1+x網絡安全評估?？荚囶}+參考答案

1+x網絡安全評估?？荚囶}+參考答案一、單選題（共66題，每題1分，共66分）1.DOM中不存在下面那種節(jié)點A、元素節(jié)點B、文本節(jié)點C、屬性節(jié)點D、邏輯節(jié)點正確答案：D2.關于文件包含漏洞，以下說法中不正確的是？A、文件包含漏洞在PHPWebApplication中居多,而在JSP、ASP、http://ASP.NET程序中卻非常少，這是因為有些語言設計的弊端B、滲透網站時，若當找不到上傳點，并且也沒有url_allow_include功能時，可以考慮包含服務器的日志文件C、文件包含漏洞只在PHP中經常出現，在其他語言不存在D、文件包含漏洞，分為本地包含，和遠程包含正確答案：C3.HTTP協議建立在以下哪一個協議的基礎上A、UDPB、TCPC、SSLD、FTP正確答案：B4.下面說法正確的是？A、在輸入和輸出處都要過濾xss攻擊B、使用防止sql注入的函數也可以防御xssC、htmlspecialchars()可以完全杜絕xss攻擊D、只需要在輸入處過濾xss就可以了正確答案：A5.盜取Cookie是為了做什么？A、劫持用戶會話B、DDOSC、釣魚D、SQL注入正確答案：A6.TCP/IP模型分幾層？A、4B、5C、6D、7正確答案：A7.以下哪一協議不是工作在應用層?A、文件傳輸協議（FileTransferProtocol，FTP）B、超文本傳輸協議（HyperTextTransferProtocol，HTTP）C、用戶數據報協議（UserDatagramProtocol，UDP）D、簡單網絡管理協議（SimpleNetworkManagementProtocol，SNMP）正確答案：C8.Apache解析漏洞中，相關配置是？A、AddHandlerB、HttpdinitC、ApacheHandlerD、Phpinit正確答案：A9.ARP協議封裝格式最后4字節(jié)是以下哪個選項？A、目標IP地址B、源MACC、硬件類型D、協議類型正確答案：A10.違反本法第四十四條規(guī)定，竊取或者以其他非法方式獲取非法出售或者非法向他人提供個人信息，尚不構成犯罪的，由公安機關沒收違法所得，并處違法所得（）以上（）以下罰款，沒有違法所得的，處（）以下罰款。A、一倍一百倍十萬元B、十倍一百倍一百萬元C、一倍十倍一百萬元D、五倍一百倍一百萬元正確答案：C11.需要進行數據庫交互的是哪種xss漏洞？A、反射型xssB、DOM型xssC、儲存型xss正確答案：C12.Metasploit框架中的最核心的功能組件是（）。A、PostB、PayloadsC、ExploitsD、Encoders正確答案：C13.下列關于水平越權的說法中，不正確的是？A、水平越權是不同級別之間或不同角色之間的越權B、同級別（權限）的用戶或同一角色不同的用戶之間，可以越權訪問、修改或者刪除的非法操作C、可能會造成大批量數據泄露D、可能會造成用戶信息被惡意篡改正確答案：A14.RSA屬于？A、秘密密鑰密碼算法B、公用密鑰密碼算法C、保密密鑰密碼算法D、對稱密鑰密碼算法正確答案：B15.Linux系統中，查看當前最后一次執(zhí)行的命令的返回狀態(tài)，使用以下哪個命令？A、$!B、$@C、$?D、$*正確答案：C16.Cookie沒有以下哪個作用？A、維持用戶會話B、儲存信息C、執(zhí)行代碼正確答案：C17.關于命令執(zhí)行漏洞，以下說法錯誤的是？A、沒有對用戶輸入進行過濾或過濾不嚴可能會導致此漏洞B、該漏洞可導致黑客控制整個網站甚至控制服務器C、命令執(zhí)行漏洞只發(fā)生在PHP的環(huán)境中D、命令執(zhí)行漏洞是指攻擊者可以隨意執(zhí)行系統命令正確答案：C18.下列哪一個不屬于信息安全三要素CIA？A、機密性B、可用性C、完整性D、個人電腦安全正確答案：D19.HTTPBASIC認證中，使用了哪一種加密方法A、Base32B、Base64C、Md5D、AES正確答案：B20.下列哪一個不屬于電信詐騙？A、DDOS攻擊B、冒充國家相關工作人員調查唬人C、虛構退稅D、假稱退還養(yǎng)老金、撫恤金正確答案：A21.XSS不能來干什么？A、釣魚B、劫持用戶會話C、DDOSD、注入數據庫正確答案：D22.郵件攻擊類型不包括下列哪一個？A、水坑攻擊B、商業(yè)郵件詐騙C、仿冒企業(yè)郵件D、勒索病毒正確答案：A23.PHP語言中，單引號和雙引號區(qū)別A、單引號不會將內部惡意字符過濾，雙引號會將內部字符進行過濾B、單引號會將內部字符進行過濾，雙引號不會將內部惡意字符過濾C、單引號會將字符原義輸出，雙引號會將內部變量解析后輸出D、單引號會將內部變量解析后輸出，雙引號會將字符原義輸出正確答案：C24.SqlMap一般調用其文件夾內哪一類文件來繞過WAF檢測（）。A、Nano腳本B、Scripts腳本C、Tamper腳本D、Nmap腳本正確答案：C25.關于存儲型XSS，敘述錯誤的是？A、存儲型XSS又稱作持久型XSSB、攻擊用戶cookie必須通過存儲型XSS漏洞實現C、惡意腳本是事先被攻擊者上傳至數據庫或服務器中的D、此類XSS不需要用戶單擊特定URL就能執(zhí)行腳本正確答案：B26.Burpsuite代理HTTP流量時作為什么角色A、TCP中繼B、代理服務器C、路由器D、網關正確答案：B27.PHP中常見文件包含的函數有include(),include_once(),require_once()，require()等，以下說法錯誤的是？A、require()：只要程序一運行就包含文件，找不到被包含的文件時會產生致命錯誤，并停止腳本B、require_once()：若文件中代碼已被包含則不會再次包含C、include_once()：若文件中代碼已被包含還會再次包含D、include()：執(zhí)行到include時才包含文件，找不到被包含文件時只會產生警告，腳本將繼續(xù)執(zhí)行正確答案：C28.使用下面哪個函數過濾xss是最好的？A、htmlspecialchars()B、preg_replace()C、str_replace()D、addslashes()正確答案：A29.Weevely是一個Kali中集成的webshell工具，它支持的語言有（）。A、ASPB、PHPC、JSPD、C/C++正確答案：B30.如何防御包含漏洞，以下說法錯誤的是？A、限制包含的文件范圍B、文件名中要包含目錄名C、避免由外界制定文件名D、對于遠程文件包含，設置php.ini配置文件中allow_url_include=off正確答案：B31.關于HTML事件的敘述，錯誤的是A、onerror當錯誤執(zhí)行腳本B、onkeyup松開鍵盤執(zhí)行腳本C、onclick鼠標點擊執(zhí)行腳本D、onkeypress當按下鍵盤執(zhí)行腳本正確答案：D32.反射型xss通過什么傳參？A、FROMB、GETC、POSTD、PUT正確答案：B33.XSS跨站腳本攻擊可以插入什么代碼？A、PHPB、JSPC、HTMLD、ASP正確答案：C34.OSI第一層是哪一層？A、傳輸層B、鏈路層C、網絡層D、物理層正確答案：D35.在使用Burp的Intruder模塊時，需要注意的是？A、字典大小不能超過1MB、字典路徑不能含有中文C、線程數量不能超過20D、payload數量不能超過2個正確答案：B36.IIS命令執(zhí)行中，我們通常用來測試命令執(zhí)行的payload執(zhí)行結果是？A、shutdownB、開啟遠程桌面連接C、反彈shellD、彈出計算器正確答案：D37.setcookie()函數在不設置時間情況下，Cookie默認保存多長時間A、瀏覽器關閉cookie失效B、1小時C、12小時D、24小時正確答案：A38.ARP本地緩存為空時，ARP將采用以下哪種方式發(fā)送包含目標IP的數據格式到網絡中?A、廣播B、單播C、組播D、發(fā)送特定地址正確答案：A39.httponly可以防御什么？A、Js代碼獲取網頁內容B、會話憑證預測C、中間人攻擊D、Js代碼獲取cookie正確答案：D40.《中華人民共和國網絡安全法》施行時間：A、2016年12月31日B、2016年11月7日C、2017年1月1日D、2017年6月1日正確答案：D41.下列哪一個選項不屬于XSS跨站腳本漏洞危害？A、網站掛馬B、釣魚欺騙C、身份盜用D、SQL數據泄露正確答案：D42.會話固定的原理是？A、讓目標誤以為攻擊者是服務器B、截取目標登錄憑證C、預測對方登錄可能用到的憑證D、讓目標使用自己構造好的憑證登錄正確答案：D43.XSS跨站腳本攻擊劫持用戶會話的原理是？A、修改頁面，使目標登錄到假網站B、使目標使用自己構造的cookie登錄C、竊取目標cookieD、讓目標誤認為攻擊者是他要訪問的服務器正確答案：C44.關于PHP文件包含利用方法，錯誤的是（）A、文件包含漏洞常可以配合文件上傳漏洞共同利用B、利用文件包含漏洞需被包含文件為.php格式C、遠程文件包含需服務器開啟allow_url_fopen配置D、利用php://input偽協議需開啟allow_url_include配置正確答案：B45.將MAC地址轉換為IP地址的協議是以下哪種協議？A、ARPB、RARPC、IPD、NTP正確答案：B46.UDP協議工作在TCP/IP的哪一層?A、傳輸層B、網絡層C、物理層D、應用層正確答案：A47.XSS不能用來干什么？A、劫持用戶會話B、預測會話憑證C、獲取用戶cookieD、固定會話正確答案：B48.#iptables–AINPUT–mu32--u32‘6&FF=0x11’–jDROP的作用是：（）。A、在輸入鏈,IP包中的協議字段為17則丟棄B、在轉發(fā)鏈,IP包中的協議字段為17則丟棄C、在轉發(fā)鏈,IP包中的協議字段為11則丟棄D、在輸入鏈,IP包中的協議字段為11則丟棄正確答案：A49.密碼使用場景不包括下列哪個？A、通訊類B、隱私類C、唯一性D、財產類正確答案：C50.下面關于UDP的描述哪個是正確的？A、面向連接，可靠的傳輸B、面向無連接，不可靠的傳輸C、傳輸也需要握手過程D、能確保到達目的的正確答案：B51.（）利用以太網的特點，將設備網卡設置為“混雜模式”，從而能夠接受到整個以太網內的網絡數據信息？A、木馬程序B、拒絕服務攻擊C、緩沖區(qū)溢出攻擊木馬D、嗅探程序正確答案：D52.若一個用戶同時屬于多個用戶組，則其權限適用原則不包括？A、最大權限原則B、文件權限超越文件夾權限原則C、拒絕權限超越其他所有權限的原則D、最小權限原則FTP正確答案：D53.A類IP地址，有多少位主機號？A、8B、16C、24D、31正確答案：C54.盜取Cookie是用做什么？A、用于登錄B、DDOSC、釣魚D、會話固定正確答案：A55.PHP關閉顯示所有錯誤提示信息方法A、error_reporting(0)B、error_reporting(E_ERROR)C、error_reporting(E_WARNING)D、error_reporting(E_NOTICE)正確答案：A56.PC安全不包括下列哪一個？A、安裝防病毒軟件和防火墻軟件B、定期備份重要數據C、不隨意安裝來歷不明的軟件D、虛擬空間正確答案：D57.以下說法錯誤的是？A、中間人攻擊與竊取cookie的攻擊原理相同B、會話劫持可以使攻擊者偽裝成目標登錄C、httponly可以讓xss漏洞也拿不走用戶cookie正確答案：A58.在windows的命令提示符中，用以查看當前登錄的用戶命令是以下哪一個？A、tasklistB、quserC、netstartD、netuser正確答案：B59.關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構______對其網絡的安全性和可能存在的風險檢測評估？A、至少半年一次B、至少每年兩次C、至少兩年一次D、至少一年一次正確答案：D60.下列哪個選項不屬于命令執(zhí)行漏洞的危害？A、反彈shellB、繼承Web服務程序的權限去執(zhí)行系統命令或讀寫文件C、控制服務器D、由命令執(zhí)行漏洞就能發(fā)現sql注入漏洞正確答案：D61.關于HTML格式的說法，錯誤的是A、<meta>常用于確定頁面字符編碼方式B、<P>用于定義一個標題C、<!doctypehtml>用于聲明文檔，無大小寫限制D、<!---->為html的注釋正確答案：B62.HUB是工作在以下哪一層的設備？A、物理層B、鏈路層C、網絡層D、傳輸層正確答案：A63.點擊Proxy組件中的哪個按鈕將攔截下來的包丟棄A、ActionB、ForwardC、DropD、Command正確答案：C64.會話劫持最重要的是哪一步？A、使用拿到的標識登錄B、誘使用戶登錄C、獲得用戶的會話標識（如sessionid）正確答案：C65.密碼使用的場景通訊類不包括下列哪個？A、QQB、微信C、陌陌D、購物賬戶正確答案：D66.協議的三要素不包括哪項？A、語義B、標點C、時序（同步）D、語法正確答案：B二、多選題（共28題，每題1分，共28分）1.下面哪些應用使用了UDP協議承載？A、SMTPB、DNSC、TFTPD、SNMP正確答案：BCD2.文件包含漏洞的危害有哪些？A、服務器費用增加B、執(zhí)行任意腳本代碼C、控制整臺服務器D、控制網站正確答案：BCD3.下面對TCP協議描述，哪種不正確？A、面向連接B、面向無連接C、可靠的傳輸D、不可靠的傳輸正確答案：BD答案解析：TCP協議是面向連接、可靠的傳輸。4.任何個人和組織有權對危害網絡安全的行為向等部門舉報。A、網信B、公安C、工信D、電信正確答案：ABD5.下列哪幾條屬于防電信詐騙十條中的守則：A、釣魚網站要提防B、手機短信內的鏈接都別點C、閉口不談卡號和密碼D、凡是索要短信驗證碼的全是騙子正確答案：ABC6.程序員在防止上傳漏洞時，可以采取哪些措施？A、cookie檢測B、服務器端驗證C、客戶端檢測D、實名認證正確答案：BC7.HTTP協議請求中不會存在哪個字段A、Set-cookieB、Last-modifiedC、LocationD、User-Agent正確答案：ABC8.任何個人和組織應當對其使用網絡的行為負責，不得設立用于（）違法犯罪活動的網站通訊群組，不得利用網絡發(fā)布涉及實施詐騙，制作或者銷售違禁物品管制物品以及其他違法犯罪活動的信息。A、制作或者銷售管制物品B、實施詐騙C、制作或者銷售違禁物品D、傳授犯罪方法正確答案：ABCD9.下列哪個描述是針對防范冒充身份詐騙的：A、確認真?zhèn)渭皩Ψ缴矸菡鎸嵭訠、主動答應對方要求C、不要主動猜測對方是誰D、確認身份要多問幾個私密問題正確答案：ACD10.屬于xss跨站漏洞危害的是（）?。A、身份盜用B、釣魚欺騙C、網站掛馬D、sql數據泄露正確答案：ABC11.Burpsuite中有以下這些組件A、ProxyB、RepeaterC、TargetD、Scanner正確答案：ABCD12.上網安全中的兩種公共設備謹慎用，指的是：A、公共WIFIB、物聯網（IoT）設備成為薄弱環(huán)節(jié)C、計算機安全D、公共手機充電樁正確答案：AD13.關于Linux目錄文件系統的文件夾，以下哪些說法是正確的？A、/etc/目錄用于存放系統配置文件B、/bin/目錄主要存放平時常用的命令C、/var/目錄僅用于存放系統產生的日志文件D、/tmp/目錄用于存放系統的臨時文件正確答案：ABD14.以下哪幾個特點符合NginxA、良好的并發(fā)性B、比Apache更高的穩(wěn)定性C、低系統資源占用D、高系統資源占用正確答案：ABC15.apache+Linux日志默認路徑是?A、/etc/httpd/logs/access_logB、/var/log/httpd/access_logC、%SystemDrive%\inetpub\logs\LogFilesD、/usr/local/nginx/logs正確答案：AB16.在HTTP響應的MIME消息體中，可以同時包含的數據類型是（）A、音頻數據B、文本數據C、圖片數據D、視頻數據正確答案：ABCD17.根據《網絡安全法》的規(guī)定，任何個人和組織（）。A、不得從事非法侵入他人網絡干擾他人網絡正常功能等危害網絡安全的活動B、不得提供專門用于從事侵入網絡干擾網絡正常功能等危害網絡安全活動的程序C、明知他人從事危害網絡安全的活動的，不得為其提供技術支持D、明知他人從事危害網絡安全的活動的，可以為其進行廣告推廣正確答案：ABC18.以下關于PHP文件包含函數的說法中，正確的是？A、require_once()功能和require()一樣，區(qū)別在于當重復調用同一文件時，程序只調用一次。B、使用include()，只有代碼執(zhí)行到此函數時才將文件包含進來，發(fā)生錯誤時只警告并繼續(xù)執(zhí)行。C、使用require()，只要程序執(zhí)行，立即調用此函數包含文件，發(fā)生錯誤時，會輸出錯誤信息并立即終止程序。D、inclue_once()和include()完全一樣正確答案：ABC19.從覆蓋范圍上劃分網絡，有以下哪幾種？A、城域網B、廣域網C、局域網D、無線網正確答案：ABC20.國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行哪些安全保護義務：A、制定內部安全管理制度和操作規(guī)程，確定網絡安全負責人，落實網絡安全保護責任B、采取防范計算機病毒和網絡攻擊網絡侵入等危害網絡安全行為的技術措施C、采取監(jiān)測記錄網絡運行狀態(tài)網絡安全事件的技術措施，并按照規(guī)定留存相關的網絡日志不少于六個月D、采取數據分類重要數據備份和加密等措施E、向社會發(fā)布網絡安全風險預警，發(fā)布避免減輕危害的措施F、法律行政法規(guī)規(guī)定的其他義務正確答案：ABCDF21.關于命令執(zhí)行漏洞的成因，以下說法正確的是？A、代碼層過濾不嚴格B、調用第三方組件存在代碼執(zhí)行漏洞C、使用了PHP中的system，exec，shell_exec等函數D、沒有配置防火墻正確答案：ABC22.信息安全常識包含下列哪幾個：A、郵件安全B、密碼安全C、化工安全D、物理安全正確答案：ABD23.IP地址目前有哪幾種版本?A、IPV6B、IPV8C、IPV4D、IPV5正確答案：AC24.Nmap軟件是一款滲透測試常用的開源軟件，它的主要功能有（）。A、端口掃描B、主機掃描C、拓撲發(fā)現D、漏洞掃描正確答案：ABCD25.上網安全中提到的三種鏈接別亂點，指的是：A、網上測試類B、公用打印機C、手機短信中的鏈接D、來歷不明的二維碼正確答案：ACD26.包含日志文件getshell時，如何讓日志文件插入PHP代碼？A、使用burpsuit抓包訪問B、curl訪問不存在的urlC、先getshell,再插入代碼D、以上說法都對正確答案：AB27.信息安全范疇包括下列哪幾個：A、物聯網（IoT）設備成為薄弱環(huán)節(jié)B、通信安全C、信息本身的安全D、計算機安全正確答案：BCD28.邏輯漏洞中，兩種繞過授權驗證方法為?A、水平越權B、交叉