奧鵬南開20春學(xué)期(1709、1803、1809、1903、1909、2003)《攻防技術(shù)基礎(chǔ)》在線作業(yè)隨機(jī).doc

1、1 .以下哪項(xiàng)屬于PE文件的數(shù)據(jù)節(jié)()A.textB.txtC.docxD.xls【參考答案】: A2 . 以下哪項(xiàng)指令全部屬于算數(shù)運(yùn)算指令()A.MOV、 ADD、ADCB.PUSH、POP、LOOPC.INC、SUB、ANDD.ADD、SBB、MUL【參考答案】: D3 .以下哪項(xiàng)不是PHP的注釋符號()。A.#/B.-C./* */【參考答案】: C4 . 下面描述錯誤的() 。A. head定義了文檔的信息B.vlink 定義了 HTMLC檔中的元數(shù)據(jù) C.script 定義了客戶端的腳本文件 D.base定義了頁面鏈 接標(biāo)簽的默認(rèn)鏈接地址【參考答案】: B5 . 以下哪項(xiàng)不是一句話木

2、馬() 。A. B. C. D.【參考答案】: C6 . 以下說法錯誤的是()A.Heap Spray 也稱為堆噴灑技術(shù)，是在shellcode 的前面加上大量的滑板指令，組成一個非常長的注入代碼段。B.滑板指令是由大量NOP指令0x90填充組成的指令序列，當(dāng)遇到這些NOP旨令時，CPU旨令指針會一個指令接一個指令的執(zhí)行下去，中間不做任何具體操作。C.Heap Spray 的內(nèi)存占用非常小，D.支持硬件DEP勺CPU拒絕執(zhí)計算機(jī)可以正常運(yùn)轉(zhuǎn)，因而不容易被察覺。行被標(biāo)記為不可執(zhí)行的(NX)內(nèi)存頁的代碼【參考答案】: C7 . 在 () 階段 , 滲透測試團(tuán)隊與客戶組織進(jìn)行交互討論, 最重要的是確

3、定滲透測試的范圍、目標(biāo)、限制條件以及服務(wù)合同細(xì)節(jié)。A.前期交互 B.情報搜集C.威脅建模D.滲透攻擊【參考答案】: A8 .Pin 是由 () 公司開發(fā)和維護(hù), 具有跨平臺特性的一個強(qiáng)大的動態(tài)二進(jìn)制指令分析框架。A.IBM B.Google C.Intel D.Apple【參考答案】: C9 .Cookie與Session是與HTTP會話相關(guān)的兩個內(nèi)容，其中()存在在瀏覽器 ,() 存儲在服務(wù)器中。A.Session 、 Cookie B.SessionId 、 CookieC.Cookie、SessionId D.Cookie、 Session【參考答案】: D10 .下面有關(guān)XSS苗述錯誤

4、的是()。A.XSS根據(jù)其特征和利用手法的不同，主要分成兩大類型：一種是反射式跨站腳 本；另一種是持久式跨站腳本。B.反射式跨站腳本也稱作非持久型、參數(shù)型跨站腳本。主要用于將惡意腳本附加到 URLM址的參數(shù)中。C.反射式跨站腳本也稱作非持久型、參數(shù)型跨站腳本。主要用于將惡意腳本附加到 URLM址的參 數(shù)中。D.存儲式XSS中的腳本來自于 Web應(yīng)用程序請求?！緟⒖即鸢浮? D11. 進(jìn)程使用的內(nèi)存區(qū)域有() 。D.A.代碼區(qū)和數(shù)據(jù)區(qū)B.數(shù)據(jù)區(qū)和堆棧區(qū)C.代碼區(qū)、數(shù)據(jù)區(qū)和堆棧區(qū)數(shù)據(jù)區(qū)和代碼區(qū)【參考答案】: C12. 軟件靜態(tài)安全檢測技術(shù)是針對() 的軟件所開展的安全分析測試技術(shù)。A.運(yùn)行狀態(tài)B.

5、調(diào)試狀態(tài)C.未處于運(yùn)行狀態(tài)D.編譯狀態(tài)【參考答案】: C13. 想要查找URL中包含nankai的搜索指令的是()。A.site ： nankai B.inurl ： nankai C.intitle ： nankai D.ip ： nankai【參考答案】: B14. 以下說法錯誤的是()A. 靜態(tài)分析可以比較全面地考慮執(zhí)行路徑，漏報率比動態(tài)分析低。B. 動態(tài)分析由于獲取了具體的運(yùn)行信息，因此報告的漏洞更為準(zhǔn)確，誤報率較低。C.將動態(tài)分析和靜態(tài)分析結(jié)合起來對二進(jìn)制進(jìn)行分析，這種技術(shù)比單純的動態(tài)和靜態(tài)分析更加簡單，比較有代表性的是 BitBlaze。D.TEMlM BitBlaze 的動態(tài)分析

6、模塊，其實(shí)質(zhì)是一個虛擬機(jī)?！緟⒖即鸢浮? C15. 指令的地址字段指出的不是操作數(shù)的地址而是操作數(shù)本身, 這種尋址方式稱為() 。A.直接尋址B.間接尋址C.立即尋址D.基址尋址【參考答案】: C16. 以下哪項(xiàng)不是符號執(zhí)行進(jìn)行源碼檢測的工具()A.SMART B.KLEE C.SAGE D.Pixy【參考答案】: D17. 為了提高瀑布模型的開發(fā)效率, 在系統(tǒng)的架構(gòu)設(shè)計完成后, 可將系統(tǒng)分為多個可() 開發(fā)的模塊。A.快速 B.高速 C.并行 D.分別【參考答案】: C18. 緩沖區(qū)溢出漏洞是程序由于缺乏對緩沖區(qū)() 檢查而引起的一種異常行為。A.邊界條件B.容量大小C.內(nèi)存地址D.內(nèi)存位置

7、【參考答案】: A19. () 是指廠商已經(jīng)發(fā)布補(bǔ)丁或修補(bǔ)方法, 大多數(shù)用戶都已打過補(bǔ)丁的漏洞。A.0day漏洞 B.lday漏洞C.未公開漏洞D.已公開漏洞【參考答案】: D20. 當(dāng)傳輸層沒有進(jìn)行安全保護(hù)時, 會遇到 () 安全威脅。A.MITM B.XSS C.SQL D.SSRF【參考答案】: A21. () 把軟件開發(fā)的過程劃分為需求-分析 -設(shè)計 -編碼 -測試等幾個階段進(jìn)行, 每一個階段都明確定義了產(chǎn)出物和驗(yàn)證的準(zhǔn)則。A.瀑布模型B.螺旋模型C.迭代模型D.快速原型模型【參考答案】: A22. 棧的存取采用() 的策略。A.先進(jìn)先出B.后進(jìn)先出C.后進(jìn)后出D.先進(jìn)后出【參考答案】

8、: D23. 下面說法錯誤的是() 。A.GET請求的數(shù)據(jù)會附在URL±后。B.POST青求的數(shù)據(jù)會附在UR1后。C.POSTf巴提交的數(shù)據(jù)放置在HTTPfe的包體中。D.通過GET交數(shù)據(jù)，用戶名和密碼將明文出現(xiàn)在 URL±0【參考答案】: A24. 網(wǎng)頁與HTMLM應(yīng)的關(guān)系是()。A.一對一B.多對一C.一對多D.多對多【參考答案】: C25. 以下有關(guān)SessionID 說法錯誤的是()A. 最常見的做法是把SessionID 加密后保存在Cookie 中傳給服務(wù)器。 B.SessionlD 一旦在生命周期內(nèi)被竊取，就等于賬戶失竊。C.如果SessionID 是被保存在

9、Cookie 中，則這種攻擊被稱為Cookie 劫持。 D.SessionlD只可以作為請求的一個參數(shù)保持在 URL中傳輸。【參考答案】: D26. 模型檢驗(yàn)對于路徑和狀態(tài)的分析過程可以實(shí)現(xiàn)全自動化; 但是由于窮舉所有狀態(tài), 所以同樣存在計算能力受限的問題。T. 對 F. 錯【參考答案】: T27. 情報搜集是否充分在很大程度上決定了滲透測試的成敗。T. 對 F. 錯【參考答案】: T28. WebShell 后門隱蔽較性高, 可以輕松穿越防火墻, 訪問 WebShell 時不會留下系統(tǒng)日志。T. 對 F. 錯【參考答案】: T29. 漏洞是一個全面綜合的概念。T. 對 F. 錯【參考答案】:

10、 T30. 軟件漏洞危險等級劃分一般被分為緊急、中危、 低危三個危險級別。T. 對 F. 錯【參考答案】: F31.SQL語句中AS表示返回匹配通配符（）條件的數(shù)據(jù)。T. 對 F. 錯【參考答案】: F32. 軟件測試過程分單元測試、集成測試以及系統(tǒng)測試三個階段進(jìn)行。T. 對 F. 錯【參考答案】: T33. 壓縮殼的特點(diǎn)是減小軟件體積大小, 加密保護(hù)也是重點(diǎn)。T. 對 F. 錯34.Vmware workstation 軟件只能安裝一個操作系統(tǒng)。T. 對F. 錯【參考答案】: F35.GS技術(shù)就是檢查security_cookie的值是否有變化來判斷是否有溢出發(fā)生。T. 對F. 錯【參考答案

11、】: T36. 當(dāng)系統(tǒng)存在文件上傳漏洞時攻擊者可以將病毒, 木馬 ,WebShell, 其他惡意腳本或者是包含了腳本的圖片上傳到服務(wù)器, 這些文件將對攻擊者后續(xù)攻擊提供便利。T. 對F. 錯【參考答案】: T37. 漏洞利用中最關(guān)鍵的是Shellcode 的編寫 , 對一些特定字符需要轉(zhuǎn)碼 , 函數(shù)API 的定位比較簡單。T. 對F. 錯【參考答案】: F38.數(shù)據(jù)庫驅(qū)動的 Web應(yīng)用通常包含三層：表示層、邏輯層和存儲層。T. 對F. 錯: T39. 緩沖區(qū)是一塊不連續(xù)的內(nèi)存區(qū)域, 用于存放程序運(yùn)行時加載到內(nèi)存的運(yùn)行代碼和數(shù)據(jù)。T. 對 F. 錯【參考答案】: T40.力口 “殼”雖然增加了

12、CPU負(fù)擔(dān)，但是減少了硬盤讀寫時間，實(shí)際應(yīng)用 時加“殼”以后程序運(yùn)行速度更快。T. 對 F. 錯【參考答案】: T41. 滲透測試是通過模擬惡意黑客的攻擊方法, 來評估計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法。T. 對 F. 錯【參考答案】: T42.Kali Linux 是專門用于滲透測試的Linux 操作系統(tǒng) , 含有可用于滲透測試的各種工具。T. 對 F. 錯【參考答案】: T43.Weakness指的是系統(tǒng)難以克服的缺陷或不足，缺陷和錯誤可以更正、解決, 但不足和弱點(diǎn)可能沒有解決的辦法。T. 對F. 錯44. 在計算機(jī)術(shù)語中, 會話是指一個終端用戶與交互系統(tǒng)進(jìn)行通訊的過 程。T. 對F. 錯【參考答案】: T45.SSH協(xié)議可以實(shí)現(xiàn)Internet上數(shù)據(jù)傳輸?shù)陌踩ㄟ^利用數(shù)據(jù)加密技術(shù) , 它可確保數(shù)據(jù)在網(wǎng)絡(luò)上傳輸不會被截取或者竊聽。T. 對F. 錯【參考答案】: F46. 快速原型方法的開發(fā)速度很快, 幾乎沒有進(jìn)行軟件設(shè)計的工作。T. 對F. 錯【參考答案】: T47. 最小權(quán)限原則是為軟件授予其所需要的最少權(quán)限。T. 對F. 錯【參考答案】: T4