信息安全管理（高級(jí)）試題附有答案

信息安全管理（高級(jí)）試題[復(fù)制]（A卷）

姓名:______

分?jǐn)?shù)：_______一、選擇題（每題1分，共80題）1(單選題)不是本地文件包含利用（）[單選題]*A、上傳圖片GETshell(正確答案)B、讀取文件，讀取php文件C、包含日志文件獲取webshellD、一句話木馬2(單選題)在一個(gè)分片數(shù)據(jù)流中，決定分片先后順序的是（）[單選題]*A、標(biāo)識(shí)符(正確答案)B、TTL值C、協(xié)議號(hào)D、段偏移量3(單選題)下列哪個(gè)不是業(yè)務(wù)邏輯安全漏洞造成的是（）[單選題]*A、緩沖區(qū)溢出(正確答案)B、登錄框爆破C、任意金額修改D、重置后臺(tái)管理員用戶密碼4(單選題)目前系統(tǒng)最強(qiáng)大和最具吸引力的核心功能是（）[單選題]*A、威脅建模(正確答案)B、情報(bào)搜集C、滲透攻擊D、漏洞分析5(單選題)以下哪個(gè)不是安全的模塊？（）[單選題]*A、攻擊載荷模塊(正確答案)B、空指令模塊C、譯碼模塊D、后滲透攻擊模塊6(單選題)以下不屬于安全的防御的是（）[單選題]*A、驗(yàn)證PostalCode字段(正確答案)B、添加Token驗(yàn)證C、二次驗(yàn)證D、用戶養(yǎng)成良好的習(xí)慣7(單選題)下對(duì)網(wǎng)絡(luò)層數(shù)據(jù)包進(jìn)行過(guò)濾和控制的信息安全技術(shù)機(jī)制是（）[單選題]*A.防火墻(正確答案)B.IDSC.SnifferD.IPSec8(單選題)下面哪個(gè)不是對(duì)網(wǎng)絡(luò)安全的防御（）[單選題]*A、限制ip(正確答案)B、限制端口C、過(guò)濾返回信息D、過(guò)濾post參數(shù)9(單選題)下面那個(gè)不是基于系統(tǒng)內(nèi)核提權(quán)，信息收集的命令（）（選擇1項(xiàng)）[單選題]*A、cat/etc/issue(正確答案)B、cat/etc/*-releaseC、cat/etc/sb-releaseD、cat/etc/redhat-release10(單選題)互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位落實(shí)的記錄留存技術(shù)措施，應(yīng)當(dāng)具有至少保存()天記錄備份的功能。[單選題]*A.10(正確答案)B.30C.60D.9011(單選題)針對(duì)操作系統(tǒng)安全漏洞的蠕蟲(chóng)病毒根治的技術(shù)措施是()[單選題]*A.防火墻隔離(正確答案)B.安裝安全補(bǔ)丁程序C.專用病毒查殺工具D.部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)12(單選題)對(duì)于遠(yuǎn)程訪問(wèn)型VPN來(lái)說(shuō)，_____產(chǎn)品經(jīng)常與防火墻及NAT機(jī)制存在兼容性問(wèn)題，導(dǎo)致安全隧道建立失敗。[單選題]*A.IPSeeVPN(正確答案)B.SSLVPNC.MPLSVPND.L2TPVPN13(單選題)信息安全登記保護(hù)的5個(gè)級(jí)別中，______是最高級(jí)別，屬于關(guān)系到國(guó)計(jì)民生的最關(guān)鍵信息系統(tǒng)的保護(hù)。[單選題]*A.強(qiáng)制保護(hù)級(jí)(正確答案)B.?？乇Ｗo(hù)級(jí)C.監(jiān)督保護(hù)級(jí)D.指導(dǎo)保護(hù)級(jí)E.自主保護(hù)級(jí)14(單選題)為了防御網(wǎng)絡(luò)監(jiān)聽(tīng)，最常用的方法是()[單選題]*A、采用物理傳輸(非網(wǎng)絡(luò))(正確答案)B、信息加密C、無(wú)線網(wǎng)D、使用專線傳輸15(單選題)使網(wǎng)絡(luò)服務(wù)器中充斥著大量要求回復(fù)的信息，消耗帶寬，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)停止正常服務(wù)，這屬于什么攻擊類型?()[單選題]*A、拒絕服務(wù)(正確答案)B、文件共享C、BIND漏洞D、遠(yuǎn)程過(guò)程調(diào)用16(單選題)向有限的空間輸入超長(zhǎng)的字符串是哪一種攻擊手段?()[單選題]*A、緩沖區(qū)溢出;(正確答案)B、網(wǎng)絡(luò)監(jiān)聽(tīng);C、拒絕服務(wù)D、IP欺騙17(單選題)用戶收到了一封可疑的電子郵件,要求用戶提供銀行賬戶及密碼,這是屬于何種攻擊手段?()[單選題]*A、緩存溢出攻擊;(正確答案)B、釣魚(yú)攻擊;C、暗門(mén)攻擊;D、DDOS攻擊18(單選題)以下哪項(xiàng)不屬于防止口令猜測(cè)的措施?()[單選題]*A、嚴(yán)格限定從一個(gè)給定的終端進(jìn)行非法認(rèn)證的次數(shù);(正確答案)B、確?？诹畈辉诮K端上再現(xiàn);C、防止用戶使用太短的口令;D、使用機(jī)器產(chǎn)生的口令19(單選題)針對(duì)數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，這是()防火墻的特點(diǎn)。[單選題]*A、包過(guò)濾型(正確答案)B、應(yīng)用級(jí)網(wǎng)關(guān)型C、復(fù)合型防火墻D、代理服務(wù)型20(單選題)在每天下午5點(diǎn)使用計(jì)算機(jī)結(jié)束時(shí)斷開(kāi)終端的連接屬于()[單選題]*A、外部終端的物理安全(正確答案)B、通信線的物理安全C、探聽(tīng)數(shù)據(jù)D、網(wǎng)絡(luò)地址欺騙21(單選題)以下對(duì)于虛擬主機(jī)說(shuō)法錯(cuò)誤的是（）方式。[單選題]*A、可使用不同的IP地址創(chuàng)建多個(gè)虛擬主機(jī)(正確答案)B、可使用相同的IP地址，不同的端口號(hào)創(chuàng)建多個(gè)虛擬主機(jī)C、可使用相同的IP地址，相同的端口號(hào)創(chuàng)建多個(gè)虛擬主機(jī)D、可使用相同的IP地址，不同的主機(jī)名創(chuàng)建多個(gè)虛擬主機(jī)22(單選題)在系統(tǒng)中，網(wǎng)卡配置文件的默認(rèn)路徑是()。(選擇一項(xiàng))[單選題]*A、/etc/sysconfig/network-scripts/(正確答案)B、/etc/network-scripts/C、/etc/sysconfig/D、/etc/23(單選題)在系統(tǒng)中，BIND域名服務(wù)默認(rèn)通過(guò)()端口向客戶機(jī)提供DNS查詢。[單選題]*A、TCP67(正確答案)B、UDP67C、TCP53D、UDP5324(單選題)RDP的端口號(hào)為（）[單選題]*A、3389(正確答案)B、23C、22D、44325(單選題)BurpSuite是用于攻擊（）的集成平臺(tái)。[單選題]*A、web應(yīng)用程序(正確答案)B、客戶機(jī)C、服務(wù)器D、瀏覽器26(單選題)在HTTP狀態(tài)碼中表示重定向的是（）[單選題]*A、200(正確答案)B、302C、403D、50027(單選題)掃描器之王NMAP中，全面掃描的命令是什么（）[單選題]*A、-O(正確答案)B、-sVC、-sPD、-A28(單選題)通過(guò)修改HTTPheaders中的哪個(gè)鍵值可以偽造來(lái)源網(wǎng)址（）[單選題]*A、X-Forwarded-For:(正確答案)B、User-AgentC、AcceptD、Referer29(單選題)數(shù)據(jù)注入出password的字段值為“YWRtaW44ODg=”，這是采用了哪種加密方式（）[單選題]*A、md5(正確答案)B、base64C、AESD、DES30(單選題)下列工具中可以直接從內(nèi)存中讀取windows密碼的是（）[單選題]*A、getpass(正確答案)B、QuarkssPwDumpC、SAMINSIDED、John31(單選題)下列哪種攻擊方式是利用TCP三次握手的弱點(diǎn)進(jìn)行的（）[單選題]*A、SYNFLOOD(正確答案)B、嗅探C、會(huì)話劫持D、SQL注入32(單選題)下列關(guān)于HTTP協(xié)議，敘述錯(cuò)誤的是（）[單選題]*A、它于1990年提出，當(dāng)前版本為HTTP/1.1(正確答案)B、HTTP設(shè)計(jì)用來(lái)將服務(wù)器端腳本（PHP）從Web服務(wù)器傳送到Web瀏覽器。C、HTTP是一個(gè)請(qǐng)求和響應(yīng)的協(xié)議：客戶機(jī)發(fā)送請(qǐng)求，服務(wù)器對(duì)請(qǐng)求給出回應(yīng)。D、HTTP使用可靠的TCP鏈接，可以使用端口8000。33(單選題)哪一項(xiàng)不是同源策略的內(nèi)容（）[單選題]*A、協(xié)議(正確答案)B、域名C、文件名D、端口號(hào)34(單選題)下列哪一個(gè)安全公告來(lái)自于微軟（）[單選題]*A、CWE-22(正確答案)B、CVE-2018-3191C、MS17-010D、S2-05735(單選題)數(shù)據(jù)注入漏洞不會(huì)出現(xiàn)在（）位置[單選題]*A、GET參數(shù)(正確答案)B、CookieC、RefererD、HTTP報(bào)文的Server字段36(單選題)使用數(shù)據(jù)進(jìn)行COOKIE注入時(shí)，正確的語(yǔ)句是（）[單選題]*A、-u"shownews.asp"--cookie"id=2"--level2(正確答案)B、-rpost.txtC、sqlmap-g"inurl:php?id="D、-u"shownews.asp"-D'database'-T'table'-C'user,pwd'--dump37(單選題)下列哪種行為容易遭受XSS攻擊（）[單選題]*A、打開(kāi)網(wǎng)友留言中的連接(正確答案)B、對(duì)數(shù)據(jù)進(jìn)行定期備份C、及時(shí)安裝計(jì)算機(jī)系統(tǒng)的安全補(bǔ)丁D、安裝正版殺毒軟件并更新38(單選題)數(shù)據(jù)注入漏洞發(fā)生在（）[單選題]*A、應(yīng)用層(正確答案)B、數(shù)據(jù)鏈路層C、傳輸層D、網(wǎng)絡(luò)層39(單選題)數(shù)據(jù)的默認(rèn)端口是（）[單選題]*A、3389(正確答案)B、1521C、3306D、143340(單選題)以下代碼容易觸發(fā)什么漏洞（）

---------------------PD9waHANCmlmKGlzc2V0KCRfR0VUWydjbWQnXSkpew0KCSRjbWQ9JF9HRVRbJ2NtZCddOw0KCXByaW50IGAkY21kYDsNCn1lbHNlew0KCWVjaG8iZW3igKbigKbigKYiOw0KfQ0KPz4=------------------------[單選題]*A、XSS漏洞(正確答案)B、SQLC、OS命令注入D、代碼注入41(單選題)關(guān)于數(shù)據(jù)幀如何傳輸錯(cuò)誤的是?[單選題]*A、以太網(wǎng)在二層鏈路上通過(guò)MAC地址來(lái)唯一標(biāo)識(shí)網(wǎng)絡(luò)設(shè)備，并且實(shí)現(xiàn)局域網(wǎng)上網(wǎng)絡(luò)設(shè)備之間的通信(正確答案)B、MAC地址也叫物理地址C、發(fā)送端使用自己的MAC地址作為目的地址D、以太幀封裝完成后會(huì)通過(guò)物理層轉(zhuǎn)換成比特流在物理介質(zhì)上傳輸。42(單選題)關(guān)于靜態(tài)路由描述錯(cuò)誤的是[單選題]*A、當(dāng)源網(wǎng)絡(luò)和目的網(wǎng)絡(luò)之間存在多條鏈路時(shí)，可以通過(guò)等價(jià)路由來(lái)實(shí)現(xiàn)流量負(fù)載分擔(dān)(正確答案)B、在配置多條靜態(tài)路由時(shí)，可以修改靜態(tài)路由的優(yōu)先級(jí)，使一條靜態(tài)路由的優(yōu)先級(jí)高于其他靜態(tài)路由，從而實(shí)現(xiàn)靜態(tài)路由的備份，也叫浮動(dòng)靜態(tài)路由C、浮動(dòng)靜態(tài)路由在網(wǎng)絡(luò)中主路由失效的情況下，會(huì)加入到路由表并承擔(dān)數(shù)據(jù)轉(zhuǎn)發(fā)業(yè)務(wù)D、缺省路由是目的地址和掩碼都為全0的特殊路由。路由器把默認(rèn)路由放置首位對(duì)流量進(jìn)行匹配，把所有流量轉(zhuǎn)發(fā)到規(guī)定的下一跳地址。43(單選題)下列關(guān)于系統(tǒng)中用戶和組敘述錯(cuò)誤的是（）[單選題]*A、用戶必須有一個(gè)基本組，且只能屬于一個(gè)基本組。(正確答案)B、創(chuàng)建一個(gè)用戶的時(shí)候，如果沒(méi)有指定基本組的話，會(huì)先創(chuàng)建一個(gè)與該用戶同名的組，再創(chuàng)建用戶。C、一個(gè)用戶可以有多個(gè)附加組。D、可以直接刪除基本組44(單選題)系統(tǒng)中關(guān)于權(quán)限八進(jìn)制表達(dá)755對(duì)應(yīng)的是（）[單選題]*A、-rw----r--(正確答案)B、-rwxr-wr-wC、-rwx---r--D、-rwxr-xr-x45(單選題)下列數(shù)據(jù)語(yǔ)句分類中，可以用于數(shù)據(jù)操縱的是（）[單選題]*A、DDL(正確答案)B、DMLC、DCLD、DTL46(單選題)關(guān)于information_schema敘述錯(cuò)誤的是（）[單選題]*A、該數(shù)據(jù)庫(kù)是MySQL自定義的，用來(lái)存儲(chǔ)數(shù)據(jù)庫(kù)中元數(shù)據(jù)的，包括庫(kù)名、表名、字段名等。(正確答案)B、該數(shù)據(jù)庫(kù)默認(rèn)情況下所有賬戶都無(wú)訪問(wèn)權(quán)限C、information_schema.tables表中存儲(chǔ)了所有表的名字D、information_schema.columns表中存儲(chǔ)了所有字段的名字47(單選題)WindowsServer2008上安裝的FTP服務(wù)，默認(rèn)的存儲(chǔ)路徑是（）。[單選題]*A、c:\inetpub(正確答案)B、c:\inetpub\ftprootC、c:\ftprootD、c:\inetpub\wwwroot48(單選題)部署IPSECVPN時(shí)，常用的對(duì)稱加密算法有（）。[單選題]*A、RSA(正確答案)B、3DESC、SHAD、MD549(單選題)Windows賬戶密碼的儲(chǔ)存位置在哪？[單選題]*A、c:\windows\system32\config\SAM(正確答案)B、c:\windows\system32\SAMC、c:\windows\SAMD、c:\config\SAM50(單選題)下列端口號(hào)與服務(wù)對(duì)應(yīng)錯(cuò)誤的是?[單選題]*A、telnet：23(正確答案)B、https：443C、rdp：3389D、dns：67，6851(單選題)以下選項(xiàng)是遠(yuǎn)程文件包含和本地文件包含的區(qū)別的是？[單選題]*A、本地文件包含漏洞可以包含圖片木馬，遠(yuǎn)程文件包含不行B、遠(yuǎn)程文件包含漏洞可包含文件寫(xiě)Shell，本地文件包含不行C、遠(yuǎn)程文件包含漏洞可用php://input偽協(xié)議任意PHP代碼執(zhí)行，本地文件包含不行(正確答案)D、本地文件包含漏洞可以執(zhí)行文件讀取，遠(yuǎn)程文件包含不行52(單選題)是進(jìn)行等級(jí)確定和等級(jí)保護(hù)管理的最終對(duì)象。[單選題]*A.業(yè)務(wù)系統(tǒng)(正確答案)B.功能模塊C.信息系統(tǒng)D.網(wǎng)絡(luò)系統(tǒng)53(單選題)下列選項(xiàng)中關(guān)于WebShell說(shuō)法不正確的是？[單選題]*A、webshell是一個(gè)后門(mén)(正確答案)B、webshell是一個(gè)命令解釋器C、webshell是通過(guò)HTTP協(xié)議通信D、webshell是一個(gè)攻擊木馬54(單選題)下列選項(xiàng)哪個(gè)不是業(yè)務(wù)邏輯安全漏洞造成的？[單選題]*A、緩沖區(qū)溢出(正確答案)B、登錄框爆破C、任意金額修改D、重置后臺(tái)管理員用戶密碼55(單選題)跨站請(qǐng)求偽造漏洞有三個(gè)角色，以下選項(xiàng)沒(méi)在其中的是？[單選題]*A、服務(wù)器(正確答案)B、防御者C、攻擊者D、終端用戶56(單選題)預(yù)防CSRF(跨站點(diǎn)請(qǐng)求偽造),下面描述不正確的是?[單選題]*A、驗(yàn)證HTTPReferer字段(正確答案)B、在HTTP請(qǐng)求中添加token并驗(yàn)證C、在HTTP頭中自定義屬性并驗(yàn)證D、對(duì)HTTPrequest和response做HTMLencode57(單選題)如果一個(gè)網(wǎng)站存在CSRF漏洞，可以通過(guò)CSRF漏洞做下面哪些事情？[單選題]*A、獲取網(wǎng)站用戶注冊(cè)的個(gè)人資料信息(正確答案)B、修改網(wǎng)站用戶注冊(cè)的個(gè)人資料信息C、冒用網(wǎng)站用戶的身份發(fā)布信息D、以上都可以58(單選題)下列哪個(gè)選項(xiàng)不是SSRF（服務(wù)器端請(qǐng)求偽造）的危害？[單選題]*A、端口掃描(正確答案)B、內(nèi)網(wǎng)Web應(yīng)用指紋識(shí)別C、攻擊互聯(lián)網(wǎng)Web應(yīng)用D、讀取本地文件59(單選題)下列哪個(gè)選項(xiàng)不是SSRF（服務(wù)器端請(qǐng)求偽造）的防御方法？[單選題]*A、限制ip(正確答案)B、限制端口C、過(guò)濾返回信息D、使用HTTPS協(xié)議60(單選題)下面那個(gè)不是獲取系統(tǒng)信息的命令？[單選題]*A、cat/etc/issue(正確答案)B、cat/etc/*-releaseC、cat/etc/sb-releaseD、cat/etc/redhat-release61(單選題)永恒之藍(lán)漏洞利用以下哪個(gè)端口？[單選題]*A、3389(正確答案)B、21C、445D、330662(單選題)在GoogleHacking中，下面哪一個(gè)是搜索指定文件類型的語(yǔ)句？[單選題]*A、intext(正確答案)B、intitleC、siteD、filetype63(單選題)下列哪個(gè)選項(xiàng)不是本地文件包含漏洞利用？[單選題]*A、通過(guò)上傳的圖片GetShell(正確答案)B、讀取文件，讀取php文件C、包含日志文件獲取webshellD、包含數(shù)據(jù)庫(kù)文件,查看字段內(nèi)容64(單選題)下列選項(xiàng)關(guān)于文件包含漏洞特點(diǎn)，錯(cuò)誤的是？[單選題]*A、無(wú)視文件擴(kuò)展名讀取文件(正確答案)B、以源碼的方式讀取文件C、如果被包含的文件中有php代碼，就會(huì)去嘗試執(zhí)行它D、在JSP、ASP、ASP.NET程序中存在較多65(單選題)下面哪種上傳文件的格式是利用的Nginx解析漏洞？[單選題]*A、/test.asp;1.jpg(正確答案)B、/test.jpg/1.phpC、/test.asp/test.jpgD、/test.php.xxx66(單選題)下列哪些方法可以繞過(guò)服務(wù)器端對(duì)文件內(nèi)容的檢測(cè)？[單選題]*A、使用Burp抓包，修改Content-Type字段繞過(guò)檢測(cè)(正確答案)B、通過(guò)制作上傳圖片木馬繞過(guò)檢測(cè)C、修改文件擴(kuò)展名繞過(guò)D、00截?cái)嗬@過(guò)67(單選題)當(dāng)采用文件上傳檢測(cè)，檢測(cè)文件后綴名并采用白名單策略時(shí)，以下錯(cuò)誤的是？[單選題]*A、前端JS腳本檢測(cè)時(shí)，修改JS代碼，甚至刪除表單事件(正確答案)B、前端JS腳本檢測(cè)時(shí)，本地構(gòu)造HTML表單C、服務(wù)器端檢測(cè)時(shí)，使文件后綴名符合白名單策略，用Burp掛代理抓包，然后修改文件后綴名即可D、服務(wù)器端檢測(cè)檢測(cè)時(shí)，上傳圖片馬繞過(guò)68(單選題)從Web服務(wù)器角度如何防御文件上傳漏洞？[單選題]*A、上傳文件重命名，盡量少的從客戶端獲取信息(正確答案)B、進(jìn)行二次渲染，過(guò)濾掉圖片木馬中的惡意代碼C、及時(shí)更新Web容器，防止解析漏洞的產(chǎn)生D、避免文件包含漏洞69(單選題)下列哪個(gè)選項(xiàng)不能使文件上傳漏洞完美利用？[單選題]*A、Web服務(wù)器要開(kāi)啟文件上傳功能，并且上傳api（接口）對(duì)外“開(kāi)放“（Web用戶可以訪問(wèn)）(正確答案)B、Web用戶對(duì)目標(biāo)目錄具有可寫(xiě)權(quán)限，甚至具有執(zhí)行權(quán)限，一般情況下，Web目錄都有執(zhí)行權(quán)限C、要想完美利用文件上傳漏洞，就是上傳的文件可以執(zhí)行，也就是Web容器可以解析我們上傳的腳本，無(wú)論腳本以什么樣的形式存在D、服務(wù)器配置不當(dāng)，關(guān)閉了PUT方法70(單選題)下列哪個(gè)不屬于系統(tǒng)攻擊類型？[單選題]*A、反射型XSS(正確答案)B、存儲(chǔ)型XSSC、DOM型XSSD、延時(shí)型XSS71(單選題)下列不能驗(yàn)證系統(tǒng)漏洞存在的代碼是[單選題]*A、<script>alert(/xss/)</script>(正確答案)B、<script>confirm('xss')</script>C、<script>prompt('xss')</script>D、<imgsrc='/1.gif'>72(單選題)下列關(guān)于系統(tǒng)的變形錯(cuò)誤的是?[單選題]*A、<ImgsRc='#'Onerror="alert(/xss/)"/>(正確答案)B、<Img/sRc='#'/Onerror='alert(/xss/)'/>C、<AhREf="javascript:alert(/xss/)">clickme!</a>D、<ImgsRc='#'Onerror="alErt(/xss/)"/>73(單選題)下列哪種行為容易遭受系統(tǒng)攻擊？[單選題]*A、打開(kāi)網(wǎng)友留言中的鏈接(正確答案)B、對(duì)數(shù)據(jù)進(jìn)行定期備份C、及時(shí)安裝計(jì)算機(jī)系統(tǒng)的安全補(bǔ)丁D、安裝正版殺毒軟件并更新74(單選題)下列對(duì)跨站腳本攻擊的解釋最準(zhǔn)確的一項(xiàng)是？[單選題]*A、影響范圍較小(正確答案)B、構(gòu)造精妙的關(guān)系數(shù)據(jù)庫(kù)的結(jié)構(gòu)化查詢語(yǔ)言對(duì)數(shù)據(jù)庫(kù)進(jìn)行非法的訪問(wèn)C、一種很強(qiáng)大的木馬攻擊手段D、將惡意代碼嵌入到用戶瀏覽的web網(wǎng)頁(yè)中，從而達(dá)到惡意的目的75(單選題)已知一臺(tái)服務(wù)器存在系統(tǒng)漏洞，源代碼如下，下列選項(xiàng)中不可以繞過(guò)過(guò)濾并彈框的是?

代碼：----><?phpif(arr