網(wǎng)絡(luò)安全 1+X復(fù)習(xí)題+參考答案

網(wǎng)絡(luò)安全1+X復(fù)習(xí)題+參考答案一、單選題（共82題，每題1分，共82分）1.DVWA-CSRF-High的繞過(guò)方法是()？A、使用sql注入固定token的值B、使用直接訪問(wèn)ip的方式繞過(guò)云WafC、借助Dom-Xss漏洞，獲取token之后再請(qǐng)求D、用注釋符繞過(guò)防御正確答案：C2.關(guān)于RPC說(shuō)法錯(cuò)誤的是()A、遠(yuǎn)程過(guò)程調(diào)用時(shí)一種進(jìn)程間通信機(jī)制B、RPC機(jī)制使用其他IPC機(jī)制C、不是windows默認(rèn)啟動(dòng)進(jìn)程D、RPC一般綁定在135端口上正確答案：C3.防御XSS漏洞的核心思想為()A、減少使用數(shù)據(jù)庫(kù)B、禁止用戶輸入C、輸入過(guò)濾，輸出編碼D、要點(diǎn)擊未知鏈接正確答案：C4.Python導(dǎo)入模塊方式錯(cuò)誤的是()？A、from**import**B、import**as**C、import**from**D、import**正確答案：C5.路由器是工作在哪一層的設(shè)備()？A、網(wǎng)絡(luò)層B、物理層C、鏈路層D、傳輸層正確答案：A6.ARP協(xié)議主要作用是()A、將IP地址解析成MAC地址B、將域名解析成IPC、將IP解析成域名D、將MAC解析成IP正確答案：A7.在使用Linux的VIM編輯器的命令模式中，我們使用什么進(jìn)行按鍵進(jìn)行粘貼()A、ZB、CC、VD、P正確答案：D8.下面哪個(gè)函數(shù)使用PHP連接MySQL數(shù)據(jù)庫(kù)()？A、mysql_connect()B、mysql_query()C、mysql_close()D、以上都不對(duì)正確答案：A9.下列哪一個(gè)不屬于電信詐騙()？A、DDOS攻擊B、冒充國(guó)家相關(guān)工作人員調(diào)查唬人C、虛構(gòu)退稅D、假稱退還養(yǎng)老金、撫恤金正確答案：A10.DHCPSnooping的功能是()。A、防止ARP欺騙B、防止DHCP欺騙C、進(jìn)行端口與MAC地址的綁定D、提供基于端口的用戶認(rèn)證正確答案：B11.不屬于Windows相關(guān)的文件名特性的是()。A、短文件名的Web訪問(wèn)B、解析漏洞C、文件名中不能出現(xiàn)的字符D、大小寫(xiě)不敏感正確答案：B12.在滲透測(cè)試過(guò)程中，“利用Nessus、Nmap等工具對(duì)目標(biāo)系統(tǒng)進(jìn)行端口及漏洞掃描”事項(xiàng)，應(yīng)在()階段完成。A、前期交互B、后滲透攻擊C、信息收集D、漏洞分析正確答案：C13.服務(wù)器的響應(yīng)頭中，一般不會(huì)包含哪一個(gè)字段()A、Set-CookieB、Content-TypeC、CookieD、Connection正確答案：C14.Cookie的屬性中，Value是指什么()？A、過(guò)期時(shí)間B、關(guān)聯(lián)Cookie時(shí)間C、Cookie的名字D、Cookie的值正確答案：D15.若$a=“aa”;$aa=“bb”;則echo$$a輸出的結(jié)果是()？A、$$aB、aaC、bbD、$aa正確答案：C16.traceroute工具可以看到網(wǎng)絡(luò)路徑是因?yàn)槔昧薎P頭中的哪個(gè)字段()A、TTLB、校驗(yàn)和C、上層協(xié)議封裝類型D、目標(biāo)IP地址正確答案：B17.以下關(guān)于菜刀的數(shù)據(jù)庫(kù)配置的描述，不正確的是()A、<U>root</U>數(shù)據(jù)庫(kù)的用戶和密碼B、localhost數(shù)據(jù)庫(kù)地址C、utf8編碼D、MYSQL數(shù)據(jù)庫(kù)類型正確答案：A18.ModSecurity將HTTP會(huì)話過(guò)程分為幾個(gè)階段()？A、3B、2C、4D、5正確答案：D19.Kali系統(tǒng)中默認(rèn)安裝了一款用于收集、組織、展示信息的一款圖型工具，是()。A、MaltegoB、MacofC、NmapD、Lynis正確答案：A20.Iptables防火墻通過(guò)()與內(nèi)核程序進(jìn)行交互。A、Iptables鏈B、iptables外殼程序C、iptables腳本D、網(wǎng)頁(yè)正確答案：B21.什么是序列化()？A、將程序的運(yùn)行結(jié)果轉(zhuǎn)換為可存儲(chǔ)或傳輸?shù)男问降倪^(guò)程B、將程序的函數(shù)信息轉(zhuǎn)換為可存儲(chǔ)或傳輸?shù)男问降倪^(guò)程C、將程序的變量信息轉(zhuǎn)換為可存儲(chǔ)或傳輸?shù)男问降倪^(guò)程D、將對(duì)象的狀態(tài)信息轉(zhuǎn)換為可存儲(chǔ)或傳輸?shù)男问降倪^(guò)程正確答案：D22.IPSecVPN工作在()層。A、5B、3C、2D、4正確答案：B23.域名解析主要是實(shí)現(xiàn)域名和IP地址的映射，系統(tǒng)進(jìn)行域名解析時(shí)，首先會(huì)查詢()是否存在該域名對(duì)應(yīng)IP的映射記錄。A、本地Hosts文件B、本地DNS服務(wù)器C、根域名服務(wù)器D、權(quán)威域名服務(wù)器正確答案：A24.在MAC中，誰(shuí)來(lái)檢查主體訪問(wèn)客體的規(guī)則()？A、管理員B、用戶C、安全策略D、客體正確答案：C25.NMAP掃描使用-sS選項(xiàng)時(shí)主要利用下列哪項(xiàng)技術(shù)()A、TCP的三次握手B、TCP的四次揮手C、UDP的無(wú)連接特性D、TCP的滑動(dòng)窗口特性正確答案：A26.mysql數(shù)據(jù)庫(kù)默認(rèn)使用哪個(gè)端口()?A、3306B、1521C、3389D、1306正確答案：A27.以下哪一選項(xiàng)是查找pdf文件的搜索語(yǔ)法()？A、cache:pdfB、filetype:pdfC、info:pdfD、inurl:pdf正確答案：B28.使用菜刀連接一句話木馬發(fā)生錯(cuò)誤時(shí)，下列檢查方法最不適合的是()A、查看是否填入了正確的密碼B、馬上重傳一句話木馬C、通過(guò)在瀏覽器訪問(wèn)，看是否被成功解析D、在菜刀中查看是否選擇了正確的腳本語(yǔ)言正確答案：C29.下列哪一個(gè)選項(xiàng)不屬于XSS跨站腳本漏洞危害()？A、釣魚(yú)欺騙B、網(wǎng)站掛馬C、SQL數(shù)據(jù)泄露D、身份盜用正確答案：C30.以下哪項(xiàng)不是mysql的默認(rèn)用戶()A、rootB、mysql.sessionC、mysql.sysD、guest正確答案：D31.下面哪個(gè)選項(xiàng)用于設(shè)置cookie()？A、setcookie()函數(shù)B、$HTTP_COOKIE_VARS變量C、$_COOKIE變量D、isset()函數(shù)正確答案：A32.入侵檢測(cè)系統(tǒng)與入侵防御系統(tǒng)的最大區(qū)別是()A、入侵防御系統(tǒng)效率高B、入侵檢測(cè)系統(tǒng)比入侵防御系統(tǒng)功能強(qiáng)大C、入侵防御系統(tǒng)可阻止入侵行為D、入侵檢測(cè)系統(tǒng)可阻止入侵行為正確答案：C33.Windows系統(tǒng)采用了那種訪問(wèn)控制模型()？A、LACB、DACC、MACD、RBAC正確答案：D34.Metasploit框架中的最核心的功能組件是()。A、EncodersB、PostC、PayloadsD、Exploits正確答案：D35.伊朗“震網(wǎng)”病毒用了幾個(gè)Windows0day()？A、3個(gè)B、2個(gè)C、4個(gè)D、6個(gè)正確答案：C36.將用戶user123修改為管理員權(quán)限命令是()A、netuserlocalgroupadministratorsuser123/addB、netlocalgroupadministratoruser123/addC、netuselocalgroupadministratorsuser123/addD、netlocalgroupadministratorsuser123/add正確答案：D37.系統(tǒng)信息命令systeminfo說(shuō)法錯(cuò)誤的是()A、操作系統(tǒng)類型B、操作系統(tǒng)的位數(shù)C、系統(tǒng)的補(bǔ)丁情況D、可以查看系統(tǒng)用戶正確答案：D38.防止盜用IP行為是利用防火墻的功能()A、防御攻擊的功能B、訪問(wèn)控制功能C、IP地址和MAC地址綁定功能D、URL過(guò)濾功能正確答案：C39.__get()魔術(shù)方法在什么時(shí)候執(zhí)行？()A、當(dāng)程序試圖調(diào)用一個(gè)未定義或不可見(jiàn)的成員變量時(shí)B、類被當(dāng)成字符串時(shí)C、當(dāng)程序試圖寫(xiě)入一個(gè)不存在或者不可見(jiàn)的成員變量時(shí)D、調(diào)用函數(shù)的方式調(diào)用一個(gè)對(duì)象時(shí)正確答案：A40.“網(wǎng)站在上線的時(shí)候都忘記把測(cè)試時(shí)的接口進(jìn)行關(guān)閉，從而導(dǎo)致這個(gè)接口可以查詢大量用戶信息”，該情況屬于以下哪種維度的收集種類()？A、web搜索B、測(cè)試接口信息泄露C、越權(quán)D、威脅情報(bào)正確答案：B41.Apache用來(lái)識(shí)別用戶后綴的文件是()？A、handler.typesB、mime.typesC、handler.confD、mima.conf正確答案：B42.Weevely是一個(gè)Kali中集成的webshell工具，它支持的語(yǔ)言有()。A、ASPB、PHPC、JSPD、C/C++正確答案：B43.文件解析漏洞成因是()？A、后綴名服務(wù)器無(wú)法識(shí)別B、使用了可以被正常解析的后綴名C、中間件崩潰D、中間件判斷文件后綴出錯(cuò)正確答案：D44.下列哪條是產(chǎn)生文件包含漏洞的原因()？A、管理員管理不善B、用戶輸入惡意代碼C、服務(wù)器漏洞D、文件來(lái)源過(guò)濾不嚴(yán)并且用戶可用正確答案：D45.下列關(guān)于網(wǎng)絡(luò)嗅探技術(shù)說(shuō)明錯(cuò)誤的是()。A、嗅探技術(shù)對(duì)于已加密的數(shù)據(jù)無(wú)能為力B、將網(wǎng)卡設(shè)置為混雜模式來(lái)進(jìn)行嗅探對(duì)于使用交換機(jī)且進(jìn)行了端口和MAC綁定的局域網(wǎng)無(wú)能為力C、將網(wǎng)卡設(shè)置為混雜模式可以對(duì)任意局域網(wǎng)內(nèi)的數(shù)據(jù)包進(jìn)行竊聽(tīng)D、可以通過(guò)配置交換機(jī)端口鏡像來(lái)實(shí)現(xiàn)對(duì)鏡像端口的數(shù)據(jù)包進(jìn)行竊聽(tīng)正確答案：C46.Iptables防火墻有()個(gè)內(nèi)置表。A、3B、4C、5D、6正確答案：B47.水平越權(quán)的產(chǎn)生原因是()？A、系統(tǒng)未對(duì)用戶權(quán)限進(jìn)行驗(yàn)證B、系統(tǒng)未對(duì)管理員角色進(jìn)行認(rèn)證C、系統(tǒng)未對(duì)用戶角色進(jìn)行認(rèn)證D、系統(tǒng)未對(duì)用戶標(biāo)識(shí)進(jìn)行認(rèn)證正確答案：A48.關(guān)于上傳漏洞與解析漏洞，下列說(shuō)法正確的是()。A、上傳漏洞只關(guān)注文件名B、從某種意義上來(lái)說(shuō)，兩個(gè)漏洞相輔相成C、兩個(gè)漏洞沒(méi)有區(qū)別D、只要能成功上傳就一定能成功解析正確答案：B49.下列是SQLi輔助工具()A、digB、nslookupC、sqlmapD、dnsenum正確答案：C50.下列哪些事件不屬于網(wǎng)絡(luò)攻擊事件：()A、分布式拒絕服務(wù)攻擊B、后門(mén)攻擊C、軟硬件自身故障D、漏洞攻擊正確答案：C51.Iptables防火墻包括()和iptables外殼程序。A、NetfilterB、FirewalldC、鏈D、Iptables表正確答案：A52.若一個(gè)用戶同時(shí)屬于多個(gè)用戶組，則其權(quán)限適用原則不包括()？A、最大權(quán)限原則B、文件權(quán)限超越文件夾權(quán)限原則C、拒絕權(quán)限超越其他所有權(quán)限的原則D、最小權(quán)限原則FTP正確答案：D53.ModSecurity安全規(guī)則的組成包括()個(gè)部分。A、6B、3C、5D、4正確答案：D54.netuser說(shuō)法正確的是()A、查看系統(tǒng)補(bǔ)丁情況B、添加或修改mysql用戶賬號(hào)C、查看Mysql用戶詳細(xì)信息D、添加或修改用戶賬號(hào)或顯示用戶賬號(hào)信息正確答案：D55.漢字字符集GBK編碼是由______制定的()。A、國(guó)家標(biāo)準(zhǔn)總局B、全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)C、國(guó)際標(biāo)準(zhǔn)化組織D、國(guó)家技術(shù)監(jiān)督局正確答案：B56.關(guān)于SMB協(xié)議，下列哪個(gè)說(shuō)法是錯(cuò)誤的()A、通常使用445端口B、可以針對(duì)系統(tǒng)密碼進(jìn)行暴力破解C、MS17-010是利用率SMB的漏洞D、可以通過(guò)WMI對(duì)Windows系統(tǒng)進(jìn)行管理正確答案：D57.點(diǎn)擊Proxy組件中的哪個(gè)按鈕將攔截下來(lái)的包丟棄()A、ActionB、ForwardC、DropD、Command正確答案：C58.以下哪個(gè)說(shuō)法是正確的()？A、CSRF和XSS是一種攻擊手法B、CSRF造成不了大的危害C、CSRF攻擊是攻擊者與目標(biāo)服務(wù)器直接交互D、CSRF攻擊是攻擊者與被攻擊用戶直接交互正確答案：D59.下列哪個(gè)函數(shù)不能導(dǎo)致命令執(zhí)行漏洞()。A、system()B、isset()C、exec()D、eval()正確答案：B60.下列哪一種網(wǎng)絡(luò)欺騙技術(shù)是實(shí)施交換式（基于交換機(jī)的網(wǎng)絡(luò)環(huán)境）嗅探攻擊的前提()。A、IP欺騙B、DNS欺騙C、ARP欺騙D、路由欺騙正確答案：C61.什么是PHP魔術(shù)函數(shù)()？A、可以在特定的情況下自動(dòng)調(diào)用的函數(shù)B、以__開(kāi)頭的函數(shù)C、可以隨意調(diào)用的函數(shù)D、必須實(shí)現(xiàn)的函數(shù)正確答案：A62.%00空字節(jié)代碼解析漏洞說(shuō)法錯(cuò)誤的是()。A、NginxB、圖片中嵌入PHP代碼然后通過(guò)訪問(wèn)C、Ngnix在遇到%00空字節(jié)時(shí)與后端PHP處理不一致D、Nginx正確答案：C63.type(1+2L*3.14)的結(jié)果是()？A、<class‘float’>B、<class‘str’>C、<class‘long’>D、<class‘int’>正確答案：A64.關(guān)于SSRF說(shuō)法錯(cuò)誤的是()。A、SSRF就是利用服務(wù)器發(fā)起請(qǐng)求（請(qǐng)求來(lái)自客戶端提交的）B、SSRF可以掃描內(nèi)網(wǎng)開(kāi)放服務(wù)C、利用file、gopher、dict協(xié)議讀取本地文件、執(zhí)行命令等D、SSRF和CSRF漏洞危害是一樣的正確答案：D65.下列關(guān)于ARP協(xié)議及ARP欺騙說(shuō)法錯(cuò)誤的是()。A、通過(guò)重建ARP表可以一勞永逸的解決ARP欺騙B、ARP欺騙的一種方式是欺騙路由器或交換機(jī)等網(wǎng)絡(luò)設(shè)備，使得路由器或交換機(jī)等網(wǎng)絡(luò)設(shè)備將數(shù)據(jù)包發(fā)往錯(cuò)誤的地址，造成被攻擊主機(jī)無(wú)法正確接收數(shù)據(jù)包。C、除了攻擊網(wǎng)絡(luò)設(shè)備外，還可以偽造網(wǎng)關(guān)，使本應(yīng)發(fā)往路由器或交換機(jī)的數(shù)據(jù)包發(fā)送到偽造的網(wǎng)關(guān)，造成被攻擊主機(jī)無(wú)法上網(wǎng)。D、ARP協(xié)議的作用是實(shí)現(xiàn)IP地址與物理地址之間的轉(zhuǎn)換正確答案：A66.IPSecVPN支持()工作模式，便于對(duì)私有網(wǎng)絡(luò)建立VPN。A、傳輸模式B、隧道模式C、AHD、ESP正確答案：B67.SQL注入出password的字段值為“YWRtaW44ODg=”，這是采用了哪種加密方式()A、md5B、base64C、AESD、DES正確答案：B68.MVC設(shè)計(jì)模式是常見(jiàn)的web應(yīng)用框架，對(duì)于V（view，視圖）描述正確的是()。A、屬于軟件設(shè)計(jì)模式的底層基礎(chǔ)，主要負(fù)責(zé)數(shù)據(jù)維護(hù)B、負(fù)責(zé)向用戶呈現(xiàn)全部或部分?jǐn)?shù)據(jù)C、通過(guò)軟件代碼控制模型和視圖之間的交互D、以上選項(xiàng)均不正確正確答案：B69.密碼使用的場(chǎng)景通訊類不包括下列哪個(gè)()？A、購(gòu)物賬戶B、微信C、QQD、陌陌正確答案：A70.下列哪一個(gè)是web容器()A、IISB、JSPC、UDPD、MD5正確答案：A71.以下說(shuō)法正確的是()？A、垂直權(quán)限管理和水平權(quán)限管理相同B、垂直越權(quán)不止存在于web應(yīng)用中C、垂直越權(quán)完全可避免D、垂直越權(quán)只發(fā)生在管理員頁(yè)面正確答案：B72.在ModSecurity中，修改默認(rèn)處理方式的命令是()。A、SecEngineB、SecRuleC、SecDefaultActionD、SecAction正確答案：C73.盜取Cookie是用做什么()？A、劫持用戶會(huì)話B、固定用戶會(huì)話C、釣魚(yú)D、預(yù)測(cè)用戶下一步的會(huì)話憑證正確答案：A74.XSS不能用來(lái)干什么()？A、劫持用戶會(huì)話B、固定會(huì)話C、獲取用戶cookieD、預(yù)測(cè)會(huì)話憑證正確答案：D75.下列哪項(xiàng)類型數(shù)據(jù)是不可變化的()？A、列表B、元組C、集合D、字典正確答案：B76.一臺(tái)家用tplink路由器，當(dāng)連續(xù)三次輸錯(cuò)密碼后，HTTP狀態(tài)碼可能為()A、401B、200C、404D、403正確答案：A77.下列哪個(gè)選項(xiàng)不是上傳功能常用安全檢測(cè)機(jī)制？()A、客戶端Javascript驗(yàn)證B、URL中包含<、>、script、alert等一些特殊標(biāo)簽檢查驗(yàn)證C、服務(wù)端MIME檢查驗(yàn)證D、服務(wù)端文件擴(kuò)展名檢查驗(yàn)證正確答案：B78.下列不是常見(jiàn)PHP代碼執(zhí)行函數(shù)()A、eval()B、call_user_func()C、assert()D、var_dump()正確答案：D79.XSS跨站腳本攻擊劫持用戶會(huì)話的原理是()？A、修改頁(yè)面，使目標(biāo)登錄到假網(wǎng)站B、竊取目標(biāo)cookieC、使目標(biāo)使用自己構(gòu)造的cookie登錄D、讓目標(biāo)誤認(rèn)為攻擊者是他要訪問(wèn)的服務(wù)器正確答案：B80.PUT方法是用來(lái)干什么的()？A、上傳文件B、刪除文件C、下載文件D、查詢文件正確答案：A81.下面哪個(gè)選項(xiàng)用于銷毀session()？A、$_SESSION[]B、isset()C、session_start()D、session_destroy()正確答案：D82.在ModSecurity中，將匹配對(duì)象轉(zhuǎn)換為小寫(xiě)的是()。A、@rxlowercaseB、t:noneC、t:urldecoceD、t:lowercase正確答案：D二、多選題（共18題，每題1分，共18分）1.以下說(shuō)法錯(cuò)誤的是？()A、垂直越權(quán)可以使用基于角色的權(quán)限管理修復(fù)B、所有垂直越權(quán)都是因?yàn)閡rl泄露造成的C、嚴(yán)格管理管理員頁(yè)面的url可以防止垂直越權(quán)D、嚴(yán)格管理管理員頁(yè)面的url不能防止垂直越權(quán)正確答案：BC2.描述網(wǎng)絡(luò)入侵行為通常根據(jù)()等特征A、端口號(hào)B、包長(zhǎng)度C、標(biāo)志位D、特定字符串正確答案：ABCD3.滲透測(cè)試標(biāo)準(zhǔn)將滲透測(cè)試過(guò)程分為七個(gè)階段，下述屬于這些階段的有？()。A、前期交互階段B、報(bào)告階段C、漏洞分析階段D、滲透攻擊階段E、清除滲透痕跡階段F、情報(bào)收集階段正確答案：ABCDF4.容易出現(xiàn)SSRF漏洞的有()位置A、轉(zhuǎn)碼服務(wù)B、搜索頁(yè)面C、分享D、在線翻譯正確答案：ACD5.時(shí)常引起任意文件內(nèi)容寫(xiě)入的函數(shù)（php環(huán)境），包括()A、call_user_func_array()B、assert()C、fwrite()D、file_put_contents()正確答案：CD6.手機(jī)驗(yàn)證碼常見(jiàn)漏洞總結(jié)()。A、驗(yàn)證碼爆破B、短信轟炸C、無(wú)效驗(yàn)證D、客戶端驗(yàn)證繞過(guò)正確答案：ABCD7.釣魚(yú)攻擊中，常見(jiàn)的載體形式有()A、CHM（已編譯的幫助文件）B、LNK（快捷方式文件）C、HTA（HTML應(yīng)用程序）D、以上內(nèi)容均不正確正確答案：ABC8.常見(jiàn)的網(wǎng)絡(luò)滲透測(cè)試方法有？()。A、白盒測(cè)試B、黑盒