1+x網(wǎng)絡(luò)安全評估?？荚囶}+參考答案一、單選題（共66題，每題1分，共66分）1.DOM中不存在下面那種節(jié)點(diǎn)A、元素節(jié)點(diǎn)B、文本節(jié)點(diǎn)C、屬性節(jié)點(diǎn)D、邏輯節(jié)點(diǎn)正確答案：D2.關(guān)于文件包含漏洞，以下說法中不正確的是？A、文件包含漏洞在PHPWebApplication中居多,而在JSP、ASP、http://ASP.NET程序中卻非常少，這是因為有些語言設(shè)計的弊端B、滲透網(wǎng)站時，若當(dāng)找不到上傳點(diǎn)，并且也沒有url_allow_include功能時，可以考慮包含服務(wù)器的日志文件C、文件包含漏洞只在PHP中經(jīng)常出現(xiàn)，在其他語言不存在D、文件包含漏洞，分為本地包含，和遠(yuǎn)程包含正確答案：C3.HTTP協(xié)議建立在以下哪一個協(xié)議的基礎(chǔ)上A、UDPB、TCPC、SSLD、FTP正確答案：B4.下面說法正確的是？A、在輸入和輸出處都要過濾xss攻擊B、使用防止sql注入的函數(shù)也可以防御xssC、htmlspecialchars()可以完全杜絕xss攻擊D、只需要在輸入處過濾xss就可以了正確答案：A5.盜取Cookie是為了做什么？A、劫持用戶會話B、DDOSC、釣魚D、SQL注入正確答案：A6.TCP/IP模型分幾層？A、4B、5C、6D、7正確答案：A7.以下哪一協(xié)議不是工作在應(yīng)用層?A、文件傳輸協(xié)議（FileTransferProtocol，F(xiàn)TP）B、超文本傳輸協(xié)議（HyperTextTransferProtocol，HTTP）C、用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocol，UDP）D、簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol，SNMP）正確答案：C8.Apache解析漏洞中，相關(guān)配置是？A、AddHandlerB、HttpdinitC、ApacheHandlerD、Phpinit正確答案：A9.ARP協(xié)議封裝格式最后4字節(jié)是以下哪個選項？A、目標(biāo)IP地址B、源MACC、硬件類型D、協(xié)議類型正確答案：A10.違反本法第四十四條規(guī)定，竊取或者以其他非法方式獲取非法出售或者非法向他人提供個人信息，尚不構(gòu)成犯罪的，由公安機(jī)關(guān)沒收違法所得，并處違法所得（）以上（）以下罰款，沒有違法所得的，處（）以下罰款。A、一倍一百倍十萬元B、十倍一百倍一百萬元C、一倍十倍一百萬元D、五倍一百倍一百萬元正確答案：C11.需要進(jìn)行數(shù)據(jù)庫交互的是哪種xss漏洞？A、反射型xssB、DOM型xssC、儲存型xss正確答案：C12.Metasploit框架中的最核心的功能組件是（）。A、PostB、PayloadsC、ExploitsD、Encoders正確答案：C13.下列關(guān)于水平越權(quán)的說法中，不正確的是？A、水平越權(quán)是不同級別之間或不同角色之間的越權(quán)B、同級別（權(quán)限）的用戶或同一角色不同的用戶之間，可以越權(quán)訪問、修改或者刪除的非法操作C、可能會造成大批量數(shù)據(jù)泄露D、可能會造成用戶信息被惡意篡改正確答案：A14.RSA屬于？A、秘密密鑰密碼算法B、公用密鑰密碼算法C、保密密鑰密碼算法D、對稱密鑰密碼算法正確答案：B15.Linux系統(tǒng)中，查看當(dāng)前最后一次執(zhí)行的命令的返回狀態(tài)，使用以下哪個命令？A、$!B、$@C、$?D、$*正確答案：C16.Cookie沒有以下哪個作用？A、維持用戶會話B、儲存信息C、執(zhí)行代碼正確答案：C17.關(guān)于命令執(zhí)行漏洞，以下說法錯誤的是？A、沒有對用戶輸入進(jìn)行過濾或過濾不嚴(yán)可能會導(dǎo)致此漏洞B、該漏洞可導(dǎo)致黑客控制整個網(wǎng)站甚至控制服務(wù)器C、命令執(zhí)行漏洞只發(fā)生在PHP的環(huán)境中D、命令執(zhí)行漏洞是指攻擊者可以隨意執(zhí)行系統(tǒng)命令正確答案：C18.下列哪一個不屬于信息安全三要素CIA？A、機(jī)密性B、可用性C、完整性D、個人電腦安全正確答案：D19.HTTPBASIC認(rèn)證中，使用了哪一種加密方法A、Base32B、Base64C、Md5D、AES正確答案：B20.下列哪一個不屬于電信詐騙？A、DDOS攻擊B、冒充國家相關(guān)工作人員調(diào)查唬人C、虛構(gòu)退稅D、假稱退還養(yǎng)老金、撫恤金正確答案：A21.XSS不能來干什么？A、釣魚B、劫持用戶會話C、DDOSD、注入數(shù)據(jù)庫正確答案：D22.郵件攻擊類型不包括下列哪一個？A、水坑攻擊B、商業(yè)郵件詐騙C、仿冒企業(yè)郵件D、勒索病毒正確答案：A23.PHP語言中，單引號和雙引號區(qū)別A、單引號不會將內(nèi)部惡意字符過濾，雙引號會將內(nèi)部字符進(jìn)行過濾B、單引號會將內(nèi)部字符進(jìn)行過濾，雙引號不會將內(nèi)部惡意字符過濾C、單引號會將字符原義輸出，雙引號會將內(nèi)部變量解析后輸出D、單引號會將內(nèi)部變量解析后輸出，雙引號會將字符原義輸出正確答案：C24.SqlMap一般調(diào)用其文件夾內(nèi)哪一類文件來繞過WAF檢測（）。A、Nano腳本B、Scripts腳本C、Tamper腳本D、Nmap腳本正確答案：C25.關(guān)于存儲型XSS，敘述錯誤的是？A、存儲型XSS又稱作持久型XSSB、攻擊用戶cookie必須通過存儲型XSS漏洞實現(xiàn)C、惡意腳本是事先被攻擊者上傳至數(shù)據(jù)庫或服務(wù)器中的D、此類XSS不需要用戶單擊特定URL就能執(zhí)行腳本正確答案：B26.Burpsuite代理HTTP流量時作為什么角色A、TCP中繼B、代理服務(wù)器C、路由器D、網(wǎng)關(guān)正確答案：B27.PHP中常見文件包含的函數(shù)有include(),include_once(),require_once()，require()等，以下說法錯誤的是？A、require()：只要程序一運(yùn)行就包含文件，找不到被包含的文件時會產(chǎn)生致命錯誤，并停止腳本B、require_once()：若文件中代碼已被包含則不會再次包含C、include_once()：若文件中代碼已被包含還會再次包含D、include()：執(zhí)行到include時才包含文件，找不到被包含文件時只會產(chǎn)生警告，腳本將繼續(xù)執(zhí)行正確答案：C28.使用下面哪個函數(shù)過濾xss是最好的？A、htmlspecialchars()B、preg_replace()C、str_replace()D、addslashes()正確答案：A29.Weevely是一個Kali中集成的webshell工具，它支持的語言有（）。A、ASPB、PHPC、JSPD、C/C++正確答案：B30.如何防御包含漏洞，以下說法錯誤的是？A、限制包含的文件范圍B、文件名中要包含目錄名C、避免由外界制定文件名D、對于遠(yuǎn)程文件包含，設(shè)置php.ini配置文件中allow_url_include=off正確答案：B31.關(guān)于HTML事件的敘述，錯誤的是A、onerror當(dāng)錯誤執(zhí)行腳本B、onkeyup松開鍵盤執(zhí)行腳本C、onclick鼠標(biāo)點(diǎn)擊執(zhí)行腳本D、onkeypress當(dāng)按下鍵盤執(zhí)行腳本正確答案：D32.反射型xss通過什么傳參？A、FROMB、GETC、POSTD、PUT正確答案：B33.XSS跨站腳本攻擊可以插入什么代碼？A、PHPB、JSPC、HTMLD、ASP正確答案：C34.OSI第一層是哪一層？A、傳輸層B、鏈路層C、網(wǎng)絡(luò)層D、物理層正確答案：D35.在使用Burp的Intruder模塊時，需要注意的是？A、字典大小不能超過1MB、字典路徑不能含有中文C、線程數(shù)量不能超過20D、payload數(shù)量不能超過2個正確答案：B36.IIS命令執(zhí)行中，我們通常用來測試命令執(zhí)行的payload執(zhí)行結(jié)果是？A、shutdownB、開啟遠(yuǎn)程桌面連接C、反彈shellD、彈出計算器正確答案：D37.setcookie()函數(shù)在不設(shè)置時間情況下，Cookie默認(rèn)保存多長時間A、瀏覽器關(guān)閉cookie失效B、1小時C、12小時D、24小時正確答案：A38.ARP本地緩存為空時，ARP將采用以下哪種方式發(fā)送包含目標(biāo)IP的數(shù)據(jù)格式到網(wǎng)絡(luò)中?A、廣播B、單播C、組播D、發(fā)送特定地址正確答案：A39.httponly可以防御什么？A、Js代碼獲取網(wǎng)頁內(nèi)容B、會話憑證預(yù)測C、中間人攻擊D、Js代碼獲取cookie正確答案：D40.《中華人民共和國網(wǎng)絡(luò)安全法》施行時間：A、2016年12月31日B、2016年11月7日C、2017年1月1日D、2017年6月1日正確答案：D41.下列哪一個選項不屬于XSS跨站腳本漏洞危害？A、網(wǎng)站掛馬B、釣魚欺騙C、身份盜用D、SQL數(shù)據(jù)泄露正確答案：D42.會話固定的原理是？A、讓目標(biāo)誤以為攻擊者是服務(wù)器B、截取目標(biāo)登錄憑證C、預(yù)測對方登錄可能用到的憑證D、讓目標(biāo)使用自己構(gòu)造好的憑證登錄正確答案：D43.XSS跨站腳本攻擊劫持用戶會話的原理是？A、修改頁面，使目標(biāo)登錄到假網(wǎng)站B、使目標(biāo)使用自己構(gòu)造的cookie登錄C、竊取目標(biāo)cookieD、讓目標(biāo)誤認(rèn)為攻擊者是他要訪問的服務(wù)器正確答案：C44.關(guān)于PHP文件包含利用方法，錯誤的是（）A、文件包含漏洞?？梢耘浜衔募蟼髀┒垂餐肂、利用文件包含漏洞需被包含文件為.php格式C、遠(yuǎn)程文件包含需服務(wù)器開啟allow_url_fopen配置D、利用php://input偽協(xié)議需開啟allow_url_include配置正確答案：B45.將MAC地址轉(zhuǎn)換為IP地址的協(xié)議是以下哪種協(xié)議？A、ARPB、RARPC、IPD、NTP正確答案：B46.UDP協(xié)議工作在TCP/IP的哪一層?A、傳輸層B、網(wǎng)絡(luò)層C、物理層D、應(yīng)用層正確答案：A47.XSS不能用來干什么？A、劫持用戶會話B、預(yù)測會話憑證C、獲取用戶cookieD、固定會話正確答案：B48.#iptables–AINPUT–mu32--u32‘6&FF=0x11’–jDROP的作用是：（）。A、在輸入鏈,IP包中的協(xié)議字段為17則丟棄B、在轉(zhuǎn)發(fā)鏈,IP包中的協(xié)議字段為17則丟棄C、在轉(zhuǎn)發(fā)鏈,IP包中的協(xié)議字段為11則丟棄D、在輸入鏈,IP包中的協(xié)議字段為11則丟棄正確答案：A49.密碼使用場景不包括下列哪個？A、通訊類B、隱私類C、唯一性D、財產(chǎn)類正確答案：C50.下面關(guān)于UDP的描述哪個是正確的？A、面向連接，可靠的傳輸B、面向無連接，不可靠的傳輸C、傳輸也需要握手過程D、能確保到達(dá)目的的正確答案：B51.（）利用以太網(wǎng)的特點(diǎn)，將設(shè)備網(wǎng)卡設(shè)置為“混雜模式”，從而能夠接受到整個以太網(wǎng)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)信息？A、木馬程序B、拒絕服務(wù)攻擊C、緩沖區(qū)溢出攻擊木馬D、嗅探程序正確答案：D52.若一個用戶同時屬于多個用戶組，則其權(quán)限適用原則不包括？A、最大權(quán)限原則B、文件權(quán)限超越文件夾權(quán)限原則C、拒絕權(quán)限超越其他所有權(quán)限的原則D、最小權(quán)限原則FTP正確答案：D53.A類IP地址，有多少位主機(jī)號？A、8B、16C、24D、31正確答案：C54.盜取Cookie是用做什么？A、用于登錄B、DDOSC、釣魚D、會話固定正確答案：A55.PHP關(guān)閉顯示所有錯誤提示信息方法A、error_reporting(0)B、error_reporting(E_ERROR)C、error_reporting(E_WARNING)D、error_reporting(E_NOTICE)正確答案：A56.PC安全不包括下列哪一個？A、安裝防病毒軟件和防火墻軟件B、定期備份重要數(shù)據(jù)C、不隨意安裝來歷不明的軟件D、虛擬空間正確答案：D57.以下說法錯誤的是？A、中間人攻擊與竊取cookie的攻擊原理相同B、會話劫持可以使攻擊者偽裝成目標(biāo)登錄C、httponly可以讓xss漏洞也拿不走用戶cookie正確答案：A58.在windows的命令提示符中，用以查看當(dāng)前登錄的用戶命令是以下哪一個？A、tasklistB、quserC、netstartD、netuser正確答案：B59.關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)______對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險檢測評估？A、至少半年一次B、至少每年兩次C、至少兩年一次D、至少一年一次正確答案：D60.下列哪個選項不屬于命令執(zhí)行漏洞的危害？A、反彈shellB、繼承Web服務(wù)程序的權(quán)限去執(zhí)行系統(tǒng)命令或讀寫文件C、控制服務(wù)器D、由命令執(zhí)行漏洞就能發(fā)現(xiàn)sql注入漏洞正確答案：D61.關(guān)于HTML格式的說法，錯誤的是A、<meta>常用于確定頁面字符編碼方式B、<P>用于定義一個標(biāo)題C、<!doctypehtml>用于聲明文檔，無大小寫限制D、<!---->為html的注釋正確答案：B62.HUB是工作在以下哪一層的設(shè)備？A、物理層B、鏈路層C、網(wǎng)絡(luò)層D、傳輸層正確答案：A63.點(diǎn)擊Proxy組件中的哪個按鈕將攔截下來的包丟棄A、ActionB、ForwardC、DropD、Command正確答案：C64.會話劫持最重要的是哪一步？A、使用拿到的標(biāo)識登錄B、誘使用戶登錄C、獲得用戶的會話標(biāo)識（如sessionid）正確答案：C65.密碼使用的場景通訊類不包括下列哪個？A、QQB、微信C、陌陌D、購物賬戶正確答案：D66.協(xié)議的三要素不包括哪項？A、語義B、標(biāo)點(diǎn)C、時序（同步）D、語法正確答案：B二、多選題（共28題，每題1分，共28分）1.下面哪些應(yīng)用使用了UDP協(xié)議承載？A、SMTPB、DNSC、TFTPD、SNMP正確答案：BCD2.文件包含漏洞的危害有哪些？A、服務(wù)器費(fèi)用增加B、執(zhí)行任意腳本代碼C、控制整臺服務(wù)器D、控制網(wǎng)站正確答案：BCD3.下面對TCP協(xié)議描述，哪種不正確？A、面向連接B、面向無連接C、可靠的傳輸D、不可靠的傳輸正確答案：BD答案解析：TCP協(xié)議是面向連接、可靠的傳輸。4.任何個人和組織有權(quán)對危害網(wǎng)絡(luò)安全的行為向等部門舉報。A、網(wǎng)信B、公安C、工信D、電信正確答案：ABD5.下列哪幾條屬于防電信詐騙十條中的守則：A、釣魚網(wǎng)站要提防B、手機(jī)短信內(nèi)的鏈接都別點(diǎn)C、閉口不談卡號和密碼D、凡是索要短信驗證碼的全是騙子正確答案：ABC6.程序員在防止上傳漏洞時，可以采取哪些措施？A、cookie檢測B、服務(wù)器端驗證C、客戶端檢測D、實名認(rèn)證正確答案：BC7.HTTP協(xié)議請求中不會存在哪個字段A、Set-cookieB、Last-modifiedC、LocationD、User-Agent正確答案：ABC8.任何個人和組織應(yīng)當(dāng)對其使用網(wǎng)絡(luò)的行為負(fù)責(zé)，不得設(shè)立用于（）違法犯罪活動的網(wǎng)站通訊群組，不得利用網(wǎng)絡(luò)發(fā)布涉及實施詐騙，制作或者銷售違禁物品管制物品以及其他違法犯罪活動的信息。A、制作或者銷售管制物品B、實施詐騙C、制作或者銷售違禁物品D、傳授犯罪方法正確答案：ABCD9.下列哪個描述是針對防范冒充身份詐騙的：A、確認(rèn)真?zhèn)渭皩Ψ缴矸菡鎸嵭訠、主動答應(yīng)對方要求C、不要主動猜測對方是誰D、確認(rèn)身份要多問幾個私密問題正確答案：ACD10.屬于xss跨站漏洞危害的是（）?。A、身份盜用B、釣魚欺騙C、網(wǎng)站掛馬D、sql數(shù)據(jù)泄露正確答案：ABC11.Burpsuite中有以下這些組件A、ProxyB、RepeaterC、TargetD、Scanner正確答案：ABCD12.上網(wǎng)安全中的兩種公共設(shè)備謹(jǐn)慎用，指的是：A、公共WIFIB、物聯(lián)網(wǎng)（IoT）設(shè)備成為薄弱環(huán)節(jié)C、計算機(jī)安全D、公共手機(jī)充電樁正確答案：AD13.關(guān)于Linux目錄文件系統(tǒng)的文件夾，以下哪些說法是正確的？A、/etc/目錄用于存放系統(tǒng)配置文件B、/bin/目錄主要存放平時常用的命令C、/var/目錄僅用于存放系統(tǒng)產(chǎn)生的日志文件D、/tmp/目錄用于存放系統(tǒng)的臨時文件正確答案：ABD14.以下哪幾個特點(diǎn)符合NginxA、良好的并發(fā)性B、比Apache更高的穩(wěn)定性C、低系統(tǒng)資源占用D、高系統(tǒng)資源占用正確答案：ABC15.apache+Linux日志默認(rèn)路徑是?A、/etc/httpd/logs/access_logB、/var/log/httpd/access_logC、%SystemDrive%\inetpub\logs\LogFilesD、/usr/local/nginx/logs正確答案：AB16.在HTTP響應(yīng)的MIME消息體中，可以同時包含的數(shù)據(jù)類型是（）A、音頻數(shù)據(jù)B、文本數(shù)據(jù)C、圖片數(shù)據(jù)D、視頻數(shù)據(jù)正確答案：ABCD17.根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，任何個人和組織（）。A、不得從事非法侵入他人網(wǎng)絡(luò)干擾他人網(wǎng)絡(luò)正常功能等危害網(wǎng)絡(luò)安全的活動B、不得提供專門用于從事侵入網(wǎng)絡(luò)干擾網(wǎng)絡(luò)正常功能等危害網(wǎng)絡(luò)安全活動的程序C、明知他人從事危害網(wǎng)絡(luò)安全的活動的，不得為其提供技術(shù)支持D、明知他人從事危害網(wǎng)絡(luò)安全的活動的，可以為其進(jìn)行廣告推廣正確答案：ABC18.以下關(guān)于PHP文件包含函數(shù)的說法中，正確的是？A、require_once()功能和require()一樣，區(qū)別在于當(dāng)重復(fù)調(diào)用同一文件時，程序只調(diào)用一次。B、使用include()，只有代碼執(zhí)行到此函數(shù)時才將文件包含進(jìn)來，發(fā)生錯誤時只警告并繼續(xù)執(zhí)行。C、使用require()，只要程序執(zhí)行，立即調(diào)用此函數(shù)包含文件，發(fā)生錯誤時，會輸出錯誤信息并立即終止程序。D、inclue_once()和include()完全一樣正確答案：ABC19.從覆蓋范圍上劃分網(wǎng)絡(luò)，有以下哪幾種？A、城域網(wǎng)B、廣域網(wǎng)C、局域網(wǎng)D、無線網(wǎng)正確答案：ABC20.國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行哪些安全保護(hù)義務(wù)：A、制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護(hù)責(zé)任B、采取防范計算機(jī)病毒和網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施C、采取監(jiān)測記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月D、采取數(shù)據(jù)分類重要數(shù)據(jù)備份和加密等措施E、向社會發(fā)布網(wǎng)絡(luò)安全風(fēng)險預(yù)警，發(fā)布避免減輕危害的措施F、法律行政法規(guī)規(guī)定的其他義務(wù)正確答案：ABCDF21.關(guān)于命令執(zhí)行漏洞的成因，以下說法正確的是？A、代碼層過濾不嚴(yán)格B、調(diào)用第三方組件存在代碼執(zhí)行漏洞C、使用了PHP中的system，exec，shell_exec等函數(shù)D、沒有配置防火墻正確答案：ABC22.信息安全常識包含下列哪幾個：A、郵件安全B、密碼安全C、化工安全D、物理安全正確答案：ABD23.IP地址目前有哪幾種版本?A、IPV6B、IPV8C、IPV4D、IPV5正確答案：AC24.Nmap軟件是一款滲透測試常用的開源軟件，它的主要功能有（）。A、端口掃描B、主機(jī)掃描C、拓?fù)浒l(fā)現(xiàn)D、漏洞掃描正確答案：ABCD25.上網(wǎng)安全中提到的三種鏈接別亂點(diǎn)，指的是：A、網(wǎng)上測試類B、公用打印機(jī)C、手機(jī)短信中的鏈接D、來歷不明的二維碼正確答案：ACD26.包含日志文件getshell時，如何讓日志文件插入PHP代碼？A、使用burpsuit抓包訪問B、curl訪問不存在的urlC、先getshell,再插入代碼D、以上說法都對正確答案：AB27.信息安全范疇包括下列哪幾個：A、物聯(lián)網(wǎng)（IoT）設(shè)備成為薄弱環(huán)節(jié)B、通信安全C、信息本身的安全D、計算機(jī)安全正確答案：BCD28.邏輯漏洞中，兩種繞過授權(quán)驗證方法為?A、水平越權(quán)B、交叉