網(wǎng)絡(luò)安全紅藍(lán)對(duì)抗工程師筆試試題一、單項(xiàng)選擇題（每題3分，共30分）依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T28448-2019），三級(jí)等保系統(tǒng)中，以下哪種情況屬于高風(fēng)險(xiǎn)漏洞？（）A.匿名用戶可通過SQL注入獲取少量非敏感數(shù)據(jù)B.存在未修復(fù)的CVE-2021-44228漏洞（Log4j2遠(yuǎn)程代碼執(zhí)行漏洞）C.部分頁(yè)面未設(shè)置驗(yàn)證碼D.服務(wù)器時(shí)間與標(biāo)準(zhǔn)時(shí)間偏差5分鐘在紅藍(lán)對(duì)抗中，藍(lán)隊(duì)對(duì)網(wǎng)絡(luò)流量進(jìn)行深度包檢測(cè)（DPI）時(shí)，發(fā)現(xiàn)某IP地址頻繁向外部發(fā)送加密數(shù)據(jù)，且數(shù)據(jù)特征與正常業(yè)務(wù)不符，這種行為最有可能是（）。A.正常的加密業(yè)務(wù)數(shù)據(jù)傳輸B.數(shù)據(jù)備份操作C.惡意程序的C2通信D.內(nèi)部人員使用加密聊天工具以下哪種技術(shù)不屬于紅隊(duì)常用的橫向滲透技術(shù)？（）A.利用MS17-010漏洞進(jìn)行永恒之藍(lán)攻擊B.哈希傳遞（PasstheHash）攻擊C.基于ARP欺騙的中間人攻擊D.利用SQL注入獲取數(shù)據(jù)庫(kù)權(quán)限根據(jù)《網(wǎng)絡(luò)安全法》，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于（）。A.三個(gè)月B.六個(gè)月C.九個(gè)月D.一年在漏洞利用過程中，若目標(biāo)系統(tǒng)存在ApacheStruts2S2-045漏洞，攻擊者可通過構(gòu)造惡意的HTTP請(qǐng)求，實(shí)現(xiàn)（）。A.遠(yuǎn)程文件包含B.命令執(zhí)行C.目錄遍歷D.身份認(rèn)證繞過藍(lán)隊(duì)在進(jìn)行日志分析時(shí)，發(fā)現(xiàn)大量來自同一IP地址的登錄失敗記錄，且嘗試使用的用戶名和密碼包含常見弱口令，這種行為屬于（）。A.暴力破解攻擊B.字典攻擊C.撞庫(kù)攻擊D.釣魚攻擊紅隊(duì)在滲透測(cè)試中，獲取到目標(biāo)系統(tǒng)的用戶哈希值，以下哪種工具最適合用于破解Windows系統(tǒng)用戶哈希？（）A.NmapB.MetasploitC.JohntheRipperD.Wireshark依據(jù)《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（GB/T39204-2022），關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)在發(fā)生網(wǎng)絡(luò)安全事件后（）內(nèi)，向保護(hù)工作部門、公安機(jī)關(guān)報(bào)告。A.1小時(shí)B.2小時(shí)C.4小時(shí)D.6小時(shí)在紅藍(lán)對(duì)抗中，紅隊(duì)使用Shodan搜索引擎查找暴露在公網(wǎng)的物聯(lián)網(wǎng)設(shè)備，若要查找開放了554端口（RTSP協(xié)議）的攝像頭設(shè)備，搜索語法應(yīng)為（）。A.port:554B.554C.service:rtspD.port:554service:rtsp藍(lán)隊(duì)在進(jìn)行應(yīng)急響應(yīng)時(shí)，發(fā)現(xiàn)服務(wù)器中存在異常進(jìn)程，通過進(jìn)程ID（PID）在系統(tǒng)中查找其關(guān)聯(lián)文件，最適合使用的命令是（）。A.ps-ef|grep[PID]B.lsof-p[PID]C.netstat-ano|findstr[PID]D.tasklist/svc|findstr[PID]二、多項(xiàng)選擇題（每題5分，共25分。少選得2分，錯(cuò)選不得分）以下哪些屬于《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范》（GB/T28229-2022）中規(guī)定的漏洞屬性？（）A.漏洞名稱B.影響范圍C.漏洞利用難度D.漏洞發(fā)現(xiàn)時(shí)間紅隊(duì)在進(jìn)行滲透測(cè)試時(shí)，為了隱藏攻擊痕跡，可采取的措施有（）。A.修改系統(tǒng)日志文件B.使用代理服務(wù)器進(jìn)行攻擊C.清除攻擊工具產(chǎn)生的臨時(shí)文件D.降低攻擊頻率，避免觸發(fā)告警規(guī)則藍(lán)隊(duì)在構(gòu)建入侵檢測(cè)系統(tǒng)（IDS）規(guī)則庫(kù)時(shí)，需要考慮的因素包括（）。A.常見的攻擊特征B.網(wǎng)絡(luò)環(huán)境的正常流量模式C.不同協(xié)議的數(shù)據(jù)包結(jié)構(gòu)D.最新的漏洞利用方式根據(jù)《數(shù)據(jù)安全法》，以下哪些行為屬于違法行為？（）A.未經(jīng)授權(quán)，非法獲取個(gè)人數(shù)據(jù)B.未按照規(guī)定對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)保護(hù)C.數(shù)據(jù)處理者在數(shù)據(jù)出境時(shí)，未進(jìn)行數(shù)據(jù)出境安全評(píng)估D.數(shù)據(jù)處理者未制定數(shù)據(jù)安全事件應(yīng)急預(yù)案在紅藍(lán)對(duì)抗中，涉及到密碼學(xué)的應(yīng)用場(chǎng)景有（）。A.紅隊(duì)使用加密通信與C2服務(wù)器保持聯(lián)系B.藍(lán)隊(duì)對(duì)捕獲的加密流量進(jìn)行解密分析C.紅隊(duì)利用哈希碰撞技術(shù)繞過身份認(rèn)證D.藍(lán)隊(duì)通過數(shù)字簽名驗(yàn)證文件的完整性三、判斷題（每題2分，共10分）在紅藍(lán)對(duì)抗中，紅隊(duì)可以隨意攻擊任何目標(biāo)系統(tǒng)，不受法律約束。（）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）規(guī)定，二級(jí)等保系統(tǒng)不需要進(jìn)行滲透測(cè)試。（）紅隊(duì)在進(jìn)行漏洞利用時(shí)，只要獲取到目標(biāo)系統(tǒng)的權(quán)限，就可以隨意篡改數(shù)據(jù)。（）藍(lán)隊(duì)在進(jìn)行網(wǎng)絡(luò)安全監(jiān)測(cè)時(shí)，通過分析DNS日志可以發(fā)現(xiàn)潛在的惡意域名訪問行為。（）依據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者可以自行決定是否將安全防護(hù)工作外包給第三方機(jī)構(gòu)。（）四、填空題（每題3分，共15分）在Windows系統(tǒng)中，用于查看當(dāng)前用戶會(huì)話信息的命令是________。常見的Web應(yīng)用防火墻（WAF）防護(hù)規(guī)則繞過技術(shù)有________、編碼繞過等。紅隊(duì)在進(jìn)行無線滲透測(cè)試時(shí)，常用的抓包工具是________。依據(jù)《網(wǎng)絡(luò)安全審查辦法》，掌握超過________萬用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。藍(lán)隊(duì)在應(yīng)急響應(yīng)中，對(duì)被篡改的文件進(jìn)行恢復(fù)時(shí)，需要結(jié)合備份數(shù)據(jù)和________進(jìn)行操作。五、簡(jiǎn)答題（每題10分，共20分）請(qǐng)簡(jiǎn)述紅藍(lán)對(duì)抗中紅隊(duì)的攻擊流程，并結(jié)合具體技術(shù)說明每個(gè)階段的主要任務(wù)。藍(lán)隊(duì)在檢測(cè)到勒索病毒攻擊后，應(yīng)如何進(jìn)行應(yīng)急響應(yīng)？請(qǐng)從事件確認(rèn)、隔離處置、數(shù)據(jù)恢復(fù)等方面詳細(xì)闡述。網(wǎng)絡(luò)安全紅藍(lán)對(duì)抗工程師筆試試題答案一、單項(xiàng)選擇題B2.C3.D4.B5.B6.A7.C8.C9.D10.B二、多項(xiàng)選擇題ABCD2.ABCD3.ABCD4.ABCD5.ABCD三、判斷題×2.×3.×4.√5.×四、填空題queryuser繞過檢測(cè)邏輯（答案合理即可，如特殊字符繞過等）Aircrack-ng100日志信息五、簡(jiǎn)答題紅隊(duì)攻擊流程主要包括情報(bào)收集、漏洞探測(cè)、漏洞利用、權(quán)限維持、痕跡清理五個(gè)階段。情報(bào)收集階段：通過Whois查詢、Shodan搜索引擎、社交媒體等多種渠道，收集目標(biāo)系統(tǒng)的網(wǎng)絡(luò)拓?fù)洹⒂蛎畔?、開放端口、應(yīng)用程序版本等信息，為后續(xù)攻擊提供基礎(chǔ)。例如使用nmap掃描目標(biāo)主機(jī)開放的端口和服務(wù)，獲取其操作系統(tǒng)類型等信息。漏洞探測(cè)階段：運(yùn)用Nessus、OpenVAS等漏洞掃描工具，對(duì)目標(biāo)系統(tǒng)進(jìn)行全面掃描，發(fā)現(xiàn)可能存在的漏洞；同時(shí)結(jié)合人工測(cè)試，如Web應(yīng)用的滲透測(cè)試，檢查SQL注入、XSS等漏洞。例如使用SQLMap工具自動(dòng)化檢測(cè)Web應(yīng)用的SQL注入漏洞。漏洞利用階段：根據(jù)探測(cè)到的漏洞，選擇合適的漏洞利用工具或編寫利用代碼，獲取目標(biāo)系統(tǒng)的權(quán)限。比如對(duì)于存在MS17-010漏洞的Windows系統(tǒng)，可使用Metasploit框架中的相關(guān)模塊進(jìn)行攻擊，獲取系統(tǒng)權(quán)限。權(quán)限維持階段：為了長(zhǎng)期控制目標(biāo)系統(tǒng)，紅隊(duì)會(huì)創(chuàng)建隱藏賬戶、植入后門程序等。例如在Windows系統(tǒng)中創(chuàng)建克隆賬戶，或使用CobaltStrike等工具生成后門，確保后續(xù)能持續(xù)訪問目標(biāo)系統(tǒng)。痕跡清理階段：刪除攻擊過程中產(chǎn)生的日志文件、臨時(shí)文件，修改系統(tǒng)日志記錄，避免被藍(lán)隊(duì)發(fā)現(xiàn)攻擊痕跡。如使用批處理腳本刪除Windows系統(tǒng)的事件日志，或修改日志中的關(guān)鍵記錄。藍(lán)隊(duì)在檢測(cè)到勒索病毒攻擊后的應(yīng)急響應(yīng)流程如下：事件確認(rèn)：收集受感染系統(tǒng)的異?，F(xiàn)象，如文件被加密、出現(xiàn)勒索提示信息、系統(tǒng)運(yùn)行緩慢等。檢查系統(tǒng)日志，查看是否有可疑進(jìn)程、異常的網(wǎng)絡(luò)連接等。使用專業(yè)的安全檢測(cè)工具，如病毒查殺軟件、文件哈希比對(duì)工具，確認(rèn)是否為勒索病毒攻擊以及病毒的類型。隔離處置：立即斷開受感染主機(jī)與網(wǎng)絡(luò)的連接，防止病毒擴(kuò)散到其他主機(jī)。關(guān)閉受感染主機(jī)上的共享服務(wù)，如SMB服務(wù)等，避免病毒通過共享傳播。對(duì)網(wǎng)絡(luò)中的其他主機(jī)進(jìn)行安全檢查，安裝補(bǔ)丁，更新殺毒軟件病毒庫(kù)，防止二次感染。數(shù)據(jù)恢復(fù)：若有備份數(shù)據(jù)，優(yōu)先從可靠的備份源恢復(fù)數(shù)據(jù)