1+x網(wǎng)絡(luò)安全評估模擬題+答案

1+x網(wǎng)絡(luò)安全評估模擬題+答案一、單選題（共66題，每題1分，共66分）1.HUB是工作在以下哪一層的設(shè)備？A、物理層B、鏈路層C、網(wǎng)絡(luò)層D、傳輸層正確答案：A2.禁用windows賬戶AAA的命令是（）。A、netuserAAA/active:noB、netuserAAA/active:yesC、netAAA/active:yesD、netAAA/active:no正確答案：A3.關(guān)于文件包含漏洞，以下說法中不正確的是？A、文件包含漏洞在PHPWebApplication中居多,而在JSP、ASP、http://ASP.NET程序中卻非常少，這是因為有些語言設(shè)計的弊端B、滲透網(wǎng)站時，若當找不到上傳點，并且也沒有url_allow_include功能時，可以考慮包含服務(wù)器的日志文件C、文件包含漏洞只在PHP中經(jīng)常出現(xiàn)，在其他語言不存在D、文件包含漏洞，分為本地包含，和遠程包含正確答案：C4.下面哪個選項不是NAT技術(shù)具備的優(yōu)點？A、保護內(nèi)部網(wǎng)絡(luò)B、節(jié)省合法地址C、提高連接到因特網(wǎng)的速度D、提高連接到因特網(wǎng)的靈活性正確答案：C5.需要進行數(shù)據(jù)庫交互的是哪種xss漏洞？A、DOM型xssB、反射型xssC、儲存型xss正確答案：C6.XSS的分類不包含下面哪一個？A、DOM型xssB、儲存型xssC、注入型xssD、反射型xss正確答案：C7.違反本法第四十四條規(guī)定，竊取或者以其他非法方式獲取非法出售或者非法向他人提供個人信息，尚不構(gòu)成犯罪的，由公安機關(guān)沒收違法所得，并處違法所得（）以上（）以下罰款，沒有違法所得的，處（）以下罰款。A、一倍十倍一百萬元B、五倍一百倍一百萬元C、十倍一百倍一百萬元D、一倍一百倍十萬元正確答案：A8.《中華人民共和國網(wǎng)絡(luò)安全法》施行時間：A、2017年1月1日B、2017年6月1日C、2016年12月31日D、2016年11月7日正確答案：B9.Nmap用來隱蔽掃描的命令是以下哪一選項？A、-sSB、-sXC、-sND、-sF正確答案：C10.以下哪種攻擊不能獲取用戶的會話標識？A、SQL注入B、XSSC、憑證預測D、會話憑證正確答案：A11.盜取Cookie是用做什么？A、劫持用戶會話B、固定用戶會話C、釣魚D、預測用戶下一步的會話憑證正確答案：A12.入侵檢測系統(tǒng)的第一步是？A、數(shù)據(jù)包過濾B、信號分析C、信息收集D、數(shù)據(jù)包檢查正確答案：C13.XSS跨站腳本攻擊劫持用戶會話的原理是？A、修改頁面，使目標登錄到假網(wǎng)站B、使目標使用自己構(gòu)造的cookie登錄C、竊取目標cookieD、讓目標誤認為攻擊者是他要訪問的服務(wù)器正確答案：C14.PHP語言中==和===區(qū)別A、==只會進行判斷值，===只會判斷類型B、==會判斷值和類型，===只會判斷類型C、==只會判斷值，===會判斷值和類型D、==只會判斷類型，===只會判斷值正確答案：C15.電信詐騙識別公式中的因素不包括下列哪個？A、隱私類B、匯款、轉(zhuǎn)賬要求C、無法確定人物身份D、用電話、網(wǎng)絡(luò)、短信等溝通工具見不到真人正確答案：A16.協(xié)議的三要素不包括哪項？A、標點B、語義C、語法D、時序（同步）正確答案：A17.Linux系統(tǒng)中，查看當前最后一次執(zhí)行的命令的返回狀態(tài)，使用以下哪個命令？A、$@B、$!C、$*D、$?正確答案：D18.下面說法正確的是？A、使用防止sql注入的函數(shù)也可以防御xssB、htmlspecialchars()可以完全杜絕xss攻擊C、在輸入和輸出處都要過濾xss攻擊D、只需要在輸入處過濾xss就可以了正確答案：C19.會話劫持最重要的是哪一步？A、獲得用戶的會話標識（如sessionid）B、誘使用戶登錄C、使用拿到的標識登錄正確答案：A20.PHP語言中，單引號和雙引號區(qū)別A、單引號會將內(nèi)部變量解析后輸出，雙引號會將字符原義輸出B、單引號會將字符原義輸出，雙引號會將內(nèi)部變量解析后輸出C、單引號會將內(nèi)部字符進行過濾，雙引號不會將內(nèi)部惡意字符過濾D、單引號不會將內(nèi)部惡意字符過濾，雙引號會將內(nèi)部字符進行過濾正確答案：B21.Burpsuite代理HTTP流量時作為什么角色A、TCP中繼B、代理服務(wù)器C、路由器D、網(wǎng)關(guān)正確答案：B22.XSS跨站腳本攻擊可以插入什么代碼？A、PHPB、JSPC、HTMLD、ASP正確答案：C23.關(guān)于HTML格式的說法，錯誤的是A、<!---->為html的注釋B、<P>用于定義一個標題C、<!doctypehtml>用于聲明文檔，無大小寫限制D、<meta>常用于確定頁面字符編碼方式正確答案：B24.OSI第一層是哪一層？A、網(wǎng)絡(luò)層B、物理層C、傳輸層D、鏈路層正確答案：B25.Burp的Intruder模塊中，哪種模式只使用一個payload，每次替換所有位置？A、SniperB、BatteringramC、PitchforkD、Clusterbomb正確答案：B26.關(guān)于JAVA三大框架，說法正確的是？A、三大框架是Struts+Hibernate+PHPB、Hibernate主要是數(shù)據(jù)持久化到數(shù)據(jù)庫C、Struts不是開源軟件D、Spring缺點是解決不了在J2EE開發(fā)中常見的的問題正確答案：B27.TCP協(xié)議采用以下哪種方式進行流量控制?A、滑動窗口B、超時重傳C、停止等待D、重傳機制正確答案：A28.電信詐騙的特點不包括下列哪個？A、微信B、犯罪活動的蔓延性比較大，發(fā)展很迅速C、詐騙手段翻新速度很快D、形式集團化，反偵查能力非常強正確答案：A29.httponly屬性起到的作用是（）A、禁止除HTTP/HTTPS以外的協(xié)議讀取cookieB、僅允許HTTPS協(xié)議讀取cookieC、防御XSS攻擊D、對HTTP數(shù)據(jù)包加密正確答案：A30.下列哪一個不屬于信息安全三要素CIA？A、機密性B、可用性C、完整性D、個人電腦安全正確答案：D31.寬字符SQL注入，主要利用的是哪種漏洞來實現(xiàn)的（）。A、GBK和UTF-8編碼不統(tǒng)一B、GBK長字符和短字符編碼不統(tǒng)一C、UTF-8長字符和短字符編碼不統(tǒng)一D、GBK和UTF-8編碼不一致正確答案：A32.Linux防火墻的主要功能是：（）。A、嗅探IP數(shù)據(jù)包B、入侵檢測C、記錄IP數(shù)據(jù)包D、進行訪問控制正確答案：D33.下面關(guān)于UDP的描述哪個是正確的？A、面向連接，可靠的傳輸B、面向無連接，不可靠的傳輸C、傳輸也需要握手過程D、能確保到達目的的正確答案：B34.Apache解析漏洞中，相關(guān)配置是？A、AddHandlerB、HttpdinitC、ApacheHandlerD、Phpinit正確答案：A35.關(guān)于存儲型XSS，敘述錯誤的是？A、存儲型XSS又稱作持久型XSSB、此類XSS不需要用戶單擊特定URL就能執(zhí)行腳本C、惡意腳本是事先被攻擊者上傳至數(shù)據(jù)庫或服務(wù)器中的D、攻擊用戶cookie必須通過存儲型XSS漏洞實現(xiàn)正確答案：D36.IIS命令執(zhí)行中，我們通常用來測試命令執(zhí)行的payload執(zhí)行結(jié)果是？A、shutdownB、反彈shellC、彈出計算器D、開啟遠程桌面連接正確答案：C37.TCP協(xié)議頭部前16位是以下哪個選項的定義？A、目的端口B、源端口C、序列號D、窗口大小正確答案：B答案解析：1-16位為源端口，17-32位為目的端口。38.下面說法正確的是？A、https也可以防御xssB、有一定安全意識的人可以防御一些反射型xssC、xss攻擊只能進行會話劫持D、一般現(xiàn)在的瀏覽器不帶xss防御功能正確答案：B39.關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響（）的，應當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。A、網(wǎng)絡(luò)安全B、國家安全C、政府安全D、信息安全正確答案：B40.下列哪一項不是黑客在入侵踩點（信息搜集）階段使用到的技術(shù)？A、主機及系統(tǒng)信息收集B、公開信息的合理利用及分析C、IP及域名信息收集D、使用sqlmap驗證SQL注入漏洞是否存在正確答案：D41.服務(wù)器的響應頭中，一般不會包含哪一個字段A、Set-CookieB、Content-TypeC、CookieD、Connection正確答案：C42.以下哪個語句可以獲取cookie？A、html.cookieB、javacript.cookieC、inner.cookieD、document.cookie正確答案：D43.Cookie沒有以下哪個作用？A、維持用戶會話B、儲存信息C、執(zhí)行代碼正確答案：C44.以下哪一協(xié)議不是工作在應用層?A、文件傳輸協(xié)議（FileTransferProtocol，F(xiàn)TP）B、超文本傳輸協(xié)議（HyperTextTransferProtocol，HTTP）C、用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocol，UDP）D、簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol，SNMP）正確答案：C45.（）利用以太網(wǎng)的特點，將設(shè)備網(wǎng)卡設(shè)置為“混雜模式”，從而能夠接受到整個以太網(wǎng)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)信息？A、緩沖區(qū)溢出攻擊木馬B、拒絕服務(wù)攻擊C、木馬程序D、嗅探程序正確答案：D46.HTTPBASIC認證中，使用了哪一種加密方法A、Base32B、Base64C、Md5D、AES正確答案：B47.《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運營者應當制定（），及時處置系統(tǒng)漏洞計算機病毒網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)侵入等安全風險。A、網(wǎng)站安全規(guī)章制度B、網(wǎng)絡(luò)安全事件補救措施C、網(wǎng)絡(luò)安全事件應急預案D、網(wǎng)絡(luò)安全事件應急演練方案正確答案：C48.Apache用來識別用戶后綴的文件是？A、handler.typesB、mime.typesC、handler.confD、mima.conf正確答案：B49.網(wǎng)絡(luò)運營者應當為（）國家安全機關(guān)依法維護國家安全和偵查犯罪的活動提供技術(shù)支持和協(xié)助。A、公安機關(guān)B、工信部門C、檢察院D、網(wǎng)信部門正確答案：A50.盜取Cookie是用做什么？A、用于登錄B、DDOSC、釣魚D、會話固定正確答案：A51.AWVS是一款什么用途的滲透測試工具（）。A、漏洞掃描B、SQL注入C、XSS攻擊D、暴力破解正確答案：A52.將MAC地址轉(zhuǎn)換為IP地址的協(xié)議是以下哪種協(xié)議？A、ARPB、RARPC、IPD、NTP正確答案：B53.alert()函數(shù)是用來干什么的？A、關(guān)閉當前頁面B、打開新頁面C、重新打開頁面D、彈窗正確答案：D54.HTTP協(xié)議建立在以下哪一個協(xié)議的基礎(chǔ)上A、UDPB、TCPC、SSLD、FTP正確答案：B55.下列哪條是產(chǎn)生文件包含漏洞的原因？A、用戶輸入惡意代碼B、文件來源過濾不嚴并用戶可用C、管理員管理不善D、服務(wù)器漏洞正確答案：B56.Weevely是一個Kali中集成的webshell工具，它支持的語言有（）。A、ASPB、PHPC、JSPD、C/C++正確答案：B57.防御XSS漏洞的核心思想為（）A、不要點擊未知鏈接B、輸入過濾、輸出編碼C、減少使用數(shù)據(jù)庫D、禁止用戶輸入正確答案：B58.在windows的命令提示符中，用以查看當前登錄的用戶命令是以下哪一個？A、netuserB、tasklistC、netstartD、quser正確答案：D59.A類IP地址，有多少位主機號？A、8B、16C、24D、31正確答案：C60.下面哪個函數(shù)不能起到xss過濾作用？A、addslashes()B、str_replace()C、htmlspecialchars()D、preg_replace()正確答案：A61.關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)______對其網(wǎng)絡(luò)的安全性和可能存在的風險檢測評估？A、至少半年一次B、至少每年兩次C、至少一年一次D、至少兩年一次正確答案：C62.關(guān)于命令執(zhí)行漏洞，以下說法錯誤的是？A、該漏洞可導致黑客控制整個網(wǎng)站甚至控制服務(wù)器B、沒有對用戶輸入進行過濾或過濾不嚴可能會導致此漏洞C、命令執(zhí)行漏洞是指攻擊者可以隨意執(zhí)行系統(tǒng)命令D、命令執(zhí)行漏洞只發(fā)生在PHP的環(huán)境中正確答案：D63.路由器是工作在以下哪一層的設(shè)備？A、鏈路層B、網(wǎng)絡(luò)層C、物理層D、傳輸層正確答案：B64.密碼使用的場景通訊類不包括下列哪個？A、陌陌B、微信C、購物賬戶D、QQ正確答案：C65.UDP協(xié)議工作在TCP/IP的哪一層?A、傳輸層B、網(wǎng)絡(luò)層C、物理層D、應用層正確答案：A66.以下說法錯誤的是？A、httponly可以讓xss漏洞也拿不走用戶cookieB、中間人攻擊與竊取cookie的攻擊原理相同C、會話劫持可以使攻擊者偽裝成目標登錄正確答案：B二、多選題（共28題，每題1分，共28分）1.下面哪些應用使用了UDP協(xié)議承載？A、SMTPB、DNSC、TFTPD、SNMP正確答案：BCD2.IP地址目前有哪幾種版本?A、IPV5B、IPV6C、IPV4D、IPV8正確答案：BC3.Burpsuite中有以下這些組件A、ProxyB、RepeaterC、TargetD、Scanner正確答案：ABCD4.網(wǎng)絡(luò)運營者收集使用個人信息，應當遵循______________的原則，公開收集使用規(guī)則，明示收集使用信息的目的方式和范圍，并經(jīng)被收集者同意。A、合法B、真實C、必要D、正當正確答案：ACD5.以下關(guān)于PHP文件包含函數(shù)的說法中，正確的是？A、require_once()功能和require()一樣，區(qū)別在于當重復調(diào)用同一文件時，程序只調(diào)用一次。B、使用include()，只有代碼執(zhí)行到此函數(shù)時才將文件包含進來，發(fā)生錯誤時只警告并繼續(xù)執(zhí)行。C、inclue_once()和include()完全一樣D、使用require()，只要程序執(zhí)行，立即調(diào)用此函數(shù)包含文件，發(fā)生錯誤時，會輸出錯誤信息并立即終止程序。正確答案：ABD6.Nmap軟件是一款滲透測試常用的開源軟件，它的主要功能有（）。A、主機掃描B、端口掃描C、拓撲發(fā)現(xiàn)D、漏洞掃描正確答案：ABCD7.apache+Linux日志默認路徑是?A、/etc/httpd/logs/access_logB、/var/log/httpd/access_logC、%SystemDrive%\inetpub\logs\LogFilesD、/usr/local/nginx/logs正確答案：AB8.程序員在防止上傳漏洞時，可以采取哪些措施？A、實名認證B、服務(wù)器端驗證C、cookie檢測D、客戶端檢測正確答案：BD9.下列哪個描述的是防范虛構(gòu)事實的詐騙：A、通過子女所在學校、單位、同學、朋友聯(lián)系，進行核實，確認情況的真實性。B、切不可貪圖便宜，與市價相差較大的網(wǎng)絡(luò)商品，不要相信。C、接到親人被綁架、受傷住院、被扣留拘禁等電話或短信時，一定要冷靜應對，弄清情況，請及時報警D、對于好友QQ、微信、手機發(fā)送過來涉及到借錢、匯款等信息，一定要電話聯(lián)系到本人進行確認正確答案：AC10.選擇關(guān)于Cookie正確的選項A、Cookie是同協(xié)議、同域名、同端口的B、修改Cookie只能用一個同名Cookie將其覆蓋C、瀏覽器可以將持續(xù)時間為負數(shù)的Cookie保存為文件D、同父域的兩個子域名可以通過設(shè)置共享Cookie正確答案：AD11.屬于xss跨站漏洞危害的是（）?。A、網(wǎng)站掛馬B、釣魚欺騙C、sql數(shù)據(jù)泄露D、身份盜用正確答案：ABD12.php://filter/read=convert.base64-encode/resource=../../../../../etc/passwd假設(shè)某PHP頁面存在文件包含漏洞，上述Payload可以獲得哪些信息A、Linux系統(tǒng)中所有的用戶名B、Windows系統(tǒng)中所有的用戶名C、系統(tǒng)中各個用戶的權(quán)限以及可執(zhí)行文件所在目錄D、用戶密碼正確答案：AC13.以下方法中可能存在命令執(zhí)行漏洞的有A、Stringexec(string$command[,array&$output[,int&$return_var]])B、Stringshell_exec(string$cmd)C、Stringescapeshellarg(string$arg)D、Voidpassthru(string$command[,int&$return_var])正確答案：ABD14.邏輯漏洞中，兩種繞過授權(quán)驗證方法為?A、交叉越權(quán)B、垂直越權(quán)C、水平越權(quán)D、方向越權(quán)正確答案：BC15.滲透測試報告一般具有的品質(zhì)有（）。A、簡單明了，直擊要害B、給出漏洞修補意見C、通俗易懂D、包含漏洞對企業(yè)資產(chǎn)的影響正確答案：ABCD16.上傳文件后綴檢查，常見的方法有（）A、Js調(diào)用selectfile（）函數(shù)B、PHPaddcslashes（）函數(shù)C、If（）條件判斷D、Getimagesize（）函數(shù)E、PHPpathinfo（）函數(shù)正確答案：ACE17.信息安全范疇包括下列哪幾個：A、信息本身的安全B、計算機安全C、物聯(lián)網(wǎng)（IoT）設(shè)備成為薄弱環(huán)節(jié)D、通信安全正確答案：ABD18.文件包含漏洞的危害有哪些？A、執(zhí)行任意腳本代碼B、控制整臺服務(wù)器C、控制網(wǎng)站D、服務(wù)器費用增加正確答案：ABC19.下面對TCP協(xié)議描述，哪種不正確？A、面向連接B、面向無連接C、可靠的傳輸D、不可靠的傳輸正確答案：BD答案解析：TCP協(xié)議是面向連接、可靠的傳輸。20.信息安全常識包含下列哪幾個：A、密碼安全B、化工安全C、郵件安全D、物理安全正確答案：ACD21.防止口令暴力破解的配置包括（）。A、口令輸入方式B、口令長度配置C、口令復雜度配置D、登錄失敗鎖定正確答案：BCD22.國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行哪些安全保護義務(wù)：A、制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負責人，落實網(wǎng)絡(luò)安全保護責任B、采取防范計算機病毒和網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施C、采取監(jiān)測記錄網(wǎng)絡(luò)運行狀態(tài)網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月D、采取數(shù)據(jù)分類重要數(shù)據(jù)備份和加密等措施E、向社會發(fā)布網(wǎng)絡(luò)安全風險預警，發(fā)布避免減輕危害的措施F、法律行政法規(guī)規(guī)定的其他義務(wù)正確答案：ABCDF23.KaliLinux滲透系統(tǒng)中的哪些軟件具有密碼破解功能（）。A、SnifferB、HydraC、WiresharkD、John正確答案：BD24.下列哪幾條屬于防電信詐騙十條中的守則：A、手機短信內(nèi)的鏈接都別點B、凡是索要短信驗證碼的全是騙子C、釣魚網(wǎng)站要提防D、閉口不談卡號和密碼正確答案：ACD25.Metasploit框架中的模塊都包含哪些模塊類型（）。A、PayloadsB、PostC、ExploitsD、AUXE、NopsF、Encoders正確答案：ABCDEF26.Burpsuite中有以下這些組件A、ProxyB、RepeaterC、TargetD、Scanner正確答案：ABCD27.從覆蓋范圍上劃分網(wǎng)絡(luò)，有以下哪幾種？A、局域網(wǎng)B、城域網(wǎng)C、廣域網(wǎng)D、無線網(wǎng)正確答案：ABC28.查看/etc/passwd文件內(nèi)容，發(fā)現(xiàn)其中一行信息為“root:x:0:0:root: