1+x備考測(cè)試卷及答案

1、1+x備考測(cè)試卷及答案1.Hydra 工具中的 -L 參數(shù)的含義是：（ ） 指定單個(gè)密碼指定一個(gè)密碼字典指定一個(gè)用戶名指定一個(gè)用戶名字典2. 查詢數(shù)據(jù)庫(kù)中后臺(tái)管理員的賬戶名密碼，正確的順序是：（ ） 數(shù)據(jù)庫(kù)名、表名、字段名、字段內(nèi)容數(shù)據(jù)庫(kù)版本、當(dāng)前數(shù)據(jù)庫(kù)物理路徑、文件名、字段內(nèi)容數(shù)據(jù)庫(kù)名、字段名、表名、字段內(nèi)容數(shù)據(jù)庫(kù)版本、數(shù)據(jù)編碼、表名、當(dāng)前數(shù)據(jù)庫(kù)名3. 被譽(yù)為“瑞士軍刀” 的工具是：（ ） NmapSQLMAPNetcatBurpSuite4. 以下會(huì)造成文件上傳功能出現(xiàn)安全問題的選項(xiàng)是：（ ） 文件上傳的目錄設(shè)置為可執(zhí)行用白名單機(jī)制判斷文件類型對(duì)上傳的文件做更改文件名、壓縮、格式化等預(yù)處理

2、單獨(dú)設(shè)置文件服務(wù)器的域名5. 下列關(guān)于MySQL數(shù)據(jù)庫(kù)的描述，錯(cuò)誤的是 ：（ ） concat_ws( )是含有分割符的連接字符串information_schema數(shù)據(jù)庫(kù)默認(rèn)情況下只有root用戶具有訪問權(quán)限字符串截取函數(shù)有substring( )、substr( )、mid( )聯(lián)合查詢可以實(shí)現(xiàn)跨庫(kù)跨表查詢6. 仔細(xì)觀察附件中的截圖，下列說法不正確的是：（ ） 該腳本的主要功能是通過將msf命令寫入一個(gè)文件，然后在msf中加載它，加載的方式是使用命令msfconsole -r，讀取文件中的msf指令并執(zhí)行根據(jù)腳本執(zhí)行的參數(shù)，可以知道腳本調(diào)用的攻擊載荷是windows/shell/rever

3、se_tcp 執(zhí)行該腳本需要手動(dòng)設(shè)置三個(gè)參數(shù)分別為：RHOST、LHOST、TARGET 該攻擊模塊適用于Windows Server 2000/2003操作系統(tǒng)中的IIS服務(wù)進(jìn)行滲透利用 該腳本的主要功能是通過將msf命令寫入一個(gè)文件，然后在msf中加載它，加載的方式是使用命令msfconsole -r，讀取文件中的msf指令并執(zhí)行根據(jù)腳本執(zhí)行的參數(shù)，可以知道腳本調(diào)用的攻擊載荷是windows/shell/reverse_tcp 執(zhí)行該腳本需要手動(dòng)設(shè)置三個(gè)參數(shù)分別為：RHOST、LHOST、TARGETD. 該攻擊模塊適用于Windows Server 2000/2003操作系統(tǒng)中的IIS服

4、務(wù)進(jìn)行滲透利用7. 下列關(guān)于Smurf攻擊的描述錯(cuò)誤的是：（ ） 它是一種拒絕服務(wù)形式的攻擊它依靠大量有安全漏洞的網(wǎng)絡(luò)作為放大器攻擊者最終的目標(biāo)是在目標(biāo)計(jì)算機(jī)上獲得某個(gè)文件它使用ICMP的包進(jìn)行攻擊8. Socket即套接字，是一個(gè)對(duì)TCP/IP協(xié)議進(jìn)行封裝的編程調(diào)用接口。Socket的使用類型是：（ ） 基于IP協(xié)議，采用流數(shù)據(jù)提供數(shù)據(jù)網(wǎng)絡(luò)發(fā)送的服務(wù)基于UDP協(xié)議，采用數(shù)據(jù)報(bào)文提供數(shù)據(jù)打包發(fā)送的服務(wù)基于HTTP協(xié)議，采用數(shù)據(jù)包方式提供可靠的數(shù)據(jù)包裝服務(wù)基于TCP協(xié)議，采用流的方式提供可靠的字節(jié)流服務(wù)9. 通過反復(fù)嘗試向系統(tǒng)提交用戶名和密碼以發(fā)現(xiàn)正確的用戶密碼的攻擊方式稱為：（ ） 賬戶猜解密

5、碼嗅探密碼分析密碼暴力破解10.已知Apache的版本為2.4.X并使用默認(rèn)的配置，下列哪種方法可以繞過黑名單檢查實(shí)現(xiàn)文件上傳：（ ） 使用Burp抓包，修改Content-Type 字段繞過檢測(cè)通過制作并上傳圖片木馬繞過檢測(cè)修改文件擴(kuò)展名繞過使用Burp抓包對(duì)要上傳的文件名進(jìn)行修改，在后面添加一個(gè)x0A（換行符）進(jìn)行繞過11. 仔細(xì)觀察附件中的截圖，下列說法正確的是：（ ） 滲透測(cè)試人員通過在Web頁(yè)面中插入以上代碼實(shí)現(xiàn)了CSRF攻擊滲透測(cè)試人員通過在Web頁(yè)面中插入以上代碼實(shí)現(xiàn)了XSS攻擊滲透測(cè)試人員通過在Web頁(yè)面中插入以上代碼實(shí)現(xiàn)了SSRF攻擊滲透測(cè)試人員通過在Web頁(yè)面中插入以上代碼

6、實(shí)現(xiàn)了XXE攻擊12. 打開CMD命令行，輸入以下內(nèi)容：REG ADD HKLMSYSTEMCurrentControlSetControlTerminal Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f，該命令的效果是：（ ） 關(guān)閉Terminal Server服務(wù)啟動(dòng)Terminal Server服務(wù)使Terminal Server服務(wù)開機(jī)時(shí)運(yùn)行啟動(dòng)Terminal Server服務(wù)后關(guān)閉計(jì)算機(jī)13. 以下哪個(gè)不是MSF中自帶的模塊：（ ） 攻擊載荷模塊空指令模塊助推模塊后滲透攻擊模塊14. 下列關(guān)于木馬反彈端口技術(shù)的描述中

7、，正確的是：（ ） 反彈端口技術(shù)中，由木馬客戶端程序主動(dòng)連接木馬服務(wù)端程序反彈端口技術(shù)中，木馬的服務(wù)端可穿透所在內(nèi)網(wǎng)的包過濾防火墻反彈端口技術(shù)中，木馬客戶端的IP地址必須是公網(wǎng)IP地址反彈端口技術(shù)中，由跳板計(jì)算機(jī)將變動(dòng)后的客戶端IP地址主動(dòng)通知木馬服務(wù)端程序15. 通過發(fā)送大量虛假報(bào)文，將自己的MAC地址偽造成網(wǎng)關(guān)的MAC地址，這種攻擊行為屬于：（ ） 緩沖區(qū)溢出攻擊拒絕服務(wù)攻擊ARP欺騙攻擊網(wǎng)絡(luò)釣魚攻擊16. 北京時(shí)間2017年6月13日凌晨，微軟官方發(fā)布6月安全補(bǔ)丁程序，修補(bǔ)了“震網(wǎng)三代” LNK文件遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-8464），該漏洞是當(dāng)Windows系統(tǒng)在解析快捷方式

8、時(shí)，存在遠(yuǎn)程執(zhí)行任意代碼的高危漏洞，黑客可以通過U盤、網(wǎng)絡(luò)共享等途徑觸發(fā)漏洞，完全控制用戶系統(tǒng)，安全風(fēng)險(xiǎn)高危。以下關(guān)于加固的方法不正確的是：（ ） 禁用U盤、網(wǎng)絡(luò)共享及關(guān)閉WebClient Service，并建議管理員關(guān)注是否有業(yè)務(wù)與上述服務(wù)相關(guān)并做好恢復(fù)準(zhǔn)備使用復(fù)雜的密碼，有許多網(wǎng)絡(luò)病毒就是通過猜測(cè)簡(jiǎn)單密碼的方式攻擊系統(tǒng)的, 因此使用復(fù)雜的密碼，將會(huì)大大提高計(jì)算機(jī)的安全系數(shù)下載并安裝該漏洞的補(bǔ)丁未打補(bǔ)丁的機(jī)器，應(yīng)立即關(guān)閉Windows Search服務(wù)17. 下列關(guān)于隧道技術(shù)說法不正確的是：（ ） 是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式使用隧道傳遞的數(shù)據(jù)（或負(fù)載）不能是不

9、同協(xié)議的數(shù)據(jù)幀或包隧道協(xié)議將其它協(xié)議的數(shù)據(jù)幀或包重新封裝然后通過隧道發(fā)送使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包18. 為Firefox瀏覽器設(shè)置代理的正確步驟是：（ ） “Advanced”選項(xiàng)卡 瀏覽器右上方“菜單（三條橫線）”按鈕 “Preferences”選項(xiàng)，打開設(shè)置頁(yè)面 選中“Manual proxy configuration:” 配置“HTTP Proxy”和“Port” “Network”選項(xiàng)卡 “Connection”-“Settings.”按鈕 19. Metasploit Framework 中，可以使用（ ）模塊來枚舉本地局域網(wǎng)中的所有活躍主機(jī)。 dir

10、_scannerempty_udparp_sweeparp_neighbor20. 下列哪項(xiàng)內(nèi)容描述的是緩沖區(qū)溢出漏洞?（ ） 通過把SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令攻擊者在遠(yuǎn)程WEB頁(yè)面的HTML代碼中插入具有惡意目的的數(shù)據(jù)，用戶認(rèn)為該頁(yè)面是可信賴的，但是當(dāng)瀏覽器下載該頁(yè)面，嵌入其中的腳本將被解釋執(zhí)行當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程中，有意或無意產(chǎn)生的缺陷21. 以下有關(guān)Metasploit說法錯(cuò)誤的是：（ ） Met

11、asploit是一款開源的安全漏洞檢測(cè)工具HD Moore在2003 年的10月發(fā)布了他的第一個(gè)基于Ruby 語(yǔ)言的Metasploit 版本目前msfvenom的encoder特征基本都進(jìn)入了殺軟的漏洞庫(kù)，很難實(shí)現(xiàn)單一encoder編碼而繞過殺毒軟件，所以對(duì)shellcode進(jìn)行進(jìn)一步修改編譯成了MSF免殺的主流Metasploit中的后滲透模塊是指在成功滲透目標(biāo)主機(jī)之后進(jìn)行進(jìn)一步操作的模塊22. 如何在IIS中實(shí)現(xiàn)附件截圖中的加固功能，防止數(shù)據(jù)庫(kù)文件被下載：（ ） 在應(yīng)用程序配置中添加一個(gè)文件內(nèi)容為空的.mdb文件映射并映射擴(kuò)展名為.dll的文件在應(yīng)用程序配置中添加一個(gè)文件內(nèi)容為空的.dl

12、l文件映射并映射擴(kuò)展名為.mdb的文件在應(yīng)用程序配置中添加一個(gè)文件內(nèi)容為空的.exe文件映射并映射擴(kuò)展名為.dll的文件在應(yīng)用程序配置中添加一個(gè)文件內(nèi)容為空的.dll文件映射并映射擴(kuò)展名為.exe的文件23. 當(dāng)你使用一條GRANT語(yǔ)句時(shí)，服務(wù)器會(huì)在（ ）里創(chuàng)建一個(gè)記錄項(xiàng)并將你的用戶名、主機(jī)名和口令記錄在User、Host和Password列中。 user權(quán)限表host權(quán)限表table_priv權(quán)限表db權(quán)限表24. 下列哪條命令可以修改MySQL最大連接數(shù)為1000：（ ） mysqlset global limit_sessions=1000mysqlset global limit_se

13、ssion =1000mysqlset global limit_connection=1000mysqlset global limit_connections=100025. 以下關(guān)于Metasploit基本命令的描述，不正確的是：（ ） 使用msfconsole命令可以在命令行下啟動(dòng)MSF使用show exploits 命令可以顯示所有的滲透攻擊模塊使用use命令可以搜索某個(gè)模塊使用show options命令可以顯示模塊中的配置選項(xiàng)26.中間人攻擊除了可以信息竊取之外，還能進(jìn)行：（ ） 加密隧道身份認(rèn)證數(shù)據(jù)加密信息篡改27.仔細(xì)閱讀附件中的Python代碼片段，以下說法正確的是：（ ）

14、 Smurf攻擊是向局域網(wǎng)中的廣播地址發(fā)送偽造目的地址的ICMP echo Request包Smurf攻擊是向局域網(wǎng)中的路由器地址發(fā)送偽造目的地址的ICMP echo Reply包Smurf攻擊是向局域網(wǎng)中的廣播地址發(fā)送偽造源地址的ICMP echo Request包Smurf攻擊是向局域網(wǎng)中的廣播地址發(fā)送偽造目的地址的ICMP echo Reply包28.下面有關(guān)Weevely工具的說法正確的是：（ ） Weevely是一款用于Web程序漏洞掃描的工具Weevely工具可以調(diào)用菜刀工具生成的木馬Weevely是一款針對(duì)PHP站點(diǎn)的Webshell工具Weevely生成的客戶端PHP代碼是經(jīng)過

15、了base128編碼的，可以繞過主流的殺毒軟件檢測(cè)29. 基于用戶名和口令的用戶入網(wǎng)訪問控制可分為（ ）三個(gè)步驟。 用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的默認(rèn)限制檢查用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶權(quán)限的識(shí)別與控制用戶身份識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶權(quán)限的識(shí)別與控制用戶賬號(hào)的默認(rèn)限制檢查、用戶口令的識(shí)別與驗(yàn)證、用戶權(quán)限的識(shí)別與控制30.要使用 Burpsuite 對(duì)數(shù)據(jù)包中的用戶名密碼表單進(jìn)行密碼暴力破解（ ）模塊是必需的。 IntruderRepeaterTargetOptions31.通過使用 Metasploit 中的（ ）模塊，可以對(duì)已知 SQL

16、Server 賬戶信息的服務(wù)器進(jìn)行命令執(zhí)行。 mssql_loginmssql_execmysql_loginmysql_exec32. MSSQL Server的（ ）存儲(chǔ)過程用于得到一個(gè)指定目錄或驅(qū)動(dòng)器下的子目錄信息。 srv_paraminfoxp_cmdshellxp_dirtreexp_sprintf33. CVE-2017-7269是IIS 6.0中存在的一個(gè)棧溢出漏洞，在IIS6.0處理（ ）指令的時(shí)候，由于對(duì)URL的長(zhǎng)度沒有進(jìn)行有效的長(zhǎng)度控制和檢查，導(dǎo)致執(zhí)行memcpy對(duì)虛擬路徑進(jìn)行構(gòu)造的時(shí)候引發(fā)棧溢出。 PUT請(qǐng)求COPY請(qǐng)求MOVE請(qǐng)求PROPFIND請(qǐng)求34.假設(shè)有四臺(tái)服

17、務(wù)器，以下簡(jiǎn)稱四臺(tái)服務(wù)器分別為：A、B、C、D，其中D需要能訪問C， A、D與C所在的網(wǎng)絡(luò)不連通，B與C可以通過ICMP協(xié)議通信，其中A、D與B網(wǎng)絡(luò)相互連通。在這種情況中可以使用以下哪一款工具來構(gòu)建通信隧道，實(shí)現(xiàn)服務(wù)器D能夠訪問服務(wù)器C：（ ） AutoscanDsniffPtunnelStunnel35. 附件中的截圖為網(wǎng)絡(luò)管理員在對(duì)服務(wù)器進(jìn)行日志審計(jì)時(shí)發(fā)現(xiàn)redis.log中的信息，下列關(guān)于Redis服務(wù)器中的日志信息說法錯(cuò)誤的是：（ ） 攻擊者更改Redis的配置路徑為/root/.ssh/利用Redis自身的相關(guān)方法，可以進(jìn)行寫文件操作，攻擊者可以成功將自己的公鑰寫入目標(biāo)服務(wù)器的 /r

18、oot/.ssh 文件夾的authotrized_keys 文件中，進(jìn)而可以直接登錄目標(biāo)服務(wù)器由于運(yùn)維人員的疏忽，沒有過多的考慮安全問題，并沒有添加防火墻規(guī)則避免其他非信任來源IP訪問，將Redis服務(wù)器綁定在:6379等服務(wù)端的Redis服務(wù)器綁定在:6379，由于沒有開啟認(rèn)證，其他用戶可以直接在非授權(quán)情況下直接訪問Redis服務(wù)并進(jìn)行相關(guān)操作36. 某項(xiàng)目需要安全人員對(duì)Windows服務(wù)器進(jìn)行滲透測(cè)試，安全人員發(fā)現(xiàn)服務(wù)器存在MS11-003漏洞，關(guān)于此漏洞說法錯(cuò)誤的是：（ ） Internet Explorer在事件處理的實(shí)現(xiàn)上存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可利用此漏洞在受影響應(yīng)用程序中運(yùn)行

19、任意代碼，造成拒絕服務(wù)。在處理某些對(duì)象操作時(shí)，“mshtml.dll”庫(kù)中的懸掛指針漏洞可被遠(yuǎn)程利用攻擊者利用特定的Javascript遠(yuǎn)程拒絕服務(wù)攻擊使用MSHTML.DLL動(dòng)態(tài)鏈接庫(kù)的應(yīng)用程序。MSHTML.DLL使得Javascript可以處理多個(gè)窗口對(duì)象。當(dāng)一個(gè)窗口對(duì)象接收數(shù)據(jù)之后被刪除，然后重新初始化，MSHTML.DLL將出錯(cuò)，根據(jù)出錯(cuò)現(xiàn)象可以判斷出發(fā)生了緩沖區(qū)溢出 MSHTML.DLL是一個(gè)用于解析HTML語(yǔ)言的動(dòng)態(tài)鏈接庫(kù)，IE、Outlook、Outlook Express等應(yīng)用程序都使用了該動(dòng)態(tài)鏈接庫(kù)。滲透測(cè)試人員可以通過使用命令use exploit/windows/smb

20、/ms11_003_ie_css_import對(duì)該模塊進(jìn)行調(diào)用37.使用hydra工具暴力破解遠(yuǎn)程服務(wù)器上的遠(yuǎn)程桌面服務(wù)，并將結(jié)果輸出到指定的$IP.log文件中，要使用（ ）命令。#!/bin/bashIP=Users=/server/guess/password/usersPassword=/server/guess/password/dict/0-9.8位純數(shù)密碼.txtLog=/server/guess/log/$IP.log hydra -l $Users -p $Password -o $Log 3389hydra -L $Users -p $Password -O $Log 33

21、89hydra -L $Users -P $Password -o $Log rdphydra -l $Users -P $Password -O $Log rdp38. 仔細(xì)觀察附件中的圖片，下列說法不正確的是：（ ） 目標(biāo)Web站點(diǎn)的login.php頁(yè)面存在傳輸過程中明文密碼泄露的威脅該網(wǎng)站使用的是POST方法進(jìn)行傳參該網(wǎng)站在登錄過程使用的是HTTP協(xié)議提交用戶數(shù)據(jù)通過掃描結(jié)果得知網(wǎng)站存在6個(gè)高危漏洞39. 以下有關(guān)W3af工具的描述，不正確的是：（ ） 站點(diǎn)爬?。╟rawl）插件通過爬取站點(diǎn)來獲得更深的網(wǎng)站URL目錄路徑層級(jí)漏洞匹配（grep）插件通過分析其他插件發(fā)送的HTTP請(qǐng)求和響

22、應(yīng)來識(shí)別網(wǎng)站中存在的路徑漏洞分析（audit）插件通過向crawl插件所爬取出的注入點(diǎn)發(fā)送特制的PoC包以驗(yàn)證漏洞是否存在以上描述都不正確40. 下列有關(guān)Weevely工具在虛擬終端中的參數(shù)描述不正確的是：（ ） audit.systemfiles logs|root|home|可枚舉各種系統(tǒng)目錄尋找可讀可寫的目錄，模塊默認(rèn)搜索Windows和Linux下的常見目錄audit.etcpasswd可查看/etc/passwd文件，可使用-real參數(shù)來過濾出用于登錄的用戶audit.phpconf可查看php的配置信息可收集系統(tǒng)的基本信息1. 數(shù)據(jù)庫(kù)管理員對(duì)站點(diǎn)操作的權(quán)限一般為：（ ） 增（Cr

23、eate）刪（Retrieve）改（Delete）查（Update）2.避免密碼被暴力破解的要點(diǎn)有：（ ） 不使用弱密碼不使用通用性強(qiáng)的密碼（例如 Password 、admin123 、123qweasd）使用組合復(fù)雜的密碼密碼長(zhǎng)度十分重要（不需要太長(zhǎng)，12位左右的密碼被暴力破解的可能性很小）3.從網(wǎng)站開發(fā)的角度來講，防護(hù)暴力破解攻擊的方法有：（ ） 有效的監(jiān)控并分析流量不允許普通用戶登錄限制用戶登錄的次數(shù)在多次密碼錯(cuò)誤后限制登錄4. Apache Struts官方發(fā)布公告，漏洞編號(hào)為S2-048（CVE-2017-9791），公告稱Struts2和Struts1中的一個(gè)Showcase插件

24、可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行，并評(píng)價(jià)為高危漏洞。下面描述正確的有:( ) 主要受影響的Struts版本為：2.3.x攻擊者構(gòu)造惡意字段值通過Struts2的struts2-struts1-plugin傳遞給目標(biāo)靶機(jī)，從而實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，獲得權(quán)限客戶可以停用Struts2-struts1-plugin、showcase.war插件來實(shí)現(xiàn)對(duì)漏洞的加固該漏洞對(duì)于Windows平臺(tái)上的Apache Tomcat不受影響5.仔細(xì)閱讀以下Python代碼，說法正確的是：( ) 使用以上Python代碼可以對(duì)Redis服務(wù)器進(jìn)行弱口令暴力破解若認(rèn)證成功，服務(wù)器會(huì)返回+ok，腳本將打印正確的密碼腳本通過建立TCP連

25、接，發(fā)送auth認(rèn)證命令與Redis服務(wù)器進(jìn)行認(rèn)證腳本可用于破解SSH服務(wù)腳本通過在一個(gè)TCP連接里多次使用auth命令實(shí)現(xiàn)密碼枚舉6. 網(wǎng)頁(yè)木馬是一種通過攻擊瀏覽器或?yàn)g覽器外掛程序的漏洞，向目標(biāo)用戶機(jī)器植入木馬、病毒、密碼盜取等惡意程序的手段，為了要安全瀏覽網(wǎng)頁(yè)，應(yīng)該采取以下哪些措施：( ) 定期清理瀏覽器緩存和上網(wǎng)歷史記錄禁止使用ActiveX空間和Java腳本在他人計(jì)算機(jī)上使用自動(dòng)登錄和記住密碼功能定期清理瀏覽器Cookie7. 下列協(xié)議中能夠采用加密機(jī)制的協(xié)議有哪些：( ) HTTPFTPTELNETSSL8. 以下有關(guān)秘鑰的表述正確的是：( ) 密鑰是一種硬件密鑰分為對(duì)稱密鑰與非對(duì)稱

26、密鑰對(duì)稱密鑰加密是指信息的發(fā)送方和接收方使用同一個(gè)密鑰去加密和解密數(shù)據(jù)非對(duì)稱密鑰加密需要使用不同的密鑰來分別完成加密和解密操作9. 拒絕服務(wù)攻擊方式包括:( ) Ping of deathSYN FloodUDP FloodTeardrop10. 某網(wǎng)站登錄驗(yàn)證邏輯：從數(shù)據(jù)庫(kù)查詢對(duì)應(yīng)用戶名和密碼，存在返回值即驗(yàn)證通過。以下數(shù)據(jù)庫(kù)SQL注入語(yǔ)句符合登錄成功邏輯且一定成功的是：( ) SELECT FROM user WHERE username = 1 OR 1 = 1 AND password = SELECT FROM user WHERE username = 1 OR 1 = 1 # A

27、ND password = SELECT FROM user WHERE username = 1 OR 1 = 1 AND password = 1 OR 1 = 1SELECT FROM user WHERE username = 1 AND password = OR 1 = 1SELECT FROM user WHERE username = 1 AND password = 1 #11. 以下算法中不屬于非對(duì)稱算法的是：( ) HASH算法RSA算法IDEA三重DES12. 這段代碼存在的安全問題會(huì)產(chǎn)生什么安全漏洞？（ ） 命令執(zhí)行漏洞反射XSS漏洞文件包含漏洞SQL注入漏洞13.

28、SSL協(xié)議（安全套接層協(xié)議）是Netscape公司推出的一種安全通信協(xié)議，以下哪些服務(wù)中是由SSL協(xié)議提供的：( ) 用戶和服務(wù)器的合法性認(rèn)證服務(wù)加密數(shù)據(jù)服務(wù)以隱藏傳輸?shù)臄?shù)據(jù)基于UDP應(yīng)用的安全保護(hù)維護(hù)數(shù)據(jù)的完整性14. XSS 惡意攻擊者可能得到哪些重要信息？（ ） 執(zhí)行關(guān)鍵操作的更高權(quán)限用戶的會(huì)話信息（SESSION）私密網(wǎng)頁(yè)內(nèi)容用戶的Cookie內(nèi)容ACD15. 輸入?yún)?shù)過濾可以預(yù)防以下哪些攻擊：( ) SQL注入跨站腳本緩沖區(qū)溢出跨站請(qǐng)求偽造16.下列說法正確的是:（ ） MySQL服務(wù)的安裝路徑不能修改MySQL數(shù)據(jù)文件的存放位置可以修改MySQL數(shù)據(jù)庫(kù)的訪問端口可以修改MySQL數(shù)據(jù)庫(kù)的訪問端口不能修改17. 數(shù)字水印技術(shù)通過在數(shù)字化的多媒體數(shù)據(jù)中嵌入硬幣的水印標(biāo)記，可以有效實(shí)