信息安全測試員（高級）職業(yè)技能鑒定備考試題庫-下（多選、判斷題）

PAGEPAGE1信息安全測試員（高級）職業(yè)技能鑒定備考試題庫-下（多選、判斷題匯總）多選題1.電力二次系統(tǒng)安全防護策略包括（）。A、安全分區(qū)B、網絡專用C、橫向隔離D、縱向認證答案：ABCD2.《網絡安全法》第47條規(guī)定，網絡運營者應當加強對其用戶發(fā)布的信息的管理。發(fā)現法律、行政法規(guī)禁止發(fā)布或者傳輸的信息的，應當立即（）。A、停止信息傳輸B、采取消除措施C、防止信息擴散D、記錄并上報主管部門答案：ABCD3.憲法作為國家的根本法，體現出與普通法律不同的特征。下列關于憲法與普通法律的表述錯誤的是（）。A、憲法具有最高法律地位，在司法實踐中具有優(yōu)先適用的效力B、憲法是制定普通法律的依據，任何法律法規(guī)都不得同憲法相抵觸C、憲法的內容不同于普通法律，只涉及社會生活某些重要的方面或領域D、憲法的制定和修改程序比普通法律更為嚴格，需要全國人大代表過半數通過才能生效答案：ACD4.勒索病毒，是一種新型電腦病毒，危害極大，這種病毒利用各種加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。針對勒索病毒的防護策略主要包括下述()?A、重要的資料一定要備份，謹防資料丟失B、強化網絡安全意識，陌生鏈接不點擊，陌生文件不要下載，陌生郵件不要打開C、及時更新Windows安全補丁，開啟防火墻D、安裝殺毒軟件，保持監(jiān)控開啟，定期更新病毒特征庫答案：ABCD5.新型的多功能融合信息網絡包括()。A、計算機網絡B、電視網絡C、移動電話網絡D、有線電話網絡答案：ABCD6.滲透測試服務基本流程含（）？A、測試前期準備B、測試階段實施C、復測階段實施D、成果匯報階段答案：ABCD7.系統(tǒng)正常運行期間，各部門應注意收集各類信息系統(tǒng)突發(fā)事件的應急處置實例，總結經驗和教訓，開展信息系統(tǒng)事件（）的技術研究，加強技術儲備。A、預測B、預防C、預警D、應急處置答案：ABCD8.下列工具能用于信息搜集（）A、sqlmapB、digC、nmapD、arp-scan答案：BCD9.下列情況違反“五禁止”的有（）。A、在信息內網計算機上存儲國家秘密信息B、在信息外網計算機上存儲企業(yè)秘密信息C、在信息內網和信息外網計算機上交叉使用普通優(yōu)盤D、在信息內網和信息外網計算機上交叉使用普通掃描儀答案：ABCD10.以下哪些是XSS漏洞利用的場景()A、盜取合法用戶會話信息B、上傳蠕蟲C、執(zhí)行script代碼D、跳轉到原本不可達的內網地址答案：ABC11.下面哪些是常見的Web應用程序漏洞類型（）？A、跨站腳本攻擊（XSS）B、SQL注入C、帳戶暴力破解D、電子郵件欺騙答案：ABC12.burpSuite的proxy模塊不具備的功能是A、目標爬蟲B、報文抓取C、數據包重放D、暴力破解答案：ACD13.在網絡安全領域，社會工程學常被黑客用于()？A、踩點階段的信息收集B、獲得目標webshellC、組合密碼的爆破D、定位目標真實信息答案：ACD14.以下哪些屬于《網絡安全法》規(guī)定的“負有網絡安全監(jiān)督管理職責的部門及其工作人員：（）A、銀行風險控制部門B、央企合規(guī)部門C、政務網絡運維部門D、上市互聯網公司CIO答案：ABC15.以下哪些是UDPFlood攻擊的方式()A、發(fā)送發(fā)量的UDP小包沖擊應用服務器B、利用Echo等服務形成UDP數據流導致網絡擁塞C、利用UDP服務形成UDP數據流導致網絡擁塞D、發(fā)送錯誤的UDP數據報文導致系統(tǒng)崩潰答案：ABC16.以下哪些內容是網絡運營者的職責？A、制定、完善網絡安全戰(zhàn)略B、遵守法律、行政法規(guī)，履行網絡安全保護義務C、接受政府和社會的監(jiān)督，承擔社會責任。D、保障網絡安全、穩(wěn)定運行，維護網絡數據的完整性、保密性和可用性答案：BCD17.網絡安全事件發(fā)生的風險增大時，省級以上人民政府有關部門應當按照規(guī)定的權限和程序，并根據網絡安全風險的特點和可能造成的危害，采取下列措施：A、要求有關部門、機構和人員及時收集、報告有關信息，加強對網絡安全風險的監(jiān)測B、組織有關部門、機構和專業(yè)人員，對網絡安全風險信息進行分析評估，預測事件發(fā)生的可能性、影響范圍和危害程度C、向社會發(fā)布網絡安全風險預警，發(fā)布避免、減輕危害的措施D、增強個人對網絡安全風險的認識答案：ABC18.網絡運營者為用戶辦理固定電話、移動電話等入網手續(xù)，或者為用戶提供信息發(fā)布、即時通訊等服務，對不提供真實身份信息的用戶提供相關服務的，由有關主管部門責令改正；拒不改正或者情節(jié)嚴重的，可以由有關主管部門責令，()。A、暫停相關業(yè)務B、停業(yè)整頓C、關閉網站D、吊銷相關業(yè)務許可證答案：ABCD19.Web網站常用的請求方法A、GETB、POSTC、PUTD、HEAD答案：ABC20.古今中外成千上萬的英模人物，面對人生道路上的艱難曲折，以堅定的信心在逆境中奮起，最后贏得成功，成為后人學習的榜樣。這啟示我們，對于人生旅途中的逆境，應當采取的正確態(tài)度是()。A、大膽正視，積極應對B、努力創(chuàng)造條件，變不利因素為有利因素C、待時機成熟，順勢利導D、怨天尤人，自暴自棄答案：ABC21.違反《網絡安全法》規(guī)定的，（）的人員，終身不得從事網絡安全管理和網絡運營關鍵崗位的工作A、受到行政處分B、因故意犯罪而受到刑事處罰C、因重大過失而受到刑事處罰D、有大額到期應付債務答案：BC22.如何防范釣魚網站?()A、通過查詢網站備案信息等方式核實網站資質的真?zhèn)蜝、安裝安全防護軟件C、警惕中獎、修改網銀密碼的通知郵件、短信，不輕意點擊未經核實的陌生鏈接D、不在多人共用的電腦上進行金融業(yè)務操作，如網吧等。答案：ABCD23.關于計算機病毒感染能力的說法，下列哪些是正確的()A、能將自身代碼注入到引導區(qū)B、能將自身代碼注入到扇區(qū)中的文件鏡像C、能將自身代碼注入文本文件中并執(zhí)行D、能將自身代碼注入到文檔或模版的宏中代碼答案：ABD24.在下列說法中哪些是正確的?()A、串行通信一般用于近距離傳輸,并行通信用于遠距離傳輸B、串行通信的頻帶利用率比并行通信的高C、串行通信的傳輸速度比并行通信的快D、串行通信可通過通信緩沖區(qū)來進行數據流速匹配答案：BD25.在Web滲透測試中，以下哪些選項描述了遠程文件包含漏洞？A、允許攻擊者執(zhí)行惡意代碼B、可以讀取或包含服務器上的任意文件C、繞過身份驗證獲取更高權限D、攻擊者可以遠程包含其他網站的內容答案：BD26.使用網絡掃描不能獲取()信息A、發(fā)現存活主機、IP地址B、發(fā)現用戶隱私信息C、發(fā)現主機存在的漏洞并利用D、不能發(fā)現開啟的服務類型答案：BCD27.下列屬于應用層安全協議的是A、SecureshellB、超文本傳輸協議C、電子交易安全協議SETD、SSL協議答案：ABC28.當成功通過msf黑進對方系統(tǒng)并獲得system權限后，可以做什么操作（）A、屏幕截圖B、鍵盤記錄C、讀寫文件D、開關機答案：ABC29.網絡運營者開展經營和服務活動，必須（），承擔社會責任。A、遵守法律、行政法規(guī)、尊重社會公德B、接受政府和社會的監(jiān)督C、履行網絡安全保護義務D、遵守商業(yè)道德、誠實信用答案：ABCD30.道德是人類文明的重要組成部分，中華民族傳統(tǒng)美德源遠流長。以下選項中體現了中華民族傳統(tǒng)美德中愛國奉獻、以天下為己任的有（）。A、夙夜在公B、國而忘家、公而忘私C、先天下之憂而憂，后天下之樂而樂D、天下興亡，匹夫有責答案：ABCD31.網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應當依照()，處理其保存的個人信息A、法律的規(guī)定B、行政法規(guī)的規(guī)定C、部門規(guī)章的規(guī)定D、與用戶的約定答案：ABD32.漏洞的生命周期含（）？A、0DayB、1DayC、2DayD、NDay答案：ABD33.下面()說法正確描述了網絡拓撲圖。A、顯示了布線的細節(jié)B、提供了IP編址和計算機名稱信息C、顯示了所有交換機和路由器D、根據主機使用網絡的方式將其編組答案：BD34.下列屬于http協議的特點是A、簡單，快速，靈活B、無連接，無狀態(tài)C、管線化和內容編碼D、HTTP不支持客戶/服務器模式答案：ABD35.任何個人和組織使用網絡應當遵守憲法法律，遵守公共秩序，尊重社會公德，不得危害網絡安全，不得利用網絡從事（）等活動A、危害國家安全、榮譽和利益，煽動顛覆國家政權、推翻社會主義制度B、煽動分裂國家、破壞國家統(tǒng)一，宣揚恐怖主義、極端主義，宣揚民族仇恨C、傳播暴力、淫穢色情信息，編造、傳播虛假信息擾亂經濟秩序和社會秩序D、侵害他人名譽、隱私、知識產權和其他合法權益答案：ABCD36.下面哪些是常見的Web應用程序安全配置問題（）？A、不安全的默認密碼B、未更新的軟件版本C、弱加密算法使用D、沒有訪問控制機制答案：ABCD37.下列滲透測試工具中，不能用于端口掃描的工具是?A、NmapB、sqlmapC、MetasploitD、BurpSuite答案：BCD38.因網絡安全事件，發(fā)生突發(fā)事件或者生產安全事故的，應當依照（）等有關法律、行政法規(guī)的規(guī)定處置。A、《中華人民共和國網絡安全法》B、《中華人民共和國突發(fā)事件應對法》C、《中華人民共和國安全生產法》D、《中華人民共和國應急法》答案：BC39.中華民族具有愛國主義的優(yōu)良傳統(tǒng)，以下選項體現了中華民族愛國主義優(yōu)良傳統(tǒng)中的抵御外來侵略、捍衛(wèi)國家主權的精神的有（）。A、戚繼光抗擊倭寇B、鄭成功收復臺灣C、抗美援朝D、義和團運動答案：ABCD40.以下哪些問題是導致DNS欺騙的原因之一?()A、DNS是一個分布式的系統(tǒng)B、為提高效率，DNS查詢信息在系統(tǒng)中會緩存C、DNS協議傳輸沒有經過加密的數據D、NS協議是缺乏嚴格的認證答案：BCD41.關于命令執(zhí)行漏洞的描述，錯誤的是()A、命令執(zhí)行漏洞僅存在于C/S架構中B、命令執(zhí)行漏洞危害不大C、命令執(zhí)行漏洞與用戶輸入無關D、大多數腳本語言都可以調用操作系統(tǒng)命令答案：ABC42.下列哪些屬于主機抑制？A、系統(tǒng)賬號維護B、提高主機安全級別C、提高主機監(jiān)控級別D、關閉主機答案：ABC43.以下哪些方法可以有效提高WLAN的安全性？()A、修改默認的服務區(qū)標識符SSIDB、禁止SSID廣播C、啟用終端與AP間的雙向認證D、啟用無線AP的開放認證模式答案：ABC44.依法負有網絡安全監(jiān)督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息、隱私和商業(yè)秘密嚴格保密，不得()。A、泄露B、毀損C、出售D、非法向他人提供答案：ACD45.以下哪些選項描述了命令注入和代碼執(zhí)行漏洞()?A、允許攻擊者執(zhí)行惡意代碼B、可以讀取或包含服務器上的任意文件C、繞過身份驗證獲取更高權限D、攻擊者可以通過注入惡意命令或代碼來執(zhí)行任意操作答案：AD46.任何個人和組織應當對其使用網絡的行為負責，不得設立用于實施詐騙，傳授犯罪方法，()等違法犯罪活動的網站、通訊群組。A、傳授養(yǎng)身秘訣B、制作或者銷售圖書C、制作或者銷售違禁物品D、制作或者銷售管制物品答案：CD47.WAF不具備的功能()A、病毒查殺B、web應用防護系統(tǒng)C、應用層協議流量過濾D、網絡層防護答案：ACD48.網絡運營者具有下列安全保護義務：()。A、制定內部安全管理制度和操作規(guī)程B、采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施。C、采取監(jiān)測、記錄網絡運行狀態(tài)、網絡安全事件的技術措施。D、采取數據分類、重要數據備份和加密等措施答案：ABCD49.在Web滲透測試中，以下哪些技術可以用于發(fā)現目標網站的隱藏URL？()A、爬蟲B、目錄枚舉C、弱口令破解D、數據庫注入答案：AB50.國務院和省、自治區(qū)、直轄市人民政府應當統(tǒng)籌規(guī)劃，加大投入，()，保護網絡技術知識產權。A、扶持重點網絡安全技術產業(yè)和項目B、支持網絡安全技術的研究開發(fā)和應用C、組織網絡安全重要設施生產D、推廣安全可信的網絡產品和服務答案：ABD51.網絡運營者應當按照網絡安全等級保護制度的要求，履行（）安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。A、采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施B、采取數據分類、重要數據備份和加密等措施C、采取監(jiān)測、記錄網絡運行狀態(tài)、網絡安全事件的技術措施，并按照規(guī)定留存相關的網絡日志不少于六個月D、制定內部安全管理制度和操作規(guī)程，確定網絡安全負責人，落實網絡安全保護責任答案：ABCD52.滲透測試的主要階段包括()?A、確認目標B、端口掃描C、漏洞利用D、報告編寫答案：ABCD53.以下專業(yè)名詞解釋，正確的一項是（）？A、后門：一種形象的比喻，入侵者在利用某些方法成功的控制了目標主機后，可以在對方的系統(tǒng)中植入特定的程序，或者是修改某些設置，用于訪問、查看或者控制這臺主機B、弱口令：指強度不夠，容易被猜解的，類似123，abc這樣的口令（密碼）C、暴力破解：簡稱“爆破”。黑客對系統(tǒng)中賬號的每一個可能的密碼進行高度密集的自動搜索，從而破壞安全并獲得對計算機的訪問權限D、社會工程學：一種無需依托任何黑客軟件，更注重研究人性弱點的黑客手法正在興起，這就是社會工程學黑客技術答案：ABCD54.網絡運營者為用戶()，在與用戶簽訂協議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網絡運營者不得為其提供相關服務。A、辦理網絡接入、域名注冊服務B、辦理固定電話入網手續(xù)C、辦移動電話入網手續(xù)D、提供信息發(fā)布服務答案：ABCD55.任何個人和組織有權對危害網絡安全的行為向（）等部門舉報。收到舉報的部門應當及時依法作出處理，不屬于本部門職責的，應當及時移送有權處理的部門。A、安監(jiān)B、公安C、網信D、電信答案：BCD56.任何個人和組織有權對危害網絡安全的行為向（）等部門舉報。A、全國人大B、網信C、電信D、公安答案：BCD57.下列關于網絡安全法的說法錯誤的有（）。A、國家規(guī)定關鍵信息基礎設施以外的網絡運營者必須參與關鍵信息基礎設施保護體系。B、樞紐信息基礎辦法的運營者可自行采購網絡產品和服務不通過安全審查。C、網絡運營者應當加強對其用戶發(fā)布的信息的管理，發(fā)現法律、行政法規(guī)禁止發(fā)布或者傳輸的信息的，應當立即向上級匯報。D、國家網信部門應當統(tǒng)籌協調有關部門加強網絡安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網絡安全監(jiān)測預警信息。答案：AB58.微機的總線有()。A、地址總線B、通信總線C、數據總線D、控制總線答案：ACD59.公鑰密碼的應用包括以下哪些選項?()A、數字簽名B、非安全信道的密鑰交換C、消息認證碼D、身份認證答案：ABD60.網絡運營者不履行“制定內部安全管理制度和操作規(guī)程，確定網絡安全負責人，落實網絡安全保護責任”義務的，由有關主管部門責令改正，給予警告；()，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。A、拒不改正B、導致危害網絡安全等后果C、情節(jié)嚴重的D、情節(jié)特別嚴重的答案：AB61.由于TCP/IP協議的缺陷，可能導致的風險有A、拒絕服務攻擊B、順序號預測攻擊C、物理層攻擊D、TCP協議劫持入侵答案：ABD62.在Web滲透測試中，以下哪些選項描述了跨站腳本攻擊（XSS）？A、將惡意代碼注入到網站中B、繞過身份驗證獲取更高權限C、竊取用戶的敏感信息D、修改網站內容答案：AC63.從網站開發(fā)的角度來講，防護暴力破解攻擊的方法有()?A、有效的監(jiān)控并分析流量B、不允許普通用戶登錄C、限制用戶登錄的次數D、在多次密碼錯誤后限制登錄答案：ACD64.網絡運營者，是指（）A、網絡運維者B、網絡所有者C、網絡服務提供者D、網絡管理者答案：BCD65.信息系統(tǒng)遭受蠕蟲病毒爆發(fā)時，網絡安全事件專項應急預案應急響應流程包括（）。A、事故確認B、隔離主機C、殺毒清理D、分析取證E、恢復運行答案：ABCDE66.關鍵信息基礎設施的運營者違反《網絡安全法》規(guī)定，在境外存儲網絡數據，或者向境外提供網絡數據的，由有關主管部門責令改正，給予警告，沒收違法所得，處五萬元以上五十萬元以下罰款，并可以責令（）；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。A、暫停相關業(yè)務B、停業(yè)整頓C、關閉網站D、吊銷相關業(yè)務許可證答案：ABCD67.當CSRF存在Token驗證以后，以下哪些不是其能配合的漏洞A、XXEB、SQL注入C、代碼執(zhí)行D、XSS答案：ABC68.網絡產品、服務應當符合相關國家標準的強制性要求。網絡產品、服務的提供者（）A、不得設置惡意程序B、發(fā)現其網絡產品、服務存在安全缺陷、漏洞等風險時,應當立即采取補救措施,按照規(guī)定及時告知用戶并向有關主管部門報告C、應當為其產品、服務持續(xù)提供安全維護;在規(guī)定或者當事人約定的期限內,不得終止提供安全維護D、網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同意E、涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規(guī)關于個人信息保護的規(guī)定答案：ABCDE69.對以下那些字符進行轉換，無法過濾XSS攻擊A、^B、#%C、<>D、&=答案：ABD70.以下哪些步驟通常包括在漏洞利用階段中？()A、滲透測試報告編寫B(tài)、身份驗證繞過C、命令執(zhí)行D、確認目標答案：BC71.以下哪些違法行為可以“對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款”？（）A、違法向境外提供重要數據B、從事數據交易中介服務的機構提供服務，未要求數據提供方說明數據來源，或未審核交易雙方的身份，或未留存審核、交易記錄C、不配合公安、國安機關因依法維護國家安全或者偵查犯罪的需要調取數據D、泄露經匿名化處理的公民個人信息答案：ABC72.建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能，并保證安全技術措施（）。A、同步修改B、同步使用C、同步規(guī)劃D、同步建設答案：BCD73.人民代表大會制度是我國的根本政治制度，具有廣泛的優(yōu)越性，主要體現在（）。A、人民代表大會制度便于人民參加國家管理，充分保障了人民當家作主的主人翁地位B、人民代表大會制度有力地保障了各民族團結互助的平等關系C、人民代表大會制度全面體現了我國人民民主專政的國家性質D、人民代表大會制度保證了國家機關的高效協調運轉答案：ABCD74.信息系統(tǒng)歸口管理部門按照職責分工，負責各信息系統(tǒng)的網絡安全事件的（）工作。A、預防B、監(jiān)測C、報告D、應急處置答案：ABCD75.Session與Cookie的區(qū)別，說法正確的是A、Cookie的數據保存在客戶端瀏覽器，Session保存在服務器B、服務端保存狀態(tài)機制需要在客戶端做標記，Session可能借助Cookie機制C、ookie通常用于客戶端，保存用戶的登錄狀態(tài)D、Cookie能保存用戶的敏感信息答案：ABC76.未按國家有關規(guī)定向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息的，可以由有關主管部門責令改正，給予警告；拒不改正或者情節(jié)嚴重的，可以由有關主管部門責令，()。A、暫停相關業(yè)務B、停業(yè)整頓C、關閉網站D、吊銷營業(yè)執(zhí)照答案：ABCD77.要組建一個快速以太網，需要的基本硬件設備與材料包括（）。A、100BASE-T交換機B、100BASE-T網卡C、路由器D、雙絞線或光纜答案：ABD78.下列屬于密碼破解的方式A、密碼學分析B、撞庫C、暴力破解D、字典破解答案：ACD79.以下方法中存在命令執(zhí)行漏洞的是A、stringshell_exec(string$cmd)B、stringshell_exec(string$cmd)C、voidpassthru(string$command[,int&$return_var])D、stringescapeshellarg(string$arg)答案：ABC80.建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能，并保證安全技術措施（）。A、同步規(guī)劃B、同步建設C、同步投運D、同步使用答案：ABD81.日常做()可以有效保護個人隱私?A、不連接或者少鏈接公共WI-FI，優(yōu)先使用個人熱點B、定期清理瀏覽器緩存C、不隨意點擊未知鏈接D、海投簡歷時注意鑒別正經公司答案：ABCD82.下列描述中，關于摘要算法描述錯誤的是()A、消息摘要算法的主要特征是運算過程不需要密鑰，只有輸入相同的明文數據經過相同的消息摘要算法才能得到相同的摘要。B、消息摘要算法將一個隨機長度的消息生成一個固定長度的信息摘要C、為了保證消息摘要算法安全，必須保證其密鑰不被攻擊方獲取，否則所加密的數據將被破解，造成信息泄密。D、消息摘要算法的一個特點是：輸入任何微小的變動都將引起加密結果的很大改變。答案：ABD83.關于WannaCry勒索病毒，下列描述錯誤的是()?A、可以隨意下載并打開郵件中的附件B、只安裝殺毒軟件就可以讓電腦不受黑客和病毒的入侵C、一旦受到感染，馬上將受感染的電腦從網絡上及外置存儲設備裝置隔離D、定期更新系統(tǒng)補丁并安裝殺毒軟件，可以提高計算機的安全性答案：AB84.常見的滲透突破的方法包括()？A、U盤拷貝B、電子郵件C、網站掛馬D、即時通訊答案：BCD85.關于命令執(zhí)行漏洞與代碼執(zhí)行漏洞，描述錯誤的是()A、命令執(zhí)行漏洞與代碼執(zhí)行漏洞一樣B、命令執(zhí)行漏洞與代碼執(zhí)行漏洞毫無關聯C、命令執(zhí)行漏洞直接調用操作系統(tǒng)命令，也可叫做OS命令執(zhí)行D、代碼執(zhí)行漏洞是靠操作系統(tǒng)命令調用腳本代碼命令答案：ABD86.國家網信部門和有關部門依法履行網絡信息安全監(jiān)督管理職責，發(fā)現法律、行政法規(guī)禁止發(fā)布或者傳輸的信息的，應當()。A、要求網絡運營者停止傳輸B、采取消除等處置措施C、保存有關記錄D、向有關部門報告答案：ABC87.以下哪些漏洞類型可能導致服務器遠程執(zhí)行惡意代碼？A、RCE漏洞B、XSS漏洞C、SRF漏洞D、文件包含漏洞答案：AD88.以下可以防范口令攻擊的是()A、設置的口令要盡量復雜些，最好由字母、數字、特殊字符混合組成B、在輸入口令時應確認無他人在身邊C、定期改變口令D、選擇一個安全性強復雜度高的口令，所有系統(tǒng)都使用其作為認證手段答案：ABCD89.除《網絡安全法》第二十一條的規(guī)定外，關鍵信息基礎設施的運營者還應當履行下列安全保護義務：A、設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查；B、定期對從業(yè)人員進行網絡安全教育、技術培訓和技能考核；C、對重要系統(tǒng)和數據庫進行容災備份；D、制定網絡安全事件應急預案，并定期進行演練；E、法律、行政法規(guī)規(guī)定的其他義務。答案：ABCDE90.以下關于DDOS攻擊的描述，下列哪些是正確的?A、無需侵入受攻擊的系統(tǒng)，即可導致系統(tǒng)癱瘓B、以竊取目標系統(tǒng)上的機密信息為目的C、導致目標系統(tǒng)無法處理正常用戶的請求D、如果目標系統(tǒng)沒有漏洞，遠程攻擊就不可能成功答案：AC91.網絡運營者為用戶辦理()，對不提供真實身份信息的用戶提供相關服務的，由有關主管部門責令改正。A、固定電話入網手續(xù)B、移動電話等入網手續(xù)C、提供信息發(fā)布服務D、提供即時通訊服務答案：ABCD92.《網絡安全法》要求維護網絡數據的哪些屬性:（）。A、完整性B、保密性C、可用性D、可信性答案：ABC93.以下選項中，（）不屬于網絡安全滲透測試工具的是A、wiresharkB、urpsuiteC、tracertD、traceroute答案：CD94.對于使用HTTPReferer驗證防御方法，以下哪些是可以繞過()A、修改攻擊者頁面文件名為請求服務器地址B、修改攻擊者url路徑中含有請求服務器地址C、Referer字段值為空D、無Referer字段答案：ABD95.下列屬于惡意代碼的是()A、病毒B、后門C、邏輯炸彈D、爬蟲答案：ABC96.網絡運營者為用戶辦理網絡接入、域名注冊服務，對不提供真實身份信息的用戶提供相關服務的，由有關主管部門責令改正；拒不改正或者情節(jié)嚴重的，可以由有關主管部門責令，()。A、暫停相關業(yè)務B、停業(yè)整頓C、關閉網站D、吊銷相關業(yè)務許可證答案：ABCD97.網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務：()。A、制定內部安全管理制度和操作規(guī)程，確定網絡安全負責人，落實網絡安全保護責任B、采取監(jiān)測、記錄網絡運行狀態(tài)、網絡安全事件的技術措施，并按照規(guī)定留存相關的網絡日志不少于六個月C、采取數據分類、重要數據備份和加密等措施D、采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施答案：ABCD98.網絡的配置主要是安裝和配置了()。A、用戶B、IP地址C、網卡D、協議答案：CD99.關于網絡安全技術學習相關方式，以下說法正確的是（）?A、出于學習的角度，可以未經許可對某網站進行滲透測試B、可搭建虛擬仿真環(huán)境來學習一些入侵與防御的技術C、可以參加一些技術學習類比賽來鍛煉自己的能力D、可以學習基礎知識的同時，關注一些安全事件，分析問題原因答案：BCD100.下列屬于web服務端開發(fā)語言的是?A、HTMLB、phpC、netD、java答案：BCD101.重大安全事件發(fā)生時，企管部應及時上報至（）。A、運營公司領導B、集團信息中心C、集團網絡安全D、信息化領導小組答案：AB102.國家建立集中統(tǒng)一、高效權威的數據安全風險評估、（）、（）、監(jiān)測預警機制。A、報告B、信息共享C、分析D、研判答案：AB103.以下一句話木馬有錯誤的是（）A、<?eval($_GET["code"])?>B、<?php($_GET["code"])?>C、<?phpeval($_GET["code"])?>D、答案：ABD104.法治思維是以法治的固有特性和對法治的信仰為基礎的思維模式，下列關于法治思維的表述中，正確的是()。A、法治思維是一種法本位思維B、法治思維是一種正當性思維C、法治思維是一種符合邏輯的思維D、法治思維是一種科學思維答案：ABCD105.下列哪些屬于物理抑制？A、關閉主機B、切斷網絡連接C、提高物理安全級別D、環(huán)境安全抑制答案：ABCD106.以下對滲透測試基本原則解釋正確的是（）？A、保護：不因自己的行為導致用戶正常業(yè)務受損；B、保密：角色決定認知，為用戶保密是本份；C、保證：所學所用，皆為提升用戶安全防護水平，為用戶信息系統(tǒng)持續(xù)運行和創(chuàng)造價值保駕護航；D、保存：明確那些因業(yè)務過程而產生的數據和信息是否應該保存；答案：BD107.較大安全事件發(fā)生時，企管部應及時上報至（）。A、運營公司領導B、集團信息中心C、安全工作組D、安全監(jiān)察部答案：ACD108.下列關于計算機網絡的說法正確的是(）。A、網絡中，通信線路可以是雙絞線、同軸電纜、光纖、無線電和通信衛(wèi)星等B、網絡連接設備有調制解調器、網卡、集線器、網橋、路由器交換機等C、計算機網絡系統(tǒng)可以在一座建筑物、一座城市內，也可以在-個省，甚至全球D、計算機網絡中，計算機之間的連接可用導線、光纖、通信衛(wèi)星但不能用微波答案：ABC109.網絡運營者應當制定網絡安全事件應急預案，及時處置（）等安全風險；在發(fā)生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規(guī)定向有關主管部門報告。A、系統(tǒng)漏洞B、計算機病毒C、網絡攻擊D、網絡侵入E、密碼泄露答案：ABCD110.AES在抵抗差分密碼分析及線性密碼分析的能力比DES更有效，已經替代DES成為新的數據加密標準。其算法的信息塊長度和加密密鑰是可變的，以下哪些是其可能得密鑰長度()A、64bitB、128bitC、192bitD、256bit答案：BCD111.有關HTTP協議的說法，正確的是A、HTTP是一種無狀態(tài)的協議B、HTTP請求只能由客戶端發(fā)起，而服務器不能主動向客戶端發(fā)送數據。C、HTTP的無狀態(tài)性簡化了服務器的設計，使其更容易支持大量并發(fā)的HTTP請求D、在服務器端保留連接的有關信息，可以記住客戶端的信息答案：ABC112.網絡安全事件應急預案應當按照事件發(fā)生后的（）等因素對網絡安全事件進行分級。A、危害程度B、影響規(guī)模C、變亂等級D、關注程度答案：AB113.CSRF攻擊防范的方法有?A、使用隨機TokenB、校驗refererC、過濾文件類型D、限制請求頻率答案：AB114.在下列說法中哪些是正確的?()A、虛電路與電路交換中的電路沒有實質不同B、在通信的兩站間只能建立一條虛電路C、虛電路也有連接建立、數據傳輸、連接拆除三個階段D、虛電路的各個結點不需要為每個分組做路徑選擇判斷答案：CD115.下列有關URL，說法正確的是A、URL叫統(tǒng)一資源定位器，可以用來標識一個資源，還指明了如何定位這個資源。B、URL的基本格式：協議類型:[//服務器地址[:端口號]][/資源層級UNIX文件路徑]文件名[?查詢][#片段ID]C、輸入,瀏覽器不會自動轉換成D、協議類型有：ftp,http,https答案：ABD116.下列傳輸介質中，可以在局域網中使用的是()A、雙絞線B、同軸電纜C、光纜D、無線介質答案：ABCD117.中國式現代化，是中國共產黨領導的社會主義現代化，既有各國現代化的共同特征，更有基于自己國情的中國特色。以下選項中關于中國式現代化表述正確的有（）。A、中國式現代化是全體人民共同富裕的現代化B、中國式現代化是物質文明和精神文明相協調的現代化C、中國式現代化是人與自然和諧共生的現代化D、中國式現代化是走和平發(fā)展道路的現代化答案：ABCD118.滲透測試中，以下哪些步驟通常發(fā)生在信息收集階段之后？A、漏洞掃描B、社交工程攻擊C、滲透攻擊D、報告編寫答案：AB119.關于WAF，說法正確的是()A、WAF可防止SQL注入攻擊B、WAF可防止XSS攻擊C、WAF可防止非法連接攻擊D、WAF能防止針對服務器缺陷的攻擊答案：ACD120.常見漏洞危害等級含（）？A、緊急漏洞B、高危漏洞C、中危漏洞D、低危漏洞答案：ABCD121.網絡安全,是指通過采取必要措施,防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網絡處于穩(wěn)定可靠運行的狀態(tài),以及保障網絡數據的（）的能力。A、真實性B、完整性C、保密性D、可用性答案：BCD122.在信息收集時，與域名有關的信息有（）？A、子域名B、CDNC、IPD、域名備案信息答案：ABCD123.根據某數據顯示，目前只有5%的公司數據庫得到妥善保護，由此可見，數據存儲安全現在已成為企業(yè)的重中之重，以下哪些選項的做法可以加強數據安全（）？A、限制員工使用可移動存儲設備B、通過實施強身份驗證機制（例如多因素身份驗證）和使用最小特權訪問模型C、實施強大的數據存儲安全策略D、監(jiān)視用戶數據訪問控制答案：ABCD124.以下哪些技術可以幫助繞過WAF（Web應用防火墻）檢測？()A、編碼技術B、字典破解C、HTTP方法欺騙D、零寬空格答案：AB125.下面()屬于網絡應用。A、證券交易系統(tǒng)B、遠程醫(yī)療C、信息處理系統(tǒng)D、電子圖書答案：ABCD126.根據《網絡安全法》的規(guī)定，任何個人和組織（）。A、明知他人從事危害網絡安全的活動的，不得為其提供技術支持B、不得從事非法侵入他人網絡、干擾他人網絡正常功能等危害網絡安全的活動C、不得提供專門用于從事侵入網絡、干擾網絡正常功能等危害網絡安全活動的程序D、明知他人從事危害網絡安全的活動的，可以為其進行廣告推廣答案：ABC127.信息收集的內容一般有（）？A、域名信息收集B、Web應用框架信息收集C、第三方平臺泄露信息收集D、主機信息收集答案：ABCD128.網絡運營者為用戶（），在與用戶簽訂協議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網絡運營者不得為其提供相關服務。A、為用戶提供信息發(fā)布、即時通訊等服務B、辦理監(jiān)聽業(yè)務C、辦理固定電話、移動電話等入網手續(xù)D、辦理網絡接入、域名注冊服務答案：ACD129.php://filter/read=convert.base64-encode/resource=./././././etc/passwd，PHP頁面存在文件包含漏洞，上述Payload獲取不到哪些信息A、Linux系統(tǒng)中所有的用戶名B、Windows系統(tǒng)中所有的用戶名C、系統(tǒng)中用戶組信息D、用戶密碼答案：BCD130.建設、運營網絡或者通過網絡提供服務，應當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網絡安全、穩(wěn)定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數據的（）。A、可用性B、完整性C、技術性D、保密性答案：ABD131.網絡安全事件發(fā)生的風險增大時，省級以上人民政府有關部門應當按照規(guī)定的權限和程序，并根據網絡安全風險的特點和可能造成的危害，采取下列措施：()。A、要求有關部門、機構和人員及時收集、報告有關信息，加強對網絡安全風險的監(jiān)測。B、組織有關部門、機構和專業(yè)人員，對網絡安全風險信息進行分析評估，預測事件發(fā)生的可能性、影響范圍和危害程度。C、向社會發(fā)布網絡安全風險預警，發(fā)布避免、減輕危害的措施。D、向有關部門報告。答案：ABC132.關于HTML事件的敘述，正確的是()A、onkeyup松開鍵盤執(zhí)行腳本B、onclick鼠標點擊執(zhí)行腳本C、onerror當錯誤時執(zhí)行腳本D、onkeypress當按下鍵盤執(zhí)行腳本答案：ABC133.網絡安全攻擊的主要表現方式有()。A、中斷B、截獲C、篡改D、偽造答案：ABCD134.set是一個以信用卡支付為基礎的網上電子支付協議，在set(安全電子交易)協議中的安全措施有()。A、加密技術B、數字簽名技術C、電子論證D、電子信封答案：ABCD135.法律權威是指法律在社會生活中的作用力、影響力和公信力，是法律應有的尊嚴和生命。下列關于法律權威的表述中，錯誤的是（）。A、法律權威只能源自法律的外在強制力B、法律權威意味著法律是人們行為規(guī)范的唯一準則C、法律權威意味著社會主體的一切行為都要以法律為最高權威D、法律權威并不排斥政策、道德和習慣在一定情形下取代法律答案：ABD136.PPDR模型包括以下哪些選項?()A、策略B、檢測C、響應D、加密答案：ABC137.文件包含漏洞的一般特征有A、?page=a.phpB、?home=a.htmlC、?file=contentD、?id=1’答案：ABC138.關于IP協議，以下()是正確的。A、IP協議規(guī)定了IP地址的具體格式B、IP協議規(guī)定了IP地址與其域名的對應關系C、IP協議規(guī)定了IP數據報的具體格式D、IP協議規(guī)定了IP數據報分片和重組原則答案：ABC139.在Web滲透測試過程中，以下哪些技術可能用于獲取目標網站的敏感信息？()A、SQL注入B、XSS攻擊C、域名解析D、文件上傳漏洞答案：AB140.以下哪些常用防御CSRF的方法（）A、驗證HTTPReferer字段B、token驗證C、HTTP頭自定義屬性D、User-Agent驗證答案：ABC141.國家采取措施，（）來源于中華人民共和國境內外的網絡安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞。A、監(jiān)測B、防御C、處置D、隔離答案：ABC142.下列哪些不是虛擬專用網絡VPN的安全功能?()A、驗證訪問控制和密碼B、隧道，防火墻和撥號C、加密，鑒別和密鑰管理D、壓縮，解密和密碼答案：ABD143.以下哪個是常用的XSS繞過編碼（）A、JS編碼B、URL編碼C、HTML實體編碼D、PYTHON編碼答案：ABC144.任何個人和組織應當對其使用網絡的行為負責，不得設立用于（）違法犯罪活動的網站、通訊群組，不得利用網絡發(fā)布涉及實施詐騙，制作或者銷售違禁物品、管制物品以及其他違法犯罪活動的信息A、傳授犯罪方法B、實施詐騙C、制作或者銷售違禁物品D、制作或者銷售管制物品答案：ABCD145.作為安全人員，在日常的工作中應該怎么做？A、遵紀守法堅守道德底線B、打法律的插邊球C、提高自己技術水平讓別人抓不到證據D、不對非授權網站進行滲透測試答案：AD146.在進行Web應用程序滲透測試時，以下哪些技術可以幫助發(fā)現目標網站的弱口令？A、字典破解B、社會工程學攻擊C、SQL注入D、XSS攻擊答案：AB147.根據《網絡安全法》的規(guī)定，國務院和省、自治區(qū)、直轄市人民政府應當統(tǒng)籌規(guī)劃，加大投入，扶持重點網絡安全技術產業(yè)和項目，（）。A、支持網絡安全技術的研究開發(fā)和應用B、保護網絡技術知識產權C、支持企業(yè)、研究機構和高等學校等參與國家網絡安全技術創(chuàng)新項目D、推廣安全可信的網絡產品和服務答案：ABCD148.完整性機制不可以防范以下哪些攻擊?()A、假冒源地址或用戶的地址的欺騙攻擊B、抵賴做過信息的遞交行為C、數據傳輸中被竊聽獲取D、數據傳輸中被篡改或破壞答案：ABC149.關于密鑰管理，下列說法正確的是()?A、保密通信過程，通信使用之前用過的會話密鑰建立會話，不影響通信安全B、科克霍夫原則指出算法的安全性不應基于算法的保密，而應基于密鑰的安全性C、密鑰管理需要考慮密產生、存儲、備份、分配、更新、撤銷等生命周期過程的每一個環(huán)節(jié)D、在網絡通信中，通信雙方可利用Diffie-Hellman協議協商出會話密鑰答案：BCD150.下面()是對等網的優(yōu)點A、易于組建B、易于擴展C、尖端的安全功能D、價格便宜答案：AD151.Internet中包含的網絡類型包括（）A、局城網B、城域網C、廣域網D、無線網絡答案：ABC152.以下哪個端口屬于常見數據庫的默認端口（）？A、1433B、1521C、5432D、27017答案：ABCD153.針對暴力_攻擊，網站后臺常用的安全防護措施有哪些（）?A、拒絕多次錯誤登錄請求B、修改默認的后臺用戶名C、檢測cookiereferer的值D、過濾特殊字符串答案：AB154.服務集(SSID)是()。A、標示無線設備所屬的WLANB、包含32個字符C、負責確定信號強度D、同一WLAN的所有無線設備必須具有相同的SSID答案：AD155.應急抑制分為哪幾個層次的工作內容？（）A、物理抑制B、網絡抑制C、主機抑制D、應用抑制答案：ABCD156.一般安全事件發(fā)生時，企管部應及時上報至（）。A、運營公司領導B、集團信息中心C、安全工作組D、安全監(jiān)察部答案：CD157.國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，()。A、保障網絡免受干擾、破壞B、保障網絡免受未經授權的訪問C、防止網絡數據泄露D、防止網絡數據被竊取答案：ABCD158.以下屬于物理層設備的是()A、集線器B、路由器C、網橋D、中繼器答案：AD159.國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害（）的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。A、國家安全B、國計民生C、網速D、公共利益答案：ABD160.下列關于信息安全漏洞的描述，哪些是正確的()A、漏洞是存在于信息系統(tǒng)的某種缺陷。B、漏洞存在于一定的環(huán)境中，寄生在一定的客體上。C、具有可利用性和違規(guī)性，它本身的存在雖不會造成破壞，但是可以被攻擊者利用，從而給信息系統(tǒng)安全帶來威脅和損失。D、漏洞都是認為故意引入的一種信息系統(tǒng)的弱點。答案：ABC161.關于PHP文件包含函數描述正確的是()A、include()函數找不到被包含文件時會產生警告，并停止腳本B、require()函數找不到被包含文件時會產生致命錯誤，并停止腳本C、include_once()函數如果文件代碼已經被包含則不會再次包含D、require_once()函數如果文件代碼已經被包含則不會再次包含答案：BCD162.法律關系屬于社會關系，表現為人與人之間的關系，下列關于法律關系的表述，正確的是()。A、法律關系是以法律規(guī)范為基礎形成的社會關系B、法律關系是法律主體之間的社會關系C、法律關系是以權利和義務為內容的社會關系D、法律關系是規(guī)范友誼、愛情等的社會關系答案：ABC163.網絡運營者收集、使用個人信息，應當遵循()的原則A、合法B、合理C、正當D、必要答案：ACD164.網絡運營者不履行“制定網絡安全事件應急預案”義務的，由有關主管部門責令改正，給予警告；()，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。A、情節(jié)嚴重的B、拒不改正C、情節(jié)特別嚴重的D、導致危害網絡安全等后果答案：BD165.下列關于網絡信息安全說法正確的有（）。A、網絡運營者應當對其收集的用戶信息嚴格保密B、網絡運營者應妥帖管理用戶信息，無需建立用戶信息保護制度C、網絡運營者不得泄露、篡改、毀損其收集的小我信息D、在經過處理無法識別特定個人且不能復原的情況下，未經被收集者同意，網絡運營者不得向他人提供個人信息。答案：AC166.下面sql語句解釋正確的是A、SELECT-從數據庫表中獲取數據B、UPDATE-更新數據庫表中的數據C、DELETE-從數據庫表中刪除數據D、INSERTINTO-向數據庫中插入數據答案：ABC167.千兆以太網和百兆以太網的共同特點是()。A、相同的數據格式B、相同的物理層實現技術C、相同的組網方法D、相同的介質訪問控制方法答案：ACD168.在windows中，關于對話框敘述正確的是()。A、對話框不能改變形狀大小B、對話框沒有最大化按扭C、對話框沒有最小化按扭D、對話框不能移動答案：ABC169.某單位信息內網的一臺計算機上一份重要文件泄密，但從該計算機上無法獲得泄密細節(jié)和線索，可能的原因是（）。A、該計算機未開啟審計功能B、該計算機審計日志未放置專人進行維護C、該計算機感染了木馬D、該計算機存在系統(tǒng)漏洞答案：ABCD170.在php語言中，以下函數可以包含文件?A、include()B、require()C、import()D、require_once()答案：ABD171.在Web滲透測試中，以下哪些步驟通常包括在信息收集階段中？()A、網站掃描B、反彈shellC、漏洞利用D、目錄和文件枚舉答案：AD172.未按國家有關規(guī)定向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息的，由有關主管部門()。A、給予提醒B、責令改正C、給予警告D、給予批評答案：BC173.信息安全“三個不發(fā)生”是指（）。A、確保不發(fā)生大面積信息系統(tǒng)故障停運事故B、確保不發(fā)生惡性信息泄密事故C、確保不發(fā)生信息外網網站被惡意篡改事故D、確保不發(fā)生信息內網非法外聯事故答案：ABC174.以下哪些拒絕服務攻擊方式是流量型拒絕服務攻擊？()A、LandB、UDPFloodC、SmurfD、Teardrop答案：ABC175.拒絕服務攻擊導致的危害中，以下哪些說法是正確的()A、網絡帶寬被耗盡，網絡被堵塞，無法訪問網絡B、主機資源被耗盡，主機無法響應請求C、應用資源被耗盡，應用無法響應請求D、應用系統(tǒng)被破壞，應用無法響應請求答案：ABC176.GET與POST方法區(qū)別，說法正確的是：A、在客戶端，Get方式在通過URL提交數據，數據在URL中可以看到；POST方式，數據放置在HTML文件頭中發(fā)送給服務器。B、對于get方式，服務器端用Request.QueryString獲取變量的值，對于post方式，服務器端用Request.Form獲取提交的數據。C、GET方式提交的數據大小有限制，而POST則沒有此限制D、POST方式提交數據，會帶來安全問題，而GET不會答案：ABC177.無數事實說明，人有了明確的理想，才能在人生的追求上不斷去攀登，最大限度地實現人生價值；人若沒有明確的理想，就會像沒有舵的小船，在生活的大海中迷失方向，甚至擱淺觸礁。這就是說（）。A、理想是人生的奮斗目標B、理想是人生前進的動力C、理想是人生的精神支柱D、理想是人們的主觀意志和想當然答案：ABC178.數據庫管理員對站點操作的權限一般為（）。A、增(Create)B、刪(Retrieve)C、刪(Retrieve)D、改(Delete)答案：ABCD179.以下哪些措施是有效的緩沖區(qū)溢出的防護措施()A、使用標準的C語言字符串庫進行操作B、嚴格驗證輸入字符串長度C、過濾不合規(guī)則的字符D、使用第三方安全的字符串庫操作答案：BCD180.關于PHP文件包含利用方法，正確的是()A、遠程文件包含需服務器開啟allow_urlfopen配置B、利用php//input偽協議需開啟allow_url_include配置C、利用文件包含漏洞需被包含文件為，.php格式D、文件包含漏洞?？梢耘浜衔募蟼髀┒垂餐么鸢福篈BD181.以下哪些工具可以掃描網站目錄（）？A、DirsearchB、nmapC、dirbD、Burpsuite答案：ACD182.系統(tǒng)的缺陷、錯誤被有意或無意的使用后，可能造成（）影響？A、重要資料被竊取B、系統(tǒng)被攻擊或控制C、用戶數據被篡改D、系統(tǒng)被作為入侵其他主機系統(tǒng)的跳板答案：ABCD183.國家保護公民、法人和其他組織依法使用網絡的權利，（）。A、促進網絡接入普及B、為社會提供安全、便利的網絡服務C、提升網絡服務水平D、保障網絡信息依法有序自由流動答案：ABCD184.當訪問web網站某個頁面資源不存在時，將不會出現HTTP的狀態(tài)碼是A、200B、302C、504D、404答案：ABC185.下面關于超文本敘述中，正確的()。A、超文本是由結點和鏈路組成一個網絡B、超文本是一種信息管理技術，也是一種電子文獻形式C、多媒體超文本也可以認為是超文本D、超文本采用非線性的網絡結構來組織信息答案：BCD186.安全測試服務含（）？A、滲透測試B、安全眾測C、紅藍對抗D、應急響應答案：ABC187.國家網信部門應當統(tǒng)籌協調有關部門對關鍵信息基礎設施的安全保護采取下列（）措施。A、對網絡安全事件的應急處置與網絡功能的恢復等，提供技術支持和協助B、促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享C、對關鍵信息基礎設施的安全風險進行抽查檢測，提出改進措施，必要時可以委托網絡安全服務機構對網絡存在的安全風險進行檢測評估D、定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練，提高應對網絡安全事件的水平和協同配合能力答案：ABCD188.Webshell腳本進行分類的話，可以有A、spB、phpC、大馬D、小馬答案：ABCD189.以下選項中，哪些是數字簽名機制能夠實現的目標（）？A、接受者能夠核實發(fā)送者對信息的簽名B、發(fā)送者不能抵賴對信息的簽名C、接受者不能偽造對信息的簽名D、發(fā)送者能夠確定接受者收到信息答案：ABC190.下列哪些功能可以由認證中心CA完成?()A、撤銷和中止用戶的證書B、產生并分發(fā)CA的公鑰C、在請求實體和它的公鑰間建立鏈接D、發(fā)放并分發(fā)用戶的證書答案：ABD191.以下選項中哪些不是對于信息安全風險采取的糾正機制?()A、訪問控制B、入侵檢測C、災難恢復D、防病毒系統(tǒng)答案：ABD192.下列哪些說法是正確的?()A、數據鏈路層處理設備到設備間的通信B、網絡層處理高層進程間的通信C、傳輸層處理端節(jié)點間的通信D、以上均對答案：AC193.在Web滲透測試中，以下哪些是常見的敏感信息泄露點（）？A、配置文件B、日志文件C、數據庫備份文件D、臨時文件答案：ABCD194.下列屬于信息完整性破壞的是A、篡改B、刪除C、復制D、在信息插入其他信息答案：BCD195.下列HTTP協議方法中，不能用于傳輸實體主體的方法是?A、GETB、HEADC、OPTIONSD、POST答案：BC196.網絡運營者為用戶辦理網絡接入、域名注冊服務，未要求用戶提供真實身份信息的，由有關主管部門責令改正；拒不改正或者情節(jié)嚴重的，可以由有關主管部門責令()。A、暫停相關業(yè)務B、停業(yè)整頓C、關閉網站D、吊銷相關業(yè)務許可證答案：ABCD197.以下哪些選項描述了文件上傳漏洞？A、允許攻擊者執(zhí)行惡意代碼B、可以讀取或包含服務器上的任意文件C、繞過身份驗證獲取更高權限D、攻擊者可以上傳惡意文件到服務器答案：AD198.《網絡安全法》（）發(fā)布，（）起實施。A、2016月11月4日B、2016月11月7日C、2017月11月4日D、2017月6月1日答案：BD199.文件上傳漏洞成因可能是A、服務器配置不當B、開放了文件上傳功能,并進行了限制C、系統(tǒng)特性、驗證或者過濾不嚴格D、web用戶對目標目錄有可寫權限甚至執(zhí)行權限答案：ACD200.以下對滲透測試工程師的職業(yè)道德描述正確的是（）？A、技術和能力：所有技術都是雙刃劍；B、自我價值：得到用戶的認可，是自我價值的實現重要方式；C、用戶的信任：建立信任需要過程，不信任是用戶的常態(tài)；D、交流和分享：不欺騙，不誤導，不吹捧，不貶低；答案：ABCD判斷題1.如果需要進行遠程文件包含，則PHP需要開啟allow_url_include參數()A、正確B、錯誤答案：A2.（）銀行機構在個人金融交易中獲取的身份證信息、個人臉部圖像、個人簽名筆跡、個人賬戶金額等經申請可在政府行政機構間共享A、正確B、錯誤答案：B3.()使用電子郵件應該有一個電子郵件地址，它的格式是固定的，其中必不可少的字符是。A、正確B、錯誤答案：A4.（）任何個人和組織使用網絡應當遵守憲法法律，遵守公共秩序，尊重社會公德，不得危害網絡安全，不得利用網絡從事危害國家安全、榮譽和利益的活動。A、正確B、錯誤答案：A5.()《中華人民共和國網絡安全法》中不涉及人才培養(yǎng)相關規(guī)定。A、正確B、錯誤答案：B6.（）運營公司網絡信息安全工作組是運營公司網絡安全的最高決策機構，安全工作組下設辦公室，辦公室設在企管部。A、正確B、錯誤答案：A7.（）經過處理無法識別和恢復個人信息所有者身份的信息（如實名制紙質火車票，以＊代替了身份證號碼的若干位數）可以進行數據交易A、正確B、錯誤答案：A8.（）根據《網絡安全法》的規(guī)定，有關部門可以對舉報人的相關信息予以保密，保護舉報人的合法權益。A、正確B、錯誤答案：B9.()資源子網由主計算機系統(tǒng)、終端、終端控制器、連網外設、各種軟件資源及數據資源組成。A、正確B、錯誤答案：A10.sql注入中，用true和false的回顯來判斷注入點的是叫做報錯注入A、正確B、錯誤答案：B11.()在計算機網絡術語中，LAN的中文含義是局域網。A、正確B、錯誤答案：A12.（）監(jiān)測預警信息的準確發(fā)布有賴于全天候全方位感知網絡安全態(tài)勢能力的建設A、正確B、錯誤答案：A13.HTTP協議會保存請求和響應的通信狀態(tài)，具有持久化處理。A、正確B、錯誤答案：B14.用于保護整個網絡IPS系統(tǒng)通常會部署在網絡邊界A、正確B、錯誤答案：A15.()以太網是當今現有局域網采用的最通用的通信協議標準。A、正確B、錯誤答案：B16.文件上傳客戶端做過濾限制后服務端不需要再做了A、正確B、錯誤答案：B17.（）國家推進網絡安全社會化服務體系建設，鼓勵有關企業(yè)、機構開展網絡購物安全認證、檢測和風險評估等安全服務。A、正確B、錯誤答案：B18.()人類社會需要道德，也產生和發(fā)展了道德。馬克思主義科學揭示了道德的起源，認為道德起源于人先天具有的某種良知和善良意志。A、正確B、錯誤答案：B19.（）根據《網絡安全法》的規(guī)定，市級以上地方人民政府有關部門的網絡安全保護和監(jiān)督管理職責，按照國家有關規(guī)定確定。A、正確B、錯誤答案：B20.()電子郵件中所包含的信息只能是文字。A、正確B、錯誤答案：B21.HTTP協議的端口號為53。A、正確B、錯誤答案：B22.（）滲透測試可以對系統(tǒng)進行全面的安全評估，包括網絡安全應用安全和物理安全等方面。A、正確B、錯誤答案：A23.stringshell_exec(string$cmd)不會存在命令執(zhí)行漏洞A、正確B、錯誤答案：B24.()蜜網或蜜罐是網絡攻防演練中非常有效的安全防護措施，它一般串聯部署在內網與外網系統(tǒng)，高效快速處理訪問流量，隔離外部網絡攻擊。A、正確B、錯誤答案：B25.()任何個人和組織發(fā)送的電子信息、提供的應用軟件，不得設置惡意程序，不得含有法律、行政法規(guī)禁止發(fā)布或者傳輸的信息。A、正確B、錯誤答案：A26.（）國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄，并推動安全認證和安全檢測結果互認，避免重復認證、檢測。A、正確B、錯誤答案：A27.（）在我國嚴重的網絡犯罪行為不需要接受刑法的相關處罰。A、正確B、錯誤答案：B28.()PKI體系里面，由CA來負責數字證書的申請和注冊。A、正確B、錯誤答案：B29.()WAF的繞過方法包括轉換特征字符大小寫、利用注釋繞過、編碼特征字符繞過、轉換數據提交方式繞過等方法。A、正確B、錯誤答案：A30.馬克思指出：“人的本質不是單個人所固有的抽象物，在其現實性上，它是一切社會關系的總和?！边@句話說明，人的本質屬性在于人的抽象性。A、正確B、錯誤答案：B31.SQL注入主要危害的是內存堆棧里面的信息()A、正確B、錯誤答案：B32.HTTP協議會保存請求和響應的通信狀態(tài)，具有持久化處理。A、正確B、錯誤答案：A33.在SQL盲注過程中，可以借助二分法來提高注入的效率。A、正確B、錯誤答案：A34.()ModSecurity將HTTP會話交互周期劃分為5個階段。A、正確B、錯誤答案：A35.Web安全漏洞防護的方法包括：修復漏洞和采用waf防火墻方式A、正確B、錯誤答案：A36.（）通過分析Windows操作系統(tǒng)的內存文件，我們可以發(fā)現系統(tǒng)被hook的API函數。A、正確B、錯誤答案：A37.（）根據《網絡安全法》的規(guī)定，大眾傳播媒介應當有針對性地面向社會進行網絡安全宣傳教育。A、正確B、錯誤答案：A38.()Internet起源于美國的ARPAnet。A、正確B、錯誤答案：A39.()全面推進依法治國是一項系統(tǒng)工程，要貫徹落實“科學立法、嚴格執(zhí)法、公正司法、全民守法”的要求。其中，全民守法被稱為法治的生命線以及維護社會公平正義的最后一道防線。A、正確B、錯誤答案：B40.()信息是以精神介質為載體，傳遞和反映世界各種事物存在方式、運動狀態(tài)的表征。A、正確B、錯誤答案：B41.Metasploit是一款開源的安全漏洞檢測工具，其核心代碼中絕大部分由Ruby語言實現。()A、正確B、錯誤答案：A42.（）滲透測試應該在未經授權的情況下進行，以便測試系統(tǒng)的真實安全性。A、正確B、錯誤答案：B43.()相對于有線局域網，可移動性是無線局域網的優(yōu)勢之一。A、正確B、錯誤答案：A44.()日志審計技術的作用包括發(fā)現入侵行為、排查故障、資源管理優(yōu)化以及溯源取證等。A、正確B、錯誤答案：A45.（）重要網絡和信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失，造成全線網系統(tǒng)大面積癱瘓，喪失業(yè)務處理能力的事件屬于重大安全事件。A、正確B、錯誤答案：B46.mssql的數據庫默認端口是3389A、正確B、錯誤答案：B47.()風險處理的目標就是將組織面臨的網絡安全風險降低到零。A、正確B、錯誤答案：B48.（）訪問控制的主要作用是防止非法的主體進入受保護的網絡資源，允許合法用戶訪問受保護的網絡資源，允許合法的用戶A、正確B、錯誤答案：A49.Web安全漏洞防護的方法包括：修復漏洞和采用WAF防火墻方式()A、正確B、錯誤答案：A50.()蠕蟲病毒的主要危害體現在對數據保密性的破壞。A、正確B、錯誤答案：B51.MSF的全稱是TheMetasploitFramework。A、正確B、錯誤答案：A52.()Windows在應急響應時，可以使用netuser命令查看隱藏賬戶。A、正確B、錯誤答案：B53.利用Hackbar插件，可以對攻擊payload中的字符串進行16進制編碼。()A、正確B、錯誤答案：A54.（）《網絡安全法》推動了《未成年人網絡保護條例》的立法進程。A、正確B、錯誤答案：A55.()在企業(yè)管理層面，信息安全事件分級分類，都有相應的標準，必須嚴格按標準執(zhí)行。A、正確B、錯誤答案：B56.（）信息系統(tǒng)遭受拒絕服務攻擊消退后，仍應密切監(jiān)控1至2天。A、正確B、錯誤答案：A57.()參照《GBT28827.3--2012信息技術服務運維維護第3部分：應急響應規(guī)范》中，對事件的重要程度分為4級，依次是信息系統(tǒng)安全利益主體、信息系統(tǒng)處理的業(yè)務信息類別、信息系統(tǒng)服務范圍、業(yè)務對信息系統(tǒng)的依賴程度。A、正確B、錯誤答案：A58.getimagesize（）方法不能過濾敏感字符A、正確B、錯誤答案：A59.HTTP的響應狀態(tài)碼為：404，說明請求未經授權A、正確B、錯誤答案：B60.addslashes是可以過濾SQL注入使用的函數()A、正確B、錯誤答案：A61.通過互聯網向客戶傳輸滲透測試報告時，應盡可能選擇明文方式發(fā)送，方便客戶接收和查閱A、正確B、錯誤答案：B62.信念是人們在一定的認知基礎上確立的對某種思想或事物堅信不疑并身體力行的態(tài)度。A、正確B、錯誤答案：A63.（）安全事件責任部門對安全事件處理過程進行詳細記錄，應填寫《信息安全事件記錄表》。A、正確B、錯誤答案：A64.()當他人發(fā)來電子郵件時，計算機必須處于開機狀態(tài)，否則郵件就會丟失。A、正確B、錯誤答案：B65.（）網絡運營者收集、使用個人信息，應當遵循合理、適當、必要的原則。A、正確B、錯誤答案：B66.（）制定完備的法律體系是有效治理互聯網不良信息的法律前提與制度保障。A、正確B、錯誤答案：A67.（）TCP和UDP協議對比，UDP傳送數據更安全。A、正確B、錯誤答案：B68.（）網信部門和有關部門在履行網絡安全保護職責中獲取的信息，用于維護網絡安全的需要，也可以用于其他用途。A、正確B、錯誤答案：B69.（）滲透測試是一種攻擊性的測試，旨在發(fā)現系統(tǒng)的漏洞和弱點，以便進行修復。A、正確B、錯誤答案：A70.()受到治安管理條列處罰的人員，五年內不得從事網絡安全管理和網絡關鍵運營崗位的工作。A、正確B、錯誤答案：A71.()漏洞掃描技術可用于發(fā)現系統(tǒng)中存在的各種威脅，并提供相應的防護方法或建議。A、正確B、錯誤答案：B72.httponly屬性起到的作用是防御XSS攻擊A、正確B、錯誤答案：A73.()參照《GBT28827.3--2012信息技術服務運維維護應急響應規(guī)范》中，對事件的重要程度分為4級A、正確B、錯誤答案：A74.()在信息安全保障的三大要素（人員、技術、管理）中，技術要素居主導地位。A、正確B、錯誤答案：B75.（）滲透測試可以完全保證系統(tǒng)的安全性，因為它可以發(fā)現所有漏洞。A、正確B、錯誤答案：B76.（）國家機關政務網絡的運營者不履行《網絡安全法》規(guī)定的網絡安全保護義務的，由其同級機關或者有關機關責令改正，對直接負責的主管人員和其他直接責任人員依法給予處分。A、正確B、錯誤答案：B77.（）常見的滲透測試步驟包括信息收集、漏洞掃描、漏洞利用和維持訪問。A、正確B、錯誤答案：A78.（）網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。A、正確B、錯誤答案：A79.()通過IP、域名DNS，每一臺主機在Internet都被賦予了不同的地址。A、正確B、錯誤答案：A80.對<>字符進行轉換，可以過濾XSS攻擊A、正確B、錯誤答案：A81.()分布在一座大樓中的網絡可稱為一個局域網。A、正確B、錯誤答案：A82.()《網絡安全等級保護安全設計技術要求》突出了從“計算環(huán)境安全、區(qū)域邊界安全、通信網絡安全和安全管理中心（一個中心三重防護）”四方面對系統(tǒng)進行安全技術設計。A、正確B、錯誤答案：A83.SQLMap是一款經典的滲透測試工具，它主要用于SQL注入()A、正確B、錯誤答案：A84.()人的本質不是單個人所固有的抽象物，在其現實性上，它是一切社會關系的總和。A、正確B、錯誤答案：A85.Kali中的/usr/share/wordlists/reckyou.txt是個很大的密碼字典。A、正確B、錯誤答案：A86.()信息共享是計算機網絡的重要功能之一。A、正確B、錯誤答案：A87.（）滲透測試只能在生產環(huán)境中進行，以便測試真實的安全性。A、正確B、錯誤答案：B88.()關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規(guī)定與提供者簽訂安全保密協議，明確安全和保密義務與責任。A、正確B、錯誤答案：A89.()在網絡通信中，一般使用對稱加密算法來保證機密性。A、正確B、錯誤答案：A90.（）存儲、處理涉及國家秘密信息的網絡的運行安全保護，除應當遵守《網絡安全法》外，還應當遵守保密法律、行政法規(guī)的規(guī)定。A、正確B、錯誤答案：A91.（）漏洞掃描技術可用于發(fā)現所有威脅，并提供相應的防護方法或建議。A、正確B、錯誤答案：B92.（）防止數據庫遭到用戶名密碼暴力枚舉，可以把密碼設置的足夠復雜，并且將頻繁來自于同一IP地址的連接請求寫進防火墻的黑名單中。A、正確B、錯誤答案：A93.黑客拿到用戶的cookie后能冒充用戶進行登錄訪問網站A、正確B、錯誤答案：A94.（）Windows在應急響應時，可以使用netuser命令查看隱藏賬戶。A、正確B、錯誤答案：B95.()1994年我國頒布的第一個與信息安全有關的法規(guī)是中華人民共和國計算機信息系統(tǒng)安全保護條例。A、正確B、錯誤答案：A96.密碼學是網絡安全的基礎，所以網絡安全可以單純依靠安全的密碼算法。A、正確B、錯誤答案：B97.（）網絡安全等級保護基本要求》是按照控制類、控制點和要求項三個層次組織的。A、正確B、錯誤答案：A98.()計算機網絡拓撲定義了網絡資源在邏輯上或物理上的連接方式。A、正確B、錯誤答案：A99.BurpSuite默認監(jiān)聽本地的8000端口。A、正確B、錯誤答案：B100.管理員可通過修改Apache的配置文件，設定網站的根目錄和默認服務端口。A、正確B、錯誤答案：A101.()SYN洪水攻擊屬于分布式拒絕服務攻擊。A、正確B、錯誤答案：A102.（）我國第一部保護計算機信息系統(tǒng)安全的專門法規(guī)是《中華人民共和國信息安全法》。A、正確B、錯誤答案：B103.早期靜態(tài)頁面遇到安全問題有暗鏈和反動黑頁()A、正確B、錯誤答案：A104.()數字信封是指發(fā)送方使用接收方的公鑰來加密對策密鑰后所得的數據，其目的是用來確保對策密鑰傳輸的安全性。A、正確B、錯誤答案：A105.()網絡安全等級保護制度是依據網絡安全等級保護基本要求制定的。A、正確B、錯誤答案：B106.（）為了防御網絡監(jiān)聽，最常用的方法是信息加密。A、正確B、錯誤答案：A107.()普通的家庭上網使用的是A類IP地址。A、正確B、錯誤答案：B108.()網絡通信可以不遵循任何協議。A、正確B、錯誤答案：B109.()網頁文件的擴展名是“.html”或“.htm”，還有“.asp”、“.php”等。A、正確B、錯誤答案：A110.（）在對MySQL數據庫進行注入時，常用的延時函數是sleep。A、正確B、錯誤答案：A111.1qazWSX屬于強口令A、正確B、錯誤答案：B112.（）重要網絡和信息系統(tǒng)遭受嚴重的系統(tǒng)損失，造成全線網系統(tǒng)長時間中斷或局部癱瘓，業(yè)務處理能力受到極大影響的事件屬于重大安全事件。A、正確B、錯誤答案：A113.（）網絡運營者的網絡信息安全投訴舉報制度應要求投訴和舉報者實名A、正確B、錯誤答案：B114.（）隱寫術的目的是不引起任何懷疑的情況下明文傳送信息。A、正確B、錯誤答案：A115.（）國家互聯網應急中心是行業(yè)信息共享與合作的主要形式A、正確B、錯誤答案：B116.（）網絡和用戶恢復任務與系統(tǒng)恢復是異步進行的。A、正確B、錯誤答案：B117.（）各有關部門有權單獨發(fā)布網絡安全監(jiān)測預警信息。A、正確B、錯誤答案：B118.（）《網絡安全法》明確，系統(tǒng)日志的留存時間不少于六個月A、正確B、錯誤答案：B119.（）入侵檢測技術可用于發(fā)現系統(tǒng)中的各種入侵行為，并進行阻斷和告警。A、正確B、錯誤答案：B120.水平越權指攻擊者嘗試訪問與其具有相同級別的用戶資源，垂直越權指高級別攻擊者嘗試訪問低級別用戶的資源()A、正確B、錯誤答案：B121.()和電話號碼一樣，IP地址是由Internet網絡中心統(tǒng)一分配的。A、正確B、錯誤答案：A122.（）發(fā)生特別重大安全事件時，啟動I級響應。A、正確B、錯誤答案：A123.（）網信部門和有關部門在履行網絡安全保護職責中獲取的信息，除用于維護網絡安全的需要，還可用于其他用途。A、正確B、錯誤答案：B124.（）在命令注入利用實現過程中，通過|或&符號可以修改Shell命令執(zhí)行的本來意思，從而實現命令注入漏洞。A