包含需服務器開啟allow_url_fopen配置正確答案：C57、關于HTML事件的敘述，錯誤的是A、onkeyup松開鍵盤執(zhí)行腳本B、onerror當錯誤執(zhí)行腳本C、onkeypress當按下鍵盤執(zhí)行腳本D、onclick鼠標點擊執(zhí)行腳本正確答案：C58、PHP語言中,單引號和雙引號區(qū)別A、單引號不會將內部惡意字符過濾，雙引號會將內部字符進行過濾B、單引號會將內部字符進行過濾，雙引號不會將內部惡意字符過濾C、單引號會將內部變量解析后輸出，雙引號會將字符原義輸出D、單引號會將字符原義輸出，雙引號會將內部變量解析后輸出正確答案：D59、故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行，后果嚴重的，將受到什么處罰？A、處五年以下有期徒刑或者拘役B、罰款C、警告D、拘留正確答案：A60、下面關于htmlspecialchars()說法錯誤的是？A、該函數可用于過濾xssB、該函數用于對一些字符進行xss實體編碼C、該函數用于轉譯字符(在后面加上反斜線)正確答案：C二、多選題(共50題，每題1分，共50分)1、在HTTP響應的MIME消息體中，可以同時包含的數據類型是()A、音頻數據B、文本數據C、圖片數據D、視頻數據正確答案：ABCD2、Wireshark通過哪個面板展示數據包信息？A、PacketDetailsB、顯示過濾器C、捕獲過濾器D、PacketBytes正確答案：AD3、上傳文件后綴檢查，常見的方法有()A、PHPpathinfo()函數B、Js調用selectfile()函數C、PHPaddcslashes()函數D、Getimagesize()函數E、If()條件判斷正確答案：ABE4、計算機網絡主要實現哪些功能？A、資源共享B、通信C、提高可靠性D、協(xié)同工作正確答案：ABCD5、從覆蓋范圍上劃分網絡，有以下哪幾種？A、局域網B、廣域網C、無線網D、城域網正確答案：ABD6、Wireshark統(tǒng)計工具有何作用？A、若數據鏈路層廣播包過多，可能發(fā)生的廣播風暴B、對URL信息進行統(tǒng)計，可能發(fā)現SQL注入信息C、對URL信息進行統(tǒng)計，可能發(fā)現攻擊者上傳的木馬D、可以發(fā)現短時間內的流量增加正確答案：ABCD7、以下關于PHP文件包含函數的說法中，正確的是？A、使用include(),只有代碼執(zhí)行到此函數時才將文件包含進來，發(fā)生錯誤時只警告并繼續(xù)執(zhí)行。B、require_once()功能和require。一樣，區(qū)別在于當重復調用同一文件時，程序只調用一次。C、inclue_once()和include()完全一樣D、使用require(),只要程序執(zhí)行，立即調用此函數包含文件，發(fā)生錯誤時，會輸出錯誤信息并立即終止程序。正確答案：ABD8、國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行哪些安全保護義務：A、法律行政法規(guī)規(guī)定的其他義務B、采取防范計算機病毒和網絡攻擊網絡侵入等危害網絡安全行為的技術措施C、向社會發(fā)布網絡安全風險預警，發(fā)布避免減輕危害的措施D、制定內部安全管理制度和操作規(guī)程，確定網絡安全負責人，落實網絡安全保護責任E、采取監(jiān)測記錄網絡運行狀態(tài)網絡安全事件的技術措施，并按照規(guī)定留存相關的網絡日志不少于六個月F、采取數據分類重要數據備份和加密等措施正確答案：ABDEF9、下面哪些應用使用了UDP協(xié)議承載？A、TFTPB、DNSSMTPSNMP正確答案：ABD10、任何個人和組織有權對危害網絡安全的行為向等部門舉報。A、網信B、工信C、電信D、公安正確答案：ACD11、如何防范命令執(zhí)行漏洞，以下說法正確的是？A、在使用動態(tài)函數之后，確保使用函數是指定函數之一；B、進入執(zhí)行命令函數/方法之前，變量一定要做好過濾對敏感字符進行轉義C、一定要使用系統(tǒng)執(zhí)行命令D、對于PHP語言來說，不能完全控制的危險函數最好不要使用過濾不嚴或被繞過正確答案：ABD12、apache+Linux日志默認路徑是？%SystemDrive%\inetpub\logs\LogFiles/usr/local/nginx/logsC>/var/log/httpd/access_logD、/etc/httpd/logs/access_log正確答案：CD13、信息安全范疇包括下列哪幾個：A、物聯網（IoT）設備成為薄弱環(huán)節(jié)B、計算機安全C、信息本身的安全D、通信安全正確答案：BCD14、上網安全中的兩種公共設備謹慎用，指的是：A、公共手機充電樁B、計算機安全C、物聯網（IoT）設備成為薄弱環(huán)節(jié)D、公共WIFI正確答案：AD15、查看/etc/passwd文件內容，發(fā)現其中一行信息為aroot:x:0:0:root:/root:/bin/bash,以下哪些說法是正確的?A、該用戶的主目錄為/rootB、第2個字段的代表root用戶的密碼為“x”C、該行是root用戶的相關信息D、該用戶的主目錄為/bin/bash正確答案：AC16、請從以下說法中，選擇正確選項？A、iis7配置文件默認目錄C:\Windows\System32\inetsrv\config\applicationllost.configB、window2003+iis6.0日志文件默認放在C:\WIND0WS\system32\Logfilesapache日志默認在/etc/httpd/logs/access」og或index.php?page=/var/log/httpd/access_logD>iis7日志文件默認在%SystemDrive%\inetpub\logs\LogFiles正確答案：ABCD17、關于命令執(zhí)行漏洞的成因，以下說法正確的是？A、代碼層過濾不嚴格B、使用了PHP中的system,exec,shell_exec等函數C、調用第三方組件存在代碼執(zhí)行漏洞D、沒有配置防火墻正確答案：ABC18、Burpsuite中有以下這些組件ProxyScannerC>TargetD>Repeater正確答案：ABCD19、網絡運營者收集使用個人信息，應當遵循的原則，公開收集使用規(guī)則，明示收集使用信息的目的方式和范圍，并經被收集者同意。A、真實B、必要C、正當D、合法正確答案：BCD20、關于Linux目錄文件系統(tǒng)的文件夾，以下哪些說法是正確的？A、/etc/目錄用于存放系統(tǒng)配置文件B、/var/目錄僅用于存放系統(tǒng)產生的日志文件C、/bin/目錄主要存放平時常用的命令D、/tmp/目錄用于存放系統(tǒng)的臨時文件正確答案：ACD21、HTTP協(xié)議請求中不會存在哪個字段User-AgentLast-modifiedSet-cookieD>Location正確答案：BCD22、邏輯漏洞一般出現在哪些地方？A、越權訪問B、密碼找回C、沒有舊密碼或身份驗證的任意密碼修改D、交易支付金額正確答案：ABCD23、Metasploit框架中的模塊都包含哪些模塊類型（）。A、PostB>PayloadsC、EncodersD>NopsE>ExploitsF、AUX正確答案：ABCDEF24、Nmap軟件是一款滲透測試常用的開源軟件，它的主要功能有（）。A、漏洞掃描B、端口掃描C、拓撲發(fā)現D、主機掃描正確答案：ABCD25、KaliLinux滲透系統(tǒng)中的哪些軟件具有密碼破解功能（）。HydraSnifferC^JohnD>Wireshark正確答案：AC26、根據《網絡安全法》的規(guī)定，任何個人和組織（）oA、不得提供專門用于從事侵入網絡干擾網絡正常功能等危害網絡安全活動的程序B、明知他人從事危害網絡安全的活動的，可以為其進行廣告推廣C、不得從事非法侵入他人網絡干擾他人網絡正常功能等危害網絡安全的活動D、明知他人從事危害網絡安全的活動的，不得為其提供技術支持正確答案：ACD27、文件包含漏洞的危害有哪些？A、控制網站B、服務器費用增加C、執(zhí)行任意腳本代碼D、控制整臺服務器正確答案：ACD28、防止口令暴力破解的配置包括（）oA、口令復雜度配置B、口令輸入方式C、登錄失敗鎖定D、口令長度配置正確答案：ACD29、使用00截斷進行文件上傳時，上傳未成功可能的原因是（）A、網頁設置了上傳白名單，在白名單前進行了截斷B、使用GET方式提交，未刪除httpbody中POST內容C、使用GET方法提交，但未修改方法名稱為‘GE『D、使用POST方式提交%00,但并未轉碼E、使用GET方式提交%00,但重復轉碼正確答案：ABDE30、下面關于TCP協(xié)議描述，錯誤的是？A、有重傳機制B、斷開需要3次握手C、有流量控制機制D、工作在網絡層正確答案：BD31、任何個人和組織應當對其使用網絡的行為負責，不得設立用于（）違法犯罪活動的網站通訊群組，不得利用網絡發(fā)布涉及實施詐騙，制作或者銷售違禁物品管制物品以及其他違法犯罪活動的信息。A、制作或者銷售違禁物品B、實施詐騙C、傳授犯罪方法D、制作或者銷售管制物品正確答案：ABCD32、IP地址目前有哪幾種版本？IPV4IPV8IPV6D、IPV5正確答案：AC33、邏輯漏洞中，兩種繞過授權驗證方法為？A、方向越權B、水平越權C、垂直越權D、交叉越權正確答案：BC34、辦公安全威脅包括下列哪幾個：A、移動存儲設備B、公用打印機C、人員弱點D、攝像頭正確答案：ACD35、下列哪個描述的是防范虛構事實的詐騙：A、接到親人被綁架、受傷住院、被扣留拘禁等電話或短信時，一定要冷靜應對，弄清情況，請及時報警B、對于好友QQ、微信、手機發(fā)送過來涉及到借錢、匯款等信息，一定要電話聯系到本人進行確認C、切不可貪圖便宜，與市價相差較大的網絡商品，不要相信。D、通過子女所在學校、單位、同學、朋友聯系，進行核實，確認情況的真實性。正確答案：AD36、Burpsuite中有以下這些組件ScannerProxyC>RepeaterD、Target正確答案：ABCD37、下面哪個代碼是不安全的，可能存在sql注入漏洞()正確答案：答案解析：scorefromtbl_studentwherenamelike'%$name$%'〈/select>)；([B、]>Stmt=connection.prepareStatement(^select*fromarticleswhereuid=？")；stmt,setlnt(138、以下哪幾個特點符合NginxA、良好的并發(fā)性B、低系統(tǒng)資源占用C、比Apache更高的穩(wěn)定性D、高系統(tǒng)資源占用正確答案：ABC39、下列哪個描述是針對防范冒充身份詐騙的：A、不要主動猜測對方是誰B、主動答應對方要求C、確認身份要多問兒個私密問題D、確認真?zhèn)渭皩Ψ缴矸菡鎸嵭哉_答案：ACD40、下面那些層未在TCP/IP中定義？A、表示層B、會話層C、傳輸層D、網絡正確答案：AB41、滲透測試報告一般具有的品質有()。A、簡單明了，直擊要害B、包含漏洞對企業(yè)資產的影響C、通俗易懂B、31C、24D、16正確答案：D7、Cookie的屬性中,Domain是指什么？A、Cookie的名稱B、過期時間C、Cookie的值D、關聯Cookie的域名正確答案：D8、著名的nmap軟件工具不能實現下列哪一項功能？A、端口掃描B、安全漏洞掃描C、whois查詢D、操作系統(tǒng)類型探測正確答案：C9、Metasploit框架中的最核心的功能組件是（）。PayloadsPostC>EncodersD、Exploits正確答案：D10、下列不是網站存在XSS漏洞的原因是（）A、網站對用戶輸入的數據未作過濾B、網站對輸出的數據未做處理C、網站未對用戶下的敏感操作進行二次校驗D、網站存在可供用戶輸入的交互模式正確答案：C11、下列哪個選項不屬于命令執(zhí)行漏洞的危害？A、控制服務器B、由命令執(zhí)行漏洞就能發(fā)現sql注入漏洞C、反彈shellD、繼承Web服務程序的權限去執(zhí)行系統(tǒng)命令或讀寫文件正確答案：BD、給出漏洞修補意見正確答案：ABCD42、下列哪幾條屬于防電信詐騙十條中的守則：A、閉口不談卡號和密碼B、凡是索要短信驗證碼的全是騙子C、手機短信內的鏈接都別點D、釣魚網站要提防正確答案：ACD43、郵件安全防護策略包含下列哪幾個：A、響應事件B、防護郵件C、識別風險D、監(jiān)測攻擊正確答案：ABCD44、以下哪些是繞過IP地址過濾的方法（）A、xip.ioB、短地址C、。D、進制轉換E、@正確答案：ABCDE45、文件包含漏洞的危害有哪些？A、服務器費用增加B、控制整臺服務器C、控制網站D、執(zhí)行任意腳本代碼正確答案：BCD46、包含日志文件getshell時，如何讓日志文件插入PHP代碼?A、以上說法都對B、先getshell,再插入代碼C、curl訪問不存在的urlD、使用burpsuit抓包訪問正確答案：CD47、上網安全中提到的三種鏈接別亂點，指的是：A、來歷不明的二維碼B、公用打印機C、手機短信中的鏈接D、網上測試類正確答案：ACD48、程序員在防止上傳漏洞時，可以采取哪些措施？A、客戶端檢測B、cookie檢測C、服務器端驗證D、實名認證正確答案：AC49、選擇關于Cookie正確的選項A、Cookie是同協(xié)議、同域名、同端口的B、修改Cookie只能用一個同名Cookie將其覆蓋C、同父域的兩個子域名可以通過設置共享CookieD、瀏覽器可以將持續(xù)時間為負數的Cookie保存為文件正確答案：AC50、屬于xss跨站漏洞危害的是()?oA、網站掛馬B、sql數據泄露C、身份盜用D、釣魚欺騙正確答案：ACD12、使用下面哪個函數過濾xss是最好的？addslashes()str_replace()preg_replace()htmlspecialchars()正確答案：D13、alert()函數是用來干什么的？A、打開新頁面B、關閉當前頁面C、彈窗D、重新打開頁面正確答案：C14、TCP/IP模型分幾層？A、4B、5C、7D、6正確答案：A15、禁用windows賬戶AAA的命令是()。netuserAAA/active:nonetuserAAA/active:yesnetAAA/active:nonetAAA/activezyes正確答案：A16、電信詐騙識別公式中的因素不包括下列哪個?A、用電話、網絡、短信等溝通工具見不到真人B、匯款、轉賬要求C、無法確定人物身份D、隱私類正確答案：D17、下列哪一個不屬于信息安全范疇？A、實體安全B、運行安全C、電源安全D、人員安全正確答案：C18、將MAC地址轉換為IP地址的協(xié)議是以下哪種協(xié)議?A、NTPB、ARPRARPD、IP正確答案：C19、httponly可以防御什么？A、中間人攻擊B、Js代碼獲取cookieC、會話憑證預測D、Js代碼獲取網頁內容正確答案：B20、D0M中不存在下面那種節(jié)點A、屬性節(jié)點B、文本節(jié)點C、邏輯節(jié)點D、元素節(jié)點正確答案：C21、以下哪種方法不能執(zhí)行命令()A、system(5whoami，)B、evalCsystem(whoami)9)C、system('eval(whoami)’)system(whoami)正確答案：C22、XSS跨站腳本攻擊劫持用戶會話的原理是？A、讓目標誤認為攻擊者是他要訪問的服務器B、竊取目標cookieC、使目標使用自己構造的cookie登錄D、修改頁面，使目標登錄到假網站正確答案：B23、0SI第四層是哪一層(應用層為第7層)？A、傳輸層B、物理層C、網絡層D、鏈路層正確答案：A24、Metasploit框架中的最核心的功能組件是（）。PostExploitsPayloadsD>Encoders正確答案：B25、下面說法正確的是？A、有一定安全意識的人可以防御一些反射型xssB、https也可以防御xssC、xss攻擊只能進行會話劫持D、一般現在的瀏覽器不帶xss防御功能正確答案：A26、如何防御包含漏洞，以下說法錯誤的是？A、避免由外界制定文件名B、文件名中要包含目錄名C、限制包含的文件范圍D、對于遠程文件包含，設置php.ini配置文件中allow_url_include二off正確答案：B27、下列哪條是產生文件包含漏洞的原因？A、管理員管理不善B、文件來源過濾不嚴并用戶可用C、服務器漏洞D、用戶輸入惡意代碼正確答案：B28、HUB是工作在以下哪一層的設備？A、網絡層B、物理層C、鏈路層D、傳輸層正確答案：B29、下面哪種處理文件上傳的方式不夠妥當（）。A、重命名上傳的文件名稱B、使用單獨的服務器存放上傳的文件C、通過黑名單驗證上傳的文件后綴名稱D、設置上傳目錄不可解析正確答案：C答案解析：黑名單是威脅易繞過的30、關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響（）的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。A、信息安全B、政府安全C、國家安全D、網絡安全正確答案：C31、交換機（非擴展類）是工作在以下哪一層的設備？A、鏈路層B、傳輸層C、物理層D、網絡層正確答案：A32、XSS不能來干什么？DD0SB、劫持用戶會話C、釣魚I）、注入數據庫正確答案：D33、HTTP協(xié)議建立在以下哪一個協(xié)議的基礎上A、FTPB、UDPC、TCPD、SSL正確答案：C34、違反本法第四十四條規(guī)定，竊取或者以其他非法方式獲取非法出售或者非法向他人提供個人信息，尚不構成犯罪的，由公安機關沒收違法所得，并處違法所得（）以上（）以下罰款，沒有違法所得的，處（）以下罰款。A、十倍一百倍一百萬元B、一倍一百倍十萬元C、一倍十倍一百萬元D、五倍一百倍一百萬元正確答案：C35、HS命令執(zhí)行中，我們通常用來測試命令執(zhí)行的payload執(zhí)行結果是?A、shutdownB、開啟遠程桌面連接C、彈出計算器D、反彈shell正確答案：C36、下列關于水平越權的說法中，不正確的是？A、可能會造成大批量數據泄露B、同級別（權限）的用戶或同一角色不同的用戶之間，可以越權訪問、修改或者刪除的非法操作C、水平越權是不同級別之間或不同角色之間的越權D、可能會造成用戶信息被惡意篡改正確答案：C37、點擊Proxy組件中的哪個按鈕將攔截下來的包丟棄A、ActionDropCommandForward正確答案：B38、若一個用戶同時屬于多個用戶組，則其權限適用原則不包括？A、最小權限原則FTPB、拒絕權限超越其他所有權限的