答案南開大學2020秋《攻防技術基礎》在線作業(yè)

1.()是一種自動化或半自動化的安全漏洞檢測技術，通過向目標軟件輸入大量的畸形數據并監(jiān)測目標系統(tǒng)的異常來發(fā)現潛在的軟件漏洞。A.滲透測試B.黑盒測試C.白盒測試D.模糊測試答案：D2.()把軟件開發(fā)的過程劃分為需求-分析-設計-編碼-測試等幾個階段進行，每一個階段都明確定義了產出物和驗證的準則。A.瀑布模型B.螺旋模型C.迭代模型D.快速原型模型答案：A3.以下哪項不是SQL注入的方法()。A.單引號法B.永真永假法C.執(zhí)行系統(tǒng)命令D.時間盲注法答案：C4.()是指攻擊者竊聽了用戶訪問HTTP時的用戶名和密碼，或者是用戶的會話，從而得到sessionID，進而冒充用戶進行HTTP訪問的過程。A.會話劫持B.遭破壞的認證和會話管理C.會話保持攻擊D.中間人攻擊答案：B.源代碼通過()后形成可執(zhí)行文件。A.匯編B.編譯C.連接D.編譯和連接答案：D.木馬與病毒的重大區(qū)別是()。A.木馬會自我復制.木馬具有隱蔽性C.木馬不具感染性D.木馬通過網絡傳播答案：C.以下哪項不屬于緩存區(qū)溢出漏洞()。A.堆溢出.棧溢出C.單字節(jié)溢出D.SQL注入答案：D8.以下哪項不是情報搜集階段要做的事情()。A.社會工程學.被動監(jiān)聽C.與客戶交流D.公開來源信息查詢答案：C.轟動全球的震網病毒是()。A.木馬B.蠕蟲病毒C.后門D.寄生型病毒答案：B.以下哪項屬于PE文件的數據節(jié)()A..textB..txtC..docxD..xls答案：A.軟件靜態(tài)安全檢測技術是針對()的軟件所開展的安全分析測試技術。A.運行狀態(tài)B.調試狀態(tài)C.未處于運行狀態(tài)D.編譯狀態(tài)答案：C12.以下哪項不是PHP的注釋符號()。A.#//B.--+C./**/答案：C13.()是由于向程序的緩沖區(qū)中輸入的數據超過其規(guī)定長度，造成緩沖區(qū)溢出，破壞程序正常的堆棧，使程序執(zhí)行其他指令。A.設計錯誤漏洞B.訪問驗證漏洞C.配置錯誤漏洞D.緩沖區(qū)溢出漏洞答案：D14.以下說法錯誤的是()A.靜態(tài)分析可以比較全面地考慮執(zhí)行路徑，漏報率比動態(tài)分析低B.動態(tài)分析由于獲取了具體的運行信息，因此報告的漏洞更為準確，誤報率較低C.將動態(tài)分析和靜態(tài)分析結合起來對二進制進行分析，這種技術比單純的動態(tài)和靜態(tài)分析更加簡單，比較有代表性的是BitBlazeD.TEMU是BitBlaze的動態(tài)分析模塊，其實質是一個虛擬機答案：C15.緩沖區(qū)溢出后執(zhí)行的代碼，會以()的身份權限運行。A.系統(tǒng)B.用戶C.原有程序D.程序答案：C16.()也稱為敏捷開發(fā)，它是根據客戶的需要在很短的時間內完成一個可以演示的軟件產品，這個軟件產品可以是只實現部分功能或者是最重要的功能，但是可以讓用戶直接看到一個直觀的原型系統(tǒng)。A.瀑布模型B.螺旋模型C.迭代模型D.快速原型模型答案：D17.()是通過全面的采用防范技術可以避免因單個漏洞對系統(tǒng)造成的危害。A.最小權限原則B.全面防御原則C.心里接受性D.代碼重用性答案：B18.()適合檢查因控制流信息非法操作而導致的安全問題，如內存訪問越界、常數傳播等。A.詞法分析B.數據流分析C.符號執(zhí)行D.模型檢驗答案：B19.以下有關GS說法錯誤的是()A.GSStackProtection技術是一項緩沖區(qū)溢出的檢測防護技術B.VC++編譯器中提供GS編譯選項C.攻擊者可以對security_cookie進行篡改D.GS技術對基于棧的緩沖區(qū)溢出攻擊能起到很好的防范作用答案：C20.()解決的是如何組織軟件的開發(fā)過程，但是它沒有解決如何在軟件開發(fā)過程中防止安全缺陷的出現。A.軟件開發(fā)生命周期B.安全威脅模型C.安全設計D.安全編程答案：A21.網頁與HTML對應的關系是()。A.一對一B.多對一C.一對多D.多對多答案：C22.滲透測試是通過()，來評估計算機網絡系統(tǒng)安全的一種評估方法。A.模擬惡意黑客的攻擊方法B.惡意黑客的攻擊方法C.安全測試的攻擊方法D.影響業(yè)務系統(tǒng)正常運行的攻擊方法答案：A23.按照軟件漏洞被攻擊者利用的地點，軟件漏洞可以分為()A.本地利用和遠程利用漏洞B.輸入驗證錯誤漏洞和設計錯誤漏洞C.配置錯誤漏洞和競爭條件漏洞D.0day漏洞和1day漏洞答案：A24.Shell是一個命令解釋器，它解釋()的命令并且把它們送到內核。A.系統(tǒng)輸入B.用戶輸入C.系統(tǒng)和用戶輸入D.輸入答案：B.蠕蟲與普通病毒相比特有的性質為()。A.傳播性B.隱蔽性C.不利用文件寄生D.破壞性答案：C.對于存在高風險的軟件產品，有必要通過威脅建模開展深入的風險分析。()T.對F.錯答案：T.SSH協(xié)議可以實現Internet上數據傳輸的安全，通過利用數據加密技術，它可確保數據在網絡上傳輸不會被截取或者竊聽。()T.對F.錯答案：F.在PHP中，當使用include。函數時，只有代碼執(zhí)行到該函數時才會將文件包含進來。當包含外部文件發(fā)生錯誤時，系統(tǒng)只會給出一個警告而繼續(xù)向下執(zhí)行。()T.對F.錯答案：T.壓縮殼的特點是減小軟件體積大小，加密保護也是重點。()T.對F.錯答案：F.同一文件不同函數的代碼在內存代碼區(qū)中的分布一定是相鄰的。()T.對F.錯答案：F.一些軟件漏洞問題會隨時間變長而自動消失。()T.對F.錯答案：F.ROP允許我們繞過DEP和ALSR,但不能繞開GS緩沖區(qū)溢出的檢測防護技術。()T.對F.錯答案：T.在計算機術語中，會話是指一個終端用戶與交互系統(tǒng)進行通訊的過程。()T.對F.錯答案：T.軟件漏洞本身存在就有危害。()T.對F.錯答案：F.緩沖區(qū)溢出一般是通過覆蓋堆棧中的返回地址，使程序跳轉到shellcode或指定程序處執(zhí)行。()T.對F.錯答案：T.堆由程序員自己分配，速度比較快。()T.對F.錯答案：F.本地利用漏洞是指攻擊者可以直接通過網絡發(fā)起攻擊并利用的軟件漏洞。()T.對F.錯答案：F.為了提高瀑布模型的開發(fā)效率，在系統(tǒng)的架構設計完成后，可將系統(tǒng)分為多個可并行開發(fā)的模塊。()T.對F.錯答案：T.軟件安全測試不但可以進行對軟件代碼的安全測試，還可以對軟件成品進行安全測試。()T.對F.錯答案：T.printf函數的第一個參數就是格式化字符串，它來告訴程序將數據以什么格式輸出。()T.對F.錯答案：T.情報搜集是否充分在很大程度上決定了滲透測試的成敗。()T.對F.錯答案：T.存儲在硬盤上的cookie不可以在不同的瀏覽器進程間共享。()T.對F.錯答案：F.Session的使用是由瀏覽器按照一定的原則在后臺自動發(fā)送給服務器的。()T.對F.錯答案：F.存儲式XSS需讓用戶查看一個正常的URL鏈接，而這個鏈接中存儲了一段腳本。()T.對F.錯答案：T.符號溢出是使用另外的數據類型來存儲整型數造成的。()T.對F.錯答案：F答案：答案：F.美國國家漏洞數據庫NVD(NationalVulnerabilitiesDatabase)是美國國家標準與技術局NIST于2007年創(chuàng)建的，由國土安全部DHS的國家賽博防衛(wèi)部和US-cert贊助支持。()T.對F.錯答案：F.對于堆內存分配，操作系統(tǒng)有一個堆管理結構，用來管理空閑內存地址的鏈表。()T.對F.錯答案：T.漏洞也稱為脆弱性(