網(wǎng)絡安全1+X復習題含答案

一、單選題(共82題，每題1分，共82分)

1.服務器的響應頭中，一般不會包含哪一個字段()

A、Set-Cookie

B、Content-Type

C、Cookie

D、Connection

正確答案：C

2.下列哪個超全局變量可以繞過magic_quotes_gpc過濾()

A、$_SERVER

B、$_SESSI0N

C、$COOKIE

D、$_POST

正確答案：A

3.利用Firefox瀏覽器的()插件，可以實現(xiàn)隱藏(偽裝)客戶端瀏

覽器信息的目的。

ANWappalyzer

B、Flagfox

C^FoxyProxy

D、User-AgentSwitcher

正確答案：D

4.Weevely是一個Kali中集成的webshell工具，它支持的語言有

Oo

A、ASP

B、PHP

C、JSP

D、C/C++

正確答案：B

5.Iptables防火墻清除規(guī)則命令是()。

A、iptables-F

B>iptables-P

C、iptables-A

D、iptables-D

正確答案：A

6.為了兼容16位MS-DOS程序，Windows為文件名較長的文件(和

文件夾)生成了對應的windows8.3短文件名。在Windows下查看對

應的短文件名，可以使用命令是()

A、Dir/x

B>Dir/y

C、Dir/Y

D、Dir/w

正確答案：A

7?下面說法正確的是()？

A、在輸入和輸出處都要過濾xss攻擊

B、使用防止sql注入的函數(shù)也可以防御xss

C、htmlspecialchars()可以完全杜絕xss攻擊

D、只需要在輸入處過濾xss就可以了

正確答案：A

8.關于JAVA三大框架，說法正確的是()？

A、三大框架是Strats+Hibernate+PHP

B、Hibernate主要是數(shù)據(jù)持久化到數(shù)據(jù)庫

C、Struts不是開源軟件

D、Spring缺點是解決不了在J2EE開發(fā)中常見的的問題

正確答案：B

9.中國菜刀是一款經(jīng)典的webshell管理工具，其傳參方式是()。

A、GET方式

B、明文方式

C、COOKIE方式

D、POST方式

正確答案：D

10.Kali的前身是0。

A、ParrotSecurityOS

BackBox

C、BackTrack

D、BlackArch

正確答案：C

11.通常情況下，Iptables防火墻內(nèi)置的()表負責數(shù)據(jù)包過濾。

A、FILTER

B、RAW

C、MANGLE

D、NAT

正確答案：A

12.如下代碼所示

<?php$a=，phpinfo();';extract($GET,EXTRSKIP);eval($a);?>則

下列哪項能夠進行執(zhí)行覆蓋成功變量a,并打印出當前用戶()

A^無法覆蓋

B、a=system(whoami)

C、a=system('whoami');

D、a=system('whoami')

正確答案：A

13.SYNFlood屬于0。

A、緩存區(qū)溢出攻擊

B、社會工程學攻擊

C、操作系統(tǒng)漏洞攻擊

D、拒絕服務攻擊

正確答案：D

14.下列哪一個不屬于電信詐騙0?

A、DD0S攻擊

B、冒充國家相關工作人員調(diào)查唬人

C、虛構(gòu)退稅

D、假稱退還養(yǎng)老金、撫恤金

正確答案：A

15.防御XSS漏洞的核心思想為0

A、禁止用戶輸入

B、減少使用數(shù)據(jù)庫

C、輸入過濾，輸出編碼

D、要點擊未知鏈接

正確答案：C

16.滲透測試的“后滲透攻擊”階段通常從()開始。

A、已經(jīng)攻陷了客戶組織的一些系統(tǒng)或取得域管理員權(quán)限之后

B、取得了客戶對滲透測試的授權(quán)之后

C、在客戶組織的系統(tǒng)中檢測到一些已知的漏洞之后

D、制定了滲透測試方案并交于客戶審核通過后

正確答案：A

17.IPSecVPN工作在()層。

A、3

B、5

C、2

D、4

正確答案：A

18.當ModSecurity與Apache結(jié)合的時候,ModSecurity作為

Apache的()運行。

A、子線程

B、子函數(shù)

C、模塊

D、父進程

正確答案：C

19.當代碼中確認存在unserialize函數(shù)，并且字符可控，下一步需

要在查找()

A^是否存在htmlsoecialchars函數(shù)

B、是否在可控類的方法中存在危險函數(shù)

C、頁面是否進行URL二次解碼

B、網(wǎng)站目錄禁止寫入權(quán)限

C、開啟殺毒軟件防護

D、單獨建立用戶，以低權(quán)限運行保證服務器安全

正確答案：C

27.利用Redis向服務器寫SSH公鑰的方法，主要的實現(xiàn)條件是()？

A^Redis具有root權(quán)限

B、Redis數(shù)據(jù)具有內(nèi)容

C、Redis沒有更改默認端口

D、Redis具有寫Web目錄權(quán)限

正確答案：A

28.Iptables防火墻進行地址轉(zhuǎn)換在哪個表里面()？

A>mangle

B、filter

C、raw

D、nat

正確答案：D

29.在ModSecurity中，將匹配對象轉(zhuǎn)換為小寫的是()。

A、@rxlowercase

B、t:none

C、t:urldecoce

D、t:lowercase

正確答案：D

30.網(wǎng)絡監(jiān)聽(嗅探)的這種攻擊形式破壞了下列哪一項內(nèi)容0。

A、網(wǎng)絡信息的保密性

B、網(wǎng)絡信息的完整性

C、網(wǎng)絡服務的可用性

D、網(wǎng)絡信息的抗抵賴性

正確答案：A

31.php的源碼是()?

A、封閉的

B、開放的

C、需購買的

D、完全不可見的

正確答案：B

32.以下語句不能創(chuàng)建字典的是()？

A^dic4={(l,2,3):anamew}

B、dicl={}

C、dic2={1:2}

D、dic3={[1,2,3]:“name"}

正確答案：D

33.在HTTP狀態(tài)碼中表示重定向的是()

A、302

B、200

C、500

D、403

正確答案：A

34.alert()函數(shù)是用來干什么的()？

A、打開新頁面

B、重新打開頁面

C、彈窗

D、關閉當前頁面

正確答案：C

35.和POST方法比較起來,GET方法()

A、GET方法比POST方法安全

B、GET方法不如POST方法快

C、GET方法不如POST方法安全

D、以上都不對

正確答案：C

36.關于反序列化說法正確的是()。

A、把對象的狀態(tài)信息轉(zhuǎn)換為字節(jié)序列過程

B、由字節(jié)流還原成對象

C、將對象轉(zhuǎn)為字節(jié)流存儲到硬盤上

D、保證對象的完整性和可傳遞性

正確答案：A

37.netuser說法正確的是()

A＞添加或修改mysql用戶賬號

B、查看Mysql用戶詳細信息

C、添加或修改用戶賬號或顯示用戶賬號信息

D、查看系統(tǒng)補丁情況

正確答案：C

38.下面說法正確的是()？

A、有一定安全意識的人可以防御一些反射型xss

B、一般現(xiàn)在的瀏覽器不帶xss防御功能

C、https也可以防御xss

D、xss攻擊只能進行會話劫持

正確答案：A

39.htaccess文件文件解析說法錯誤的()。

A、htaccess叫分布式配置文件

B、屬于ns服務器配置相關指令

C、屬于Apache服務器配置相關指令

D、htaccess主要的作用有:URL重寫、自定義錯誤頁面、MIME類型

配置以及訪問權(quán)限控制等

正確答案：B

40.如果需要進行遠程文件包含，則哪個選項必須要開啟()

A、allow_url_include=on

B、allow_include_start=on

C^allow_url_fopen=on

D、allowurl_start=on

正確答案：A

41.CVE-2017-10271中，發(fā)送的Request包需要添加什么信息()？

A、Host

Accect-Encoding

C、Content-Type

D、User-Agent

正確答案：C

42.下面哪種修復Redis未授權(quán)訪問漏洞的方法是相對不安全的()？

A、綁定本地地址

B、增加密碼認證

C、通過網(wǎng)絡防火墻限制

D、更改默認端口

正確答案：D

43.下列哪一項不是黑客在入侵踩點(信息搜集)階段使用到的技術

0?

A、使用sqlmap驗證SQL注入漏洞是否存在

B、IP及域名信息收集

C、公開信息的合理利用及分析

D、主機及系統(tǒng)信息收集

正確答案：A

44.下列是SQLi輔助工具()

A、nslookup

BNdnsenum

C、sqlmap

D、dig

正確答案：C

45.WAF工作在。層。

A、網(wǎng)絡層

B、傳輸層

C、應用層

D、會話層

正確答案：C

46.PHP-CGI本質(zhì)是一個()

A、服務應用API

B、fastCGI

C、腳本語言

D、fpm

正確答案：A

47.以下關于python模塊說法錯誤的是()？

A、模塊文件的擴展名不一定是

B、運行時會從制定的目錄搜索導入的模塊，如果沒有，會報錯異常

C、任何一個普通的XX.py文件可以作為模塊導入

D、一個xx.py就是一個模塊

正確答案：B

48.下面不屬于端口掃描技術的是0?

A、TCPconnect掃描攻

B、TCPFIN掃描

C、IP包分段掃描

D、Land掃描

正確答案：D

49.在print函數(shù)的輸出字符串中可以將()作為參數(shù)，代表后面指定

要輸出的字符串？

A、%d

B、%c

C、%t

D、%s

正確答案：D

50.PHPCGI遠程代瑪執(zhí)行漏洞，主要是因為允許PHP-CGI接受命令

行參數(shù)導致的安全問題，以下()代表CGI模式下“指定配置項”的

參數(shù)？

A、-c

B、-n

C、-d

D、-s

正確答案：C

51.在centos中，下面哪個默認目錄是用于存放應用程序的()

A、/home

B、/bin

C、/etc

D^/usr

正確答案：D

52.在使用Burp的Intruder模塊時,需要注意的是()？

A、字典大小不能超過1M

B、字典路徑不能含有中文

C、線程數(shù)量不能超過20

D、payload數(shù)量不能超過2個

正確答案：B

53.以下哪個說法是正確的()？

A、CSRF和XSS是一種攻擊手法

B、CSRF造成不了大的危害

C、CSRF攻擊是攻擊者與目標服務器直接交互

D、CSRF攻擊是攻擊者與被攻擊用戶直接交互

正確答案：D

54.固定會話攻擊中，最關鍵的步驟是()？

A、用戶點擊鏈接

攻擊者記錄Session

C、用戶成功登陸

D、攻擊者修改目標用戶Session

正確答案：D

55.wget說法錯誤的是()

A、wget支持http協(xié)議

B、wget支持ftp

C、Linux系統(tǒng)中的一個下載文件_￡具

D、wget支持TFTP協(xié)議

正確答案：D

56.TCP協(xié)議是攻擊者攻擊方法的思想源泉，主要問題存在于TCP的

三次握手協(xié)議上，以下哪個順序是正常的TCP三次握手過程：1.請求

端A發(fā)送一個初始序號ISNa的SYN報文；2.A對SYN+ACK報文進行

確認，同時將ISNa+1,ISNb+1發(fā)送給B；3,被請求端B收到A的

SYN報文后，發(fā)送給A自己的初始序列號ISNb,同時將ISNa+1作為

確認的SYN+ACK報文。()。

A、123

B、132

C、321

D、312

正確答案：B

57.通常情況下，Iptables防火墻在()鏈進行SNAT。

A、PREROUTING

B、FORWARD

C、OUTPUT

D、POSTROUTING

正確答案：D

58.不屬于Windows相關的文件名特性的是()。

A、文件名中不能出現(xiàn)的字符

B、大小寫不敏感

C、解析漏洞

D、短文件名的Web訪問

正確答案：C

59.PHP結(jié)合Apache的方式不存在的是0。

A^Model

B、CGI方式

C^FastCGI

D、API

正確答案：D

60.typecho反序列化漏洞中，Typecho_Feed類的—toStringO方法

是怎么利用的()？

A、可以執(zhí)行系統(tǒng)命令

B、嘗試進行反序列化操作

C、嘗試調(diào)用另一個對象的變量

D、存在call_user_func函數(shù)

正確答案：C

61.下列哪個漏洞不是由于未對輸入做過濾造成的0?

A、DOS攻擊

8、SQL注入

C、日志注入

D、命令行注入

正確答案：A

62.IPSecVPN提供的()安全機制，不支持數(shù)據(jù)加密。

A、傳輸模式

B、隧道模式

C、AH

D、ESP

正確答案：C

63.什么是序列化()？

A、將對象的狀態(tài)信息轉(zhuǎn)換為可存儲或傳輸?shù)男问降倪^程

B、將程序的運行結(jié)果轉(zhuǎn)換為可存儲或傳輸?shù)男问降倪^程

C、將程序的變量信息轉(zhuǎn)換為可存儲或傳輸?shù)男问降倪^程

D、將程序的函數(shù)信息轉(zhuǎn)換為可存儲或傳輸?shù)男问降倪^程

正確答案：A

64.關于文件包含漏洞，以下說法中不正確的是()？

A、文件包含漏洞在PHPWebApplication中居多，而在JSP、ASP、

http:〃ASP.NET程序中卻非常少，這是因為有些語言設計的弊端

B、滲透網(wǎng)站時，若當找不到上傳點，并且也沒有

url_allow_include功能時，可以考慮包含服務器的日志文件

C、文件包含漏洞只在PHP中經(jīng)常出現(xiàn)，在其他語言不存在

D、文件包含漏洞，分為本地包含，和遠程包含

正確答案：C

65.Cookie沒有以下哪個作用()？

A、維持用戶會話

B、儲存信息

C、執(zhí)行代碼

D、身份認證

正確答案：C

66.震網(wǎng)病毒主要利用的是哪個系統(tǒng)漏洞進行網(wǎng)絡攻擊的()。

A、MS08-067漏洞

B、MS16-059漏洞

C、MS18-051漏洞

D、MS17-010漏洞

正確答案：A

67.ITS短文件名機制是因為()

A、為了兼容16位MS-DOS程序

B、為了兼容32位MS-DOS程序

C、為了兼容64位MS-DOS程序

D、為了兼容8位MS-DOS程序

正確答案：A

68.下列哪一種網(wǎng)絡欺騙技術是實施交換式(基于交換機的網(wǎng)絡環(huán)境)

嗅探攻擊的前提()。

A、IP欺騙

B、DNS欺騙

C、ARP欺騙

D、路由欺騙

正確答案：C

69.Iptables防火墻通過0與內(nèi)核程序進行交互。

A、Iptables鏈

B、網(wǎng)頁

C、iptables外殼程序

D、iptables腳本

正確答案：C

70.下列文件擴展名和MIME類型對應錯誤的是0

A、.pngimeige/png

B、.jpgimage/jpg

C、.jsapplication/x-javascript

D、.pdfapplication/pdf

正確答案：B

71.使用下面哪個函數(shù)過濾xss是最好的()？

A、htmlspecialchars()

B、str_replace()

C、addslashes()

D、pregreplace()

正確答案：A

72.ITS命令執(zhí)行中，我們通常用來測試命令執(zhí)行的payload執(zhí)行結(jié)

果是()？

A、彈出計算器

B^shutdown

C、反彈shell

D、開啟遠程桌面連接

正確答案：A

73.在使用Linux的VIM編輯器的命令模式中，我們使用什么鍵可以

上移光標()

A、j

B、k

C、h

D、1

正確答案：B

74.包過濾防火墻的缺點為：()

A、開發(fā)比較困難

B、處理數(shù)據(jù)包的速度較慢

C、代理的服務(協(xié)議)必須在防火墻出廠之前進行設定

D、容易受到IP欺騙攻擊

正確答案：D

75.Windows系統(tǒng)采用了那種訪問控制模型()？

A、LAC

B、DAC

C、MAC

D、RBAC

正確答案：D

76.SQL注入出password的字段值為"Y；VRtaW440Dg="，這是采用

了哪種加密方式()

A、md5

B、base64

C、AES

D、DES

正確答案：B

77.MSSQL的默認端口是()

A、3389

B、1433

C、1521

D、3306

正確答案：B

78.通常情況下，Utables防火墻限制內(nèi)外網(wǎng)通信是在0鏈進行過

濾。

A、PREROUTING

B、FORWARD

C、OUTPUT

D、POSTROUTING

正確答案：B

79.Tptables防火墻設置默認規(guī)則的命令是0。

A>iptables-F

B、iptables-P

C、iptables-A

iptables-D

正確答案：B

80.XSS跨站腳本攻擊劫持用戶會話的原理是()？

A、使目標供用自己構(gòu)造的cookie登錄

B、竊取目標cookie

C、讓目標誤認為攻擊者是他要訪問的服務器

D、修改頁面，使目標登錄到假網(wǎng)站

正確答案：B

81.ModSecurity安全規(guī)則的組成包括()個部分。

A、4

B、6

C、3

D、5

正確答案：A

82.以下()是利用Rsync未授權(quán)訪問，并實現(xiàn)下載的功能？

A、rsyncrsync://IP/src

B、rsync-avrsync://IP/src/etc/passwd/root/passwd.txt

C、rsync-avshelIrsync://IP/src/varAvw/html/shell

D、以上命令均不正確

正確答案：B

二、多選題(共18題，每題1分，共18分)

1.網(wǎng)絡運營者收集、使用個人信息，應當遵循()的原則，公開收集、

使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集

者同意。

當

A正

、

要

B必

、

c實

、

M合-

D法

、

正確答案：ABD

2.實現(xiàn)XSS蠕蟲常用的技術有0

A、DOM

B、Ajax

C、社會工程學

D、SQL語法

正確答案：ABC

3.以下哪些選項屬于目錄掃描的常用工具？()

A、DIRB

B、御劍

C、NMAP

D、DIRBUSTER

正確答案：ABD

4.Apache服務器外圍加固措施包括()

A、部署WAF

B、部署IPS

C、部署IDS

D、部署蜜罐系統(tǒng)

正確答案：ABC

5.下面哪些攻擊方式能獲取服務器權(quán)限()

A、DDOS攻擊

B、Web攻擊

C、遠程溢出攻擊

D、端口滲透攻擊

正確答案：BCD

6.WAF對SQL注入的檢測可從()方面入手。

A、關鍵SQL命令字

B、特殊符號

C、字符串長度

D、數(shù)據(jù)庫版本號

正確答案：ABC

7.能夠修復SSRF漏洞的方法有()。

A、限制協(xié)議為HTTP、HTTPS

B、開啟php安全模式

C、設置URL白名單或者限制內(nèi)網(wǎng)IP

D、禁止30x跳轉(zhuǎn)

正確答案：ABD

8.為什么要有反序列化操作？()

A、數(shù)據(jù)需要以最小的長度進行傳輸

B、數(shù)據(jù)需要以保密的形式進行傳輸

C、需要將內(nèi)存中的對象狀態(tài)保存下來

D、數(shù)據(jù)需要以一定格式進行傳輸

正確答案：CD

9.typecho反序列化漏洞中，對用戶提交的數(shù)據(jù)做了哪些限制？