1+x网络安全评估测试题与参考答案

网络安全评估测试题与参考答案1+x

一、单选题（共题，每题分，共分）

671671.httponly可以防御什么、代码获取A Jscookie、代码获取网页内容B Js、会话凭证预测C、中间人攻击D正确答案A

2.《网络安全法》规定，网络运营者应当制定（），及时处置系统漏洞计算机病毒网络攻击网络侵入等安全风险、网络安全事件应急预案A、网站安全规章制度B、网络安全事件应急演练方案C、网络安全事件补救措施D正确答案A

3.下面说法正确的是？、在输入和输出处都要过滤攻击A xss、（）可以完全杜绝攻击B htmI spec i a I charsxss、使用防止注入的函数也可以防御C sqlxss、只需要在输入处过滤就可以了D xss正确答案A

4.电信诈骗的特点不包括下列哪个？、犯罪活动的蔓延性比较大，发展很迅速A、形式集团化，反侦查能力非常强B、微信C、诈骗手段翻新速度很快D正确答案C

5.D0M中不存在下面那种节点兀素点A\、网络层A、物理层B、链路层C、传输层D正确答案A

43.密码使用场景不包括下列哪个？、财产类A、通讯类B、隐私类C、唯一性D正确答案D

44.中国菜刀是一款经典的webshell管理工具，其传参方式是（）、方式A GET、明文方式B、方式C COOKIE、方式D POST正确答案D

45.盗取Cookie是用做什么、劫持用户会话A、固定用户会话B、钓鱼C、预测用户下一步的会话凭证D正确答案A

46.MD5文摘算法得出的文摘大小是？、位A

128、位B

160、字节C

128、字节D160正确答案A

47.以下哪种方法不能执行命令、A systemwhoami、B evaIsystemwhoami,、C systemwhoami、正确答案D systemevaIwhoami,D

48.在使用Burp的Intruder模块时，需要注意的是？、字典大小不能超过A1M、字典路径不能含有中文B、线程数量不能超过C

20、数量不能超过个正确答案D pay load2B

49.关于文件包含漏洞，以下说法中不正确的是？、文件包含漏洞在中居多，而在、、A PHPWeb Appli cation JSPASP.程序中却非常少，这是因为有些语言设计的弊端、渗透网站时，NET B若当找不到上传点，并且也没有功能时，可以考虑包ur l_al low_include含服务器的日志文件、文件包含漏洞只在中经常出现，在其他语C PHP言不存在、文件包含漏洞，分为本地包含，和远程包含正确答案D C

50.关于命令执行漏洞，以下说法错误的是？、该漏洞可导致黑客控制整个网站甚至控制服务器A、命令执行漏洞只发生在的环境中B PHP、没有对用户输入进行过滤或过滤不严可能会导致此漏洞C、命令执行漏洞是指攻击者可以随意执行系统命令正确答案D B

51.将MAC地址转换为IP地址的协议是以下哪种协议？、A ARP、B RARP、C IP、D NTP正确答案B

52.若一个用户同时属于多个用户组，则其权限适用原则不包括？、最大权限原则A、文件权限超越文件夹权限原则B、拒绝权限超越其他所有权限的原则C、最小权限原则D FTP正确答案D

53.TCP协议采用以下哪种方式进行流量控制？、滑动窗口A、超时重传B、停止等待C、重传机制D正确答案A

54.故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，将受到什么处罚？、拘留A、处五年以下有期徒刑或者拘役B罚款C\、警告D正确答案B

55.反射型xss通过什么传参？、A POST、B GET、C FROM、D PUT正确答案B

56.XSS跨站脚本攻击可以插入什么代码？、A JAVA、B Javascri pt、C PHP、D ASP正确答案B

57.关于JAVA三大框架，说法正确的是？、三大框架是A Struts+Hi bernate+PHP、主要是数据持久化到数据库B Hibernate、不是开源软件C Struts、缺点是解决不了在开发中常见的的问题D Spri ng J2EE正确答案B

58.下列哪一项不是黑客在入侵踩点（信息搜集）阶段使用到的技术、主机及系统信息收集A、公开信息的合理利用及分析B、及域名信息收集C IP、使用验证注入漏洞是否存在D sqlmapSQL正确答案D

59.下列关于水平越权的说法中，不正确的是？、同级别（权限）的用户或同一角色不同的用户之间，可以越权访问、A修改或者删除的非法操作、可能会造成大批量数据泄露B、可能会造成用户信息被恶意篡改C、水平越权是不同级别之间或不同角色之间的越权D正确答案D

60.IIS命令执行中，我们通常用来测试命令执行的payload执行结果是？、反弹A she I IBxshutdown、开启远程桌面连接C、弹出计算器D正确答案D

61.关于存储型XSS,叙述错误的是？、攻击用户必须通过存储型漏洞实现A cookieXSS、存储型又称作持久型B XSSXSS、此类不需要用户单击特定就能执行脚本C XSSURL、恶意脚本是事先被攻击者上传至数据库或服务器中的D正确答案A

62.宽字符SQL注入，主要利用的是哪种漏洞来实现的（）、和编码不统一A GBKUTF-

8、长字符和短字符编码不统一B GBK、长字符和短字符编码不统一C UTF-

8、和编码不一致D GBKUTF-8正确答案A

63.Cookie没有以下哪个作用？、维持用户会话A、储存信息B、执行代码C正确答案C

64.#iptables-A INPUT-m u32—u326FF=Oxll-jDROP的作用是（）o、在输入链，包中的协议字段为则丢弃A IP

17、在转发链，包中的协议字段为则丢弃B IP

17、在转发链，包中的协议字段为则丢弃C IP

11、在输入链，包中的协议字段为则丢弃D IP11正确答案A

65.数据库安全的第一道保障是？、操作系统的安全A、数据库管理员B、网络系统的安全C、数据库管理系统层次D正确答案C

66.OSI参考模块分几层？、A

7、B

5、C

6、D4正确答案A

67.下列不是网站存在XSS漏洞的原因是、网站未对用户下的敏感操作进行二次校验A、网站对输出的数据未做处理B、网站存在可供用户输入的交互模式C、网站对用户输入的数据未作过滤D正确答案A

二、多选题共题，每题分，共分

281281.以下方法中可能存在命令执行漏洞的有Ax StringescapeshelI argstring$arg、B Stringexecstring$command[,array$output[,i nt$return_var]]、C Stringshe Il_execstring$cmd、正确答案D Voi dpassthrustr i ng$command[,i nt$return_var]BCD

2.下面关于TCP协议描述，错误的是？、工作在网络层A、有重传机制B、有流量控制机制C、断开需要次握手D3正确答案AD

3.下面对TCP协议描述，哪种不正确？面向连接Av、面向无连接B、可靠的传输C、不可靠的传输D正确答案BD答案解析协议是面向连接、可靠的传输TCP

4.下面哪个代码是不安全的，可能存在sql注入漏洞（）正确答案birth答案解析score fromtbl_student wherename I ike%$name$%/select»;（（[B]Stmt=connect ion.prepareStatement seIect*from arti cIeswhere）（uid=;stmt,set Int

15.Nmap软件是一款渗透测试常用的开源软件，它的主要功能有（）、拓扑发现A、漏洞扫描B、主机扫描C、端口扫描D正确答案ABCD

6.Kali Linux渗透系统中的哪些软件具有密码破解功能（）A Johnx、B Sni fferC\Hydra、D Wireshark正确答案AC

7.国家实行网络安全等级保护制度网络运营者应当按照网络安全等级保护制度的要求，履行哪些安全保护义务、制定内部安全管理制度和操作规程，确定网络安全负责人，落实网A络安全保护责任、采取防范计算机病毒和网络攻击网络侵入等危害网络安全行为的B技术措施、采取监测记录网络运行状态网络安全事件的技术措施，并按照规定C留存相关的网络日志不少于六个月、采取数据分类重要数据备份和加密等措施D、向社会发布网络安全风险预警，发布避免减轻危害的措施E、法律行政法规规定的其他义务F正确答案ABCDF

8.根据《网络安全法》的规定，任何个人和组织（）

0、不得从事非法侵入他人网络干扰他人网络正常功能等危害网络安全A的活动、不得提供专门用于从事侵入网络干扰网络正常功能等危害网络安全B活动的程序、明知他人从事危害网络安全的活动的，不得为其提供技术支持、C D明知他人从事危害网络安全的活动的，可以为其进行广告推广正确答案ABC

9.关于命令执行漏洞的成因，以下说法正确的是？、没有配置防火墙A、使用了中的等函数B PHPsystem,exec,sheIl_exec、调用第三方组件存在代码执行漏洞C、代码层过滤不严格D正确答案BCD

10.Metasploit框架中的模块都包含哪些模块类型（）、A PayIoads、B PostC\Exploits、D AUXExNops、F Encoders正确答案ABCDEF

11.下列哪几条属于防电信诈骗十条中的守则、手机短信内的链接都别点A、闭口不谈卡号和密码B、凡是索要短信验证码的全是骗子C、钓鱼网站要提防D正确答案ABD

12.任何个人和组织应当对其使用网络的行为负责，不得设立用于违法犯罪活动的网站通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品管制物品以及其他违法犯罪活动的信息、制作或者销售违禁物品A、传授犯罪方法B、制作或者销售管制物品C、实施诈骗D正确答案ABCD

13.下面哪些应用使用了UDP协议承载？、A SMTP、B DNS、C TFTP、D SNMP正确答案BCD

14.下面那些层未在TCP/IP中定义？、传输层A、网络B表示层C\会话层D\正确答案CD

15.程序员在防止上传漏洞时，可以采取哪些措施？、服务器端验证A、实名认证B、检测C cookie、客户端检测D正确答案AD

16.apache+Linux日志默认路径是？、A/etc/httpd/Iogs/access_Iog、B/var/Iog/httpd/access_IogC\%SystemDr ive%\i netpub\Iogs\LogF iIesD\/usr/1oca I/ng inx/1ogs正确答案AB

17.防止口令暴力破解的配置包括（）o、口令复杂度配置A、口令输入方式B、口令长度配置C、登录失败锁定D正确答案ACD

18.查看/etc/passwd文件内容，发现其中一行信息为uroot:x:0:0:root:/root:/bin/bash,以下哪些说法是正确的、该行是用户的相关信息A root、该用户的主目录为B/root、第个字段的代表用户的密码为C2root“x”、该用户的主目录为D/bin/bash正确答案AB

19.逻辑漏洞中，两种绕过授权验证方法为？、垂直越权A、交叉越权B、方向越权C、水平越权D正确答案AD

20.任何个人和组织有权对危害网络安全的行为向等部门举报、文本节点B、属性节点C、逻辑节点D正确答案D

6.下面关于UDP的描述哪个是正确的？、面向连接，可靠的传输A、面向无连接，不可靠的传输B、传输也需要握手过程C、能确保到达目的的D正确答案B

7.XSS的分类不包含下面哪一个？、型A DOMxss、储存型B xss、注入型C xss、反射型D xss正确答案C

8.网络运营者应当为国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助、检察院A网信部BV、工信部门C、公安机关D正确答案D

9.RSA属于、秘密密钥密码算法A、公用密钥密码算法B、保密密钥密码算法C、对称密钥密码算法D正确答案B电信Ax、公安B、网信C、工信D正确答案ABC

21.属于xss跨站漏洞危害的是o、钓鱼欺骗A、身份盗用B、网站挂马C、数据泄露D sql正确答案ABC

22.IP地址目前有哪几种版本？、A IPV

4、B IPV

6、C IPV

8、D IPV5正确答案AB

23.下列哪个描述是针对防范冒充身份诈骗的:、确认真伪及对方身份真实性A、不要主动猜测对方是谁B、主动答应对方要求C、确认身份要多问几个私密问题D正确答案ABD

24.办公安全威胁包括下列哪几个、摄像头A、移动存储设备B、公用打印机C、人员弱点D正确答案ABD

25.以下哪些是绕过IP地址过滤的方法A\o、@B、C xip.io、进制转换D、短地址E正确答案ABCDE

26.以下关于PHP文件包含函数的说法中，正确的是？、功能和一样，区别在于当重复调用同一文件A require_once require时，程序只调用一次、使用只要程序执行，立即调用此函数包含文件，发生错误B requireO,时，会输出错误信息并立即终止程序、和完全一样C i nc Iue_onceincI ude、使用只有代码执行到此函数时才将文件包含进来，发生错D includeO,误时只警告并继续执行正确答案ABD

27.文件包含漏洞的危害有哪些？、服务器费用增加A、执行任意脚本代码B、控制整台服务器C、控制网站D正确答案BCD

28.使用00截断进行文件上传时，上传未成功可能的原因是、使用方式提交%但并未转码A POST00,、使用方式提交%但重复转码B GET00,、使用方式提交，未删除中内容C GEThttp bodyPOST、网页设置了上传白名单，在白名单前进行了截断D、使用方法提交，但未修改方法名称为E GET‘GET正确答案ABCD

三、判断题（共题，每题分，共分）

191191.正规机构、正规网站组织抽奖活动，不会让中奖者先交钱，后兑奖、正确A、错误B正确答案A

2.浏览器手动选择代理后，关闭burp仍然能够正常上网、正确A、错误B正确答案B

3.所有的协议都可以利用数据包过滤进行处理、正确A、错误B正确答案B

4.Nmap是一款开放源代码的网络探测和安全审核的工具，它的设计目标是快速地扫描大型网络，不能用它扫描单个主机、正确A、错误B正确答案B

5.代码执行漏洞是调用系统命令的漏洞，命令执行漏洞是直接执行系统命令，又称为os命令执行漏洞、正确A、错误B正确答案A

6.登机牌条码不包含个人信息、正确A、错误B正确答案B

7.文件包含漏洞危害比sql注入漏洞危害小得多、正确A、错误B正确答案B

8.谨慎授予权限谨慎授予应用“发送短信”、“读取短信”、“查看通讯录”、“读取定位信息”等权限、正确A、错误B正确答案A

9.密码可以不用经常更换，存在浏览器里很安全、正确A、错误B正确答案B

10.Sqlmap是一款强有力的注入工具、正确A、错误B正确答案A

11.社会工程攻击周期的四个阶段是信息收集、建立信任关系、操纵目标、退出、正确A、错误B正确答案A

12.关键信息基础设施的运营者可自行采购网络产品和服务不通过安全审查、正确A、错误B正确答案B

13.防病毒软件主要是用来检测和抵御可通过各种渠道进行传播、扩散的计算机病毒、正确A、错误B正确答案A

14.IP包头首部长度为8字节、正确A、错误B正确答案B

15.IP协议具有无连接、不可靠传输的特点、正确A、错误B正确答案A

16.协议有三部分组成语法，语义，同步（也叫时序）、正确A、错误B正确答案A

17.国家规定关键信息基础设施以外的网络运营者必须参与关键信息基础设施保护体系、正确A、错误B正确答案B

18.在非对称密钥密码体制中，发信方与收信方使用不同的密钥、正确A、错误B正确答案A

19.被扫描的主机是不会主动联系扫描主机的，所以被动扫描只能通过截获网络上散落的数据包进行判断、正确A、错误B正确答案A

10.Windows操作系统中查看ARP缓存表的命令是Av arp-a、B arp-dC\arp-s、D arp-n正确答案AIL如果使用$_$£55102则需要有什么注意问题？、页面编码必须是A UTF-

8、首先使用B session_destory、首先使用C sessi on_start、保证页面不能任何输出D正确答案C

12.PHP语言中==和二二二区别、二二只会判断值，==会判断值和类型A、=只会进行判断值，==只会判断类型B、=会判断值和类型，二二二只会判断类型C、二二只会判断类型，二二二只会判断值D正确答案A

13.会话固定的原理是？、截取目标登录凭证A、预测对方登录可能用到的凭证B、让目标误以为攻击者是服务器C、让目标使用自己构造好的凭证登录D正确答案DA、通过黑名单验证上传的文件后缀名称

14.下面哪种处理文件上传的方式不够妥当、设置上传目录不可解析B、重命名上传的文件名称C、使用单独的服务器存放上传的文件正确答案D A答案解析黑名单是威胁易绕过的

15.ARP协议封装格式最后4字节是以下哪个选项？、目标地址A IP、源B MAC、硬件类型C、协议类型D正确答案A

16.XSS不能来干什么？、钓鱼A、劫持用户会话B、C DDOS、注入数据库D正确答案D

17.以下哪种攻击可以获取目标的cookie、注入A Sql、文件包含B、变量覆盖C、D XSS正确答案D

18.下面哪个不是IP协议的头部信息？、生存时间A、版本号B、端口号C、首部长度D正确答案C

19.违反本法第四十四条规定，窃取或者以其他非法方式获取非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得（）以上（）以下罚款，没有违法所得的，处（）以下罚款、一倍十倍一百万元A、一倍一百倍十万元B、五倍一百倍一百万元C、十倍一百倍一百万元D正确答案A

20.以下哪种攻击不能获取用户的会话标识？、会话凭证A、凭证预测B、注入C SQL、D XSS正确答案C

21.在windows的命令提示符中，用以查看当前登录的用户命令是以下哪一个？、A quser、B netuser、C netstart、D taskIist正确答案A

22.下列哪一个不属于信息安全范畴？、实体安全A、运行安全B、人员安全C、电源安全D正确答案D

23.TCP协议头部前16位是以下哪个选项的定义？、目的端口A、源端口B、序列号C、窗口大小D正确答案B答案解析位为源端口，位为目的端口1T617-

3224.SqlMap一般调用其文件夹内哪一类文件来绕过WAF检测、脚本A Nano、脚本B Scri pts脚本Cx Tamper、脚本D Nmap正确答案C

25.A类IP地址，有多少位主机号？、A

8、B

16、C

24、D31正确答案C

26.利用以太网的特点，将设备网卡设置为“混杂模式”，从而能够接受到整个以太网内的网络数据信息？、缓冲区溢出攻击木马A、木马程序B嗅探程序C\、拒绝服务攻击D正确答案C

27.需要进行数据库交互的是哪种xss漏洞？反射型Ax xss、型B DOMxss储存型C\xss正确答案C

28.Linux系统中，查看当前最后一次执行的命令的返回状态，使用以下哪个命令？、$*A、$B、$@C、$!D正确答案B

29.PC安全不包括下列哪一个？、安装防病毒软件和防火墙软件A、定期备份重要数据B、不随意安装来历不明的软件C、虚拟空间D正确答案D

30.Cookie的属性中,Domain是指什么？、过期时间A、关联的域名B Cookie的名称C\Cook ie、的值D Cookie正确答案B

31.Apache解析漏洞中，相关配置是？Ax AddHandI er、B HttpdinitCxApacheHandI er、D Phpinit正确答案A

32.ARP本地缓存为空时，ARP将采用以下哪种方式发送包含目标IP的数据格式到网络中？、广播A、单播B、组播C、发送特定地址D正确答案A

33.UDP协议工作在TCP/IP的哪一层？、传输层A、网络层B、物理层C、应用层D正确答案A

34.下面哪个函数不能起到xss过滤作用？、A htmIspeciaIchars

0、B addsI ashes0C\preg_repI ace

0、D strrep Iace0正确答案B

35.如何防御包含漏洞，以下说法错误的是？、限制包含的文件范围A、避免由外界制定文件名B、对于远程文件包含，设置配置文件中C Php.inia IIow url_i ncIude=off、文件名中要包含目录名D正确答案D

36.Apache用来识别用户后缀的文件是？、A handI er.types、B mime,types、C handIer.conf、D mi ma.conf正确答案B

37.Burp的Intruder模块中，哪种模式只使用一个payload,每次替换所有位置？A Sni perx、B BatteringramC\Pitchfork、D Clusterbomb正确答案B

38.Burpsuite代理HTTP流量时作为什么角色、中继A TCP、代理服务器B、路由器C、网关D正确答案B

39.Metasploit框架中的最核心的功能组件是（）A Encodersx、B Post、C PayIoads、D ExpIo its正确答案D

40.OSI第一层是哪一层？、传输层A、网络层B、链路层C、物理层D正确答案D

41.AWVS是一款什么用途的渗透测试工具（）、漏洞扫描A、注入B SQL、攻击C XSS、暴力破解D正确答案A

42.路由器是工作在以下哪一层的设备？。