網(wǎng)絡(luò)安全 1+X?？荚囶}及答案

網(wǎng)絡(luò)安全1+X模考試題及答案一、單選題（共82題，每題1分，共82分）1.在Mysql數(shù)據(jù)庫中，下列哪個(gè)庫保存了Mysql所有的信息()A、information_schemaB、performance_schemaC、testD、mysql正確答案：A2.非關(guān)系型數(shù)據(jù)庫通常都有一個(gè)什么問題()？A、默認(rèn)的庫會(huì)造成信息泄露B、默認(rèn)以ROOT賬號運(yùn)行C、默認(rèn)沒有開啟驗(yàn)證D、網(wǎng)絡(luò)端口暴露在互聯(lián)網(wǎng)正確答案：C3.在滲透測試過程中，“利用所獲取到的信息，標(biāo)識出目標(biāo)系統(tǒng)上可能存在的安全漏洞與弱點(diǎn)”事項(xiàng)，應(yīng)在()階段完成。A、滲透攻擊B、漏洞分析C、前期交互D、威脅建模正確答案：D4.以下哪一選項(xiàng)是搜索網(wǎng)段地址（比如C段）的語法關(guān)鍵字()？A、hostnameB、portC、netD、city正確答案：C5.在建立企業(yè)網(wǎng)絡(luò)架構(gòu)時(shí)，我們通常為依照什么來劃分安全域()？A、網(wǎng)絡(luò)設(shè)備物理接口B、業(yè)務(wù)安全等級C、服務(wù)器IP地址D、服務(wù)器性能正確答案：B6.Cookie的屬性中，Domain是指什么()？A、過期時(shí)間B、關(guān)聯(lián)Cookie的域名C、Cookie的名稱D、Cookie的值正確答案：B7.通常情況下，Iptables防火墻內(nèi)置的()表負(fù)責(zé)網(wǎng)絡(luò)地址轉(zhuǎn)換。A、FILTERB、RAWC、MANGLED、NAT正確答案：D8.在centos中，用戶root的默認(rèn)工作路徑是()A、/home/rootB、/usr/rootC、/usrD、/root正確答案：D9.在ModSecurity中進(jìn)行添加安全規(guī)則的命令是()。A、SecEngineB、SecRuleC、SecAddD、SecAction正確答案：B10.在MAC中，誰來檢查主體訪問客體的規(guī)則()？A、管理員B、用戶C、安全策略D、客體正確答案：C11.Linux服務(wù)器安全加固說法錯(cuò)誤的()A、防火墻配置B、系統(tǒng)服務(wù)優(yōu)化C、ssh訪問策略D、安裝Nginx正確答案：D12.ModSecurity安全規(guī)則的組成包括()個(gè)部分。A、3B、4C、6D、5正確答案：B13.下列對XSS的解釋最準(zhǔn)確的是()A、構(gòu)造精妙的關(guān)系數(shù)據(jù)庫的結(jié)構(gòu)化查詢語言對數(shù)據(jù)庫進(jìn)行非法訪問B、引誘用戶點(diǎn)擊虛擬網(wǎng)絡(luò)連接的一種攻擊方法C、將惡意代碼嵌入到用戶瀏覽器的Web頁面中，從而達(dá)到惡意的目的D、一種很強(qiáng)大的木馬攻擊手段正確答案：C14.__get()魔術(shù)方法在什么時(shí)候執(zhí)行()？A、類被當(dāng)成字符串時(shí)B、調(diào)用函數(shù)的方式調(diào)用一個(gè)對象時(shí)C、當(dāng)程序試圖調(diào)用一個(gè)未定義或不可見的成員變量時(shí)D、當(dāng)程序試圖寫入一個(gè)不存在或者不可見的成員變量時(shí)正確答案：C15.orderby是()？A、條件語句B、分組語句C、排序語句D、子查詢語句正確答案：C16.下列哪項(xiàng)類型數(shù)據(jù)是不可變化的()？A、字典B、列表C、集合D、元組正確答案：D17.以下哪項(xiàng)不是關(guān)系型數(shù)據(jù)庫()?A、MssqlB、OracleC、MysqlD、Mongodb正確答案：D18.Linux的crontab文件用于()A、記錄用戶最后的登錄時(shí)間B、記錄管理員的操作C、執(zhí)行計(jì)劃任務(wù)D、保存用戶名密碼正確答案：C19.typecho反序列化漏洞中，call_user_func函數(shù)的參數(shù)$filter為什么是可控的()？A、該函數(shù)可以不用此參數(shù)B、程序未對用戶提交數(shù)據(jù)進(jìn)行過濾C、因?yàn)槭荈eed類傳過來的參數(shù)D、該參數(shù)是類Request類中的變量正確答案：D20.traceroute工具可以看到網(wǎng)絡(luò)路徑是因?yàn)槔昧薎P頭中的哪個(gè)字段()A、上層協(xié)議封裝類型B、校驗(yàn)和C、目標(biāo)IP地址D、TTL正確答案：B21.關(guān)閉windows系統(tǒng)默認(rèn)共享的方法不包括()A、利用netshare命令B、利用計(jì)算機(jī)管理器C、本地安全策略管理器D、利用服務(wù)管理器正確答案：C22.typecho反序列化漏洞中，為什么創(chuàng)建的Typecho_DB會(huì)執(zhí)行__toString()魔術(shù)方法()？A、嘗試獲取此對象的變量B、嘗試創(chuàng)建此對象C、嘗試打印此對象D、嘗試將此對象與字符串進(jìn)行拼接正確答案：D23.Metasploit框架中的Meterpreter后滲透功能經(jīng)常使用哪個(gè)函數(shù)來進(jìn)行進(jìn)程遷移()。A、persistence函數(shù)B、getpid函數(shù)C、sysinfo函數(shù)D、migrate函數(shù)正確答案：D24.下列哪些事件不屬于網(wǎng)絡(luò)攻擊事件：()A、分布式拒絕服務(wù)攻擊B、后門攻擊C、漏洞攻擊D、軟硬件自身故障正確答案：D25.Iptables防火墻包括()和iptables外殼程序。A、Iptables表B、FirewalldC、鏈D、Netfilter正確答案：D26.Windows系統(tǒng)采用了那種訪問控制模型()？A、LACB、DACC、MACD、RBAC正確答案：D27.下列是SQLi輔助工具()A、sqlmapB、digC、dnsenumD、nslookup正確答案：A28.在以下人為的惡意攻擊行為中，屬于主動(dòng)攻擊的是？()A、數(shù)據(jù)嗅探B、數(shù)據(jù)流分析C、非法訪問D、身份假冒正確答案：D29.Iptables防火墻進(jìn)行地址轉(zhuǎn)換在哪個(gè)表里面()？A、rawB、mangleC、natD、filter正確答案：C30.Iptables禁止數(shù)據(jù)輸入到防火墻本身，在()鏈里DROP掉即可。A、PREROUTINGB、INPUTC、OUTPUTD、FORWARDE、POSTROUTING正確答案：B31.當(dāng)Web服務(wù)器訪問人數(shù)超過了設(shè)計(jì)訪問人數(shù)上限，將可能出現(xiàn)的HTTP狀態(tài)碼是()A、403B、503C、200D、302正確答案：B32.是什么導(dǎo)致了一個(gè)網(wǎng)站拿不到另一個(gè)網(wǎng)站設(shè)置的cookie()？A、瀏覽器同源策略B、瀏覽器的js代碼C、瀏覽器禁止惡意js腳本運(yùn)行D、服務(wù)器默認(rèn)設(shè)置正確答案：A33.《中華人民共和國網(wǎng)絡(luò)安全法》施行時(shí)間是()：A、2016年11月7日B、2017年1月1日C、2017年6月1日D、2016年12月31日正確答案：C34.盜取Cookie是用做什么()？A、用于登錄B、DDOSC、釣魚D、會(huì)話固定正確答案：A35.php的源碼是()？A、封閉的B、完全不可見的C、需購買的D、開放的正確答案：D36.下列文件擴(kuò)展名和MIME類型對應(yīng)錯(cuò)誤的是()A、.jpgimage/jpgB、.jsapplication/x-javascriptC、.pngimage/pngD、.pdfapplication/pdf正確答案：A37.關(guān)于SSRF說法錯(cuò)誤的是()。A、SSRF就是利用服務(wù)器發(fā)起請求（請求來自客戶端提交的）B、SSRF可以掃描內(nèi)網(wǎng)開放服務(wù)C、利用file、gopher、dict協(xié)議讀取本地文件、執(zhí)行命令等D、SSRF和CSRF漏洞危害是一樣的正確答案：D38.下面不屬于端口掃描技術(shù)的是()？A、TCPconnect掃描攻B、TCPFIN掃描C、IP包分段掃描D、Land掃描正確答案：D39.在linux系統(tǒng)中，下面哪個(gè)命令用于新建用戶()A、userB、groupaddC、usermodD、useradd正確答案：D40.ICMP泛洪利用了()。A、ARP命令的功能B、traceroute命令的功能C、ping命令的功能D、route命令的功能正確答案：C41.中國菜刀是一款經(jīng)典的webshell管理工具，其傳參方式是()。A、GET方式B、明文方式C、COOKIE方式D、POST方式正確答案：D42.電信詐騙識別公式中的因素不包括下列哪個(gè)()？A、隱私類B、無法確定人物身份C、匯款、轉(zhuǎn)賬要求D、用電話、網(wǎng)絡(luò)、短信等溝通工具見不到真人正確答案：A43.typecho反序列化漏洞中，__get()函數(shù)嘗試獲取哪個(gè)變量()？A、nameB、categoryC、screenNameD、author正確答案：C44.利用Firefox瀏覽器的()插件，可基于URL的參數(shù)在一個(gè)或多個(gè)代理之間進(jìn)行切換。A、HackbarB、FlagfoxC、FoxyProxyD、User-Agent正確答案：C45.李明在使用Nmap對目標(biāo)網(wǎng)絡(luò)進(jìn)行掃描時(shí)發(fā)現(xiàn)，某一個(gè)主機(jī)開放了25SMTP和110POP3端口，此主機(jī)最有可能是什么()？A、文件服務(wù)器B、郵件服務(wù)器C、WEB服務(wù)器D、DNS服務(wù)器正確答案：B46.下面說法正確的是()？A、只需要在輸入處過濾xss就可以了B、使用防止sql注入的函數(shù)也可以防御xssC、在輸入和輸出處都要過濾xss攻擊D、htmlspecialchars()可以完全杜絕xss攻擊正確答案：C47.常用于過濾SQL注入的函數(shù)()A、intval()B、htmlspecialchars()C、empty()D、addslashes()正確答案：D48.上傳漏洞前端白名單校驗(yàn)中，用什么工具可以繞過()。A、burpsuiteB、nmapC、菜刀D、蟻劍正確答案：A49.IP數(shù)據(jù)報(bào)分片后的重組通常發(fā)生在()。A、數(shù)據(jù)報(bào)經(jīng)過的路由器上B、目的主機(jī)上C、源主機(jī)上D、源主機(jī)和數(shù)據(jù)報(bào)經(jīng)過的路由器上正確答案：B50.IPSecVPN支持()工作模式，便于對私有網(wǎng)絡(luò)建立VPN。A、傳輸模式B、隧道模式C、AHD、ESP正確答案：B51.下列哪些描述同SSL相關(guān)()。A、公鑰使用戶可以創(chuàng)建會(huì)話密鑰，驗(yàn)證數(shù)字簽名的真實(shí)性以及加密數(shù)據(jù)B、私鑰使用戶可以創(chuàng)建數(shù)字簽名，加密數(shù)據(jù)和解密會(huì)話密鑰C、公鑰使用戶可以交換會(huì)話密鑰，解密會(huì)話秘鑰并驗(yàn)證數(shù)字簽名的真實(shí)性D、私鑰使用戶可以加密通信數(shù)據(jù)。正確答案：C52.和POST方法比較起來，GET方法()A、GET方法比POST方法安全B、GET方法不如POST方法快C、GET方法不如POST方法安全D、以上都不對正確答案：C53.密碼使用的場景通訊類不包括下列哪個(gè)()？A、QQB、陌陌C、購物賬戶D、微信正確答案：C54.PHP結(jié)合Apache的方式不存在的是()。A、ModelB、CGI方式C、FastCGID、API正確答案：D55.FTP協(xié)議使用哪個(gè)端口傳送文件數(shù)據(jù)()A、21B、20C、22D、19正確答案：B56.XSS跨站腳本攻擊可以插入什么代碼()？A、PHPB、JSPC、HTMLD、ASP正確答案：C57.入侵檢測系統(tǒng)與入侵防御系統(tǒng)的最大區(qū)別是()A、入侵防御系統(tǒng)效率高B、入侵防御系統(tǒng)可阻止入侵行為C、入侵檢測系統(tǒng)比入侵防御系統(tǒng)功能強(qiáng)大D、入侵檢測系統(tǒng)可阻止入侵行為正確答案：B58.以下關(guān)于TCP和UDP協(xié)議的描述中，正確的是()。A、TCP是端到端的協(xié)議，UDP是點(diǎn)到點(diǎn)的協(xié)議B、TCP是點(diǎn)到點(diǎn)的協(xié)議，UDP是端到端的協(xié)議C、TCP和UDP都是端到端的協(xié)議D、TCP和UDP都是點(diǎn)到點(diǎn)的協(xié)議正確答案：C59.通過修改HTTPheaders中的哪個(gè)鍵值可以偽造來源網(wǎng)址()A、X-Forwarded-ForB、RefererC、User-AgentD、Accept正確答案：B60.下列關(guān)于ARP協(xié)議及ARP欺騙說法錯(cuò)誤的是()。A、通過重建ARP表可以一勞永逸的解決ARP欺騙B、ARP欺騙的一種方式是欺騙路由器或交換機(jī)等網(wǎng)絡(luò)設(shè)備，使得路由器或交換機(jī)等網(wǎng)絡(luò)設(shè)備將數(shù)據(jù)包發(fā)往錯(cuò)誤的地址，造成被攻擊主機(jī)無法正確接收數(shù)據(jù)包。C、除了攻擊網(wǎng)絡(luò)設(shè)備外，還可以偽造網(wǎng)關(guān)，使本應(yīng)發(fā)往路由器或交換機(jī)的數(shù)據(jù)包發(fā)送到偽造的網(wǎng)關(guān)，造成被攻擊主機(jī)無法上網(wǎng)。D、ARP協(xié)議的作用是實(shí)現(xiàn)IP地址與物理地址之間的轉(zhuǎn)換正確答案：A61.以下說法正確的是()？A、目錄列表可以通過修改配置文件徹底杜絕B、未授權(quán)訪問只出現(xiàn)在數(shù)據(jù)庫軟件上C、未授權(quán)訪問只發(fā)生在管理員頁面D、未授權(quán)訪問不可避免正確答案：A62.關(guān)于類的序列化,下列說法哪些是正確的()。A、類的序列化與serialVersionUID毫無關(guān)系B、如果完全不兼容升級，不需要修改serialVersionUID值C、POJO類的serialVersionUID不一致會(huì)編譯出錯(cuò)D、POJO類的serialVersionUID不一致會(huì)拋出序列化運(yùn)行時(shí)異常正確答案：D63.以下關(guān)于CSRF的描述，說法錯(cuò)誤的是()。A、CSRF攻擊一般發(fā)起在第三方網(wǎng)站，而不是被攻擊的網(wǎng)站,被攻擊的網(wǎng)站無法防止攻擊發(fā)生B、攻擊者通過CSRF攻擊可以獲取到受害者的登錄憑證C、攻擊利用受害者在被攻擊網(wǎng)站的登錄憑證，冒充受害者提交操作D、跨站請求可以用各種方式：圖片URL、超鏈接、CORS、Form提交等等正確答案：A64.$_SESSION[]的用途是什么()？A、用于注冊全局變量B、用于初始化會(huì)話C、用于存儲當(dāng)前會(huì)話的變量D、以上都不是正確答案：C65.DVWA-CSRF-Low中哪個(gè)方法可以攻擊()？A、對輸入密碼部分進(jìn)行注入攻擊B、使用update注入方法C、構(gòu)造網(wǎng)頁病誘導(dǎo)目標(biāo)在未退出登錄的情況下點(diǎn)擊D、使用xss攻擊正確答案：C66.Tomcat任意文件上傳漏洞上傳文件使用的是什么請求方法()？A、PUTB、POSTC、GETD、DELETE正確答案：A67.不是本地文件包含利用()A、包含日志文件獲取webshellB、一句話木馬C、上傳圖片GetshellD、讀取文件，讀取php文件正確答案：B68.測試JAVA反序列化漏洞，有時(shí)需要提供一個(gè)二進(jìn)制文件，測試過程中我們應(yīng)該怎么生成這個(gè)文件()?A、直接修改二級制文件B、編寫POC，先序列化要傳入的對象C、使用網(wǎng)絡(luò)上的二進(jìn)制文件D、使用網(wǎng)絡(luò)上現(xiàn)有的工具正確答案：B69.SQLi兩大基本類別是()A、字符型、數(shù)字型B、有回顯注入、盲注C、報(bào)錯(cuò)注入、延時(shí)注入D、盲注、數(shù)字型注入正確答案：A70.下列不是常見系統(tǒng)命令函數(shù)()A、assert()B、system()C、exec()D、shell_exec()正確答案：A71.以下哪個(gè)不是Python合法的標(biāo)識符()？A、helloB、int64C、70logD、name_正確答案：C72.Iptables防火墻設(shè)置默認(rèn)規(guī)則的命令是()。A、iptables-FB、iptables-PC、iptables-AD、iptables-D正確答案：B73.IIS短文件名機(jī)制是因?yàn)?)A、為了兼容16位MS-DOS程序B、為了兼容32位MS-DOS程序C、為了兼容64位MS-DOS程序D、為了兼容8位MS-DOS程序正確答案：A74.TCP的端口號最大為65535，為什么()？A、因?yàn)門CP/IP協(xié)議棧規(guī)定不能超過65535B、因?yàn)镮P協(xié)議頭部只允許了16位空間作為端口號C、因?yàn)門CP協(xié)議頭部只允許了16位空間作為端口號D、因?yàn)門CP協(xié)議頭部設(shè)計(jì)時(shí)在端口號為65536時(shí)會(huì)發(fā)生嚴(yán)重的溢出的漏洞正確答案：C75.下面哪個(gè)命令查看Linux當(dāng)前的工作路徑()A、dirB、lsC、pwdD、id正確答案：C76.采用TCP/IP數(shù)據(jù)封裝時(shí)，以下哪個(gè)端口號范圍標(biāo)識了所有常用應(yīng)用程序()。A、0到255B、256到1023C、0到1023D、1024到2047正確答案：C77.下面屬于將文件中的數(shù)據(jù)讀取為一個(gè)Java對象()。A、ObjectInputStreamB、ObjectOutputStreamC、NumberFormatD、DecimalFormat正確答案：A78.htaccess文件文件解析說法錯(cuò)誤的()。A、htaccess叫分布式配置文件B、屬于IIS服務(wù)器配置相關(guān)指令C、屬于Apache服務(wù)器配置相關(guān)指令D、htaccess主要的作用有:URL重寫、自定義錯(cuò)誤頁面、MIME類型配置以及訪問權(quán)限控制等正確答案：B79.在使用Linux的VIM編輯器的命令模式中，我們使用什么鍵可以上移光標(biāo)()A、kB、jC、lD、h正確答案：A80.可以將html標(biāo)簽輸出轉(zhuǎn)義的函數(shù)()A、addslashes()B、strip_tags()C、htmlspecialchars()D、htmlspecialchars_decode()正確答案：C81.如下代碼所示<?php$a='phpinfo();';extract($_GET,EXTR_SKIP);eval($a);?>則下列哪項(xiàng)能夠進(jìn)行執(zhí)行覆蓋成功變量a,并打印出當(dāng)前用戶()A、無法覆蓋B、a=system(‘whoami’)C、a=system(whoami)D、a=system(‘whoami’);正確答案：A82.下面關(guān)于serialVersionUID的作用說法錯(cuò)誤的是()。A、Java的序列化機(jī)制是通過在運(yùn)行時(shí)判斷類的serialVersionUID來驗(yàn)證版本一致性的B、在進(jìn)行反序列化時(shí)serialVersionUID不相同時(shí)，不會(huì)出現(xiàn)版本異常C、serialVersionUID有兩種顯示的生成方式D、序列化時(shí)為了保持版本的兼容性，即在版本升級時(shí)反序列化仍保持對zhi象的唯一性正確答案：B二、多選題（共18題，每題1分，共18分）1.下面哪個(gè)函數(shù)執(zhí)行了JAVA的反序列化操作？()A、writeObjectB、readObjectC、XMLEncoderD、XMLDecoder正確答案：BD2.隱藏Apache服務(wù)器信息的方法包括()A、隱藏HTTP頭部信息B、禁止顯示錯(cuò)誤信息C、自定義錯(cuò)誤頁面，消除服務(wù)器的相關(guān)信息D、修改服務(wù)IP地址正確答案：ABC3.WAF繞過方法包括()A、改變大小寫B(tài)、改變編碼C、替換字符串D、字符串變形正確答案：ABCD4.以下哪些選項(xiàng)是子域名收集原因的正確描述？()A、子域名枚舉可以在測試范圍內(nèi)發(fā)現(xiàn)更多的域或子域，這將增大漏洞發(fā)現(xiàn)的幾率。B、有些隱藏的、被忽略的子域上運(yùn)行的應(yīng)用程序可能幫助我們發(fā)現(xiàn)重大漏洞。C、在同一個(gè)組織的不同域或應(yīng)用程序中往往存在相同的漏洞。D、以上答案都不正確。正確答案：ABC5.手機(jī)驗(yàn)證碼常見漏洞總結(jié)()。A、客戶端驗(yàn)證繞過B、無效驗(yàn)證C、短信轟炸D、驗(yàn)證碼爆破正確答案：ABCD6.下面哪個(gè)是PHP的魔術(shù)函數(shù)？()A、__wakeup()B、__construct()C、__set()D、__invoke()正確答案：ABCD7.操作系統(tǒng)安全主要包括()等方面A、賬戶密碼安全和文件共享安全B、文件權(quán)限管理和用戶權(quán)限管理C、文件夾選項(xiàng)和安全選項(xiàng)D、日志審計(jì)和遠(yuǎn)程訪問權(quán)限管理正確答案：ABD8.描述網(wǎng)絡(luò)入侵行為通常根據(jù)()等特征A、標(biāo)志位B、包長度C、特定字符串D、端口號正確答案：ABCD9.CSRF攻擊具備