2025年P(guān)ython信息安全編程技能考核試卷（二級）考試時間：______分鐘總分：______分姓名：______一、選擇題（請將正確選項的字母填入括號內(nèi)）1.在Python中，用于生成強隨機數(shù)的標(biāo)準(zhǔn)庫是？A.`random`B.`hashlib`C.`secrets`D.`cryptography`2.以下哪種加密算法屬于對稱加密算法？A.RSAB.ECCC.AESD.SHA-2563.在Web應(yīng)用安全中，SQL注入攻擊主要是利用什么來獲取未授權(quán)數(shù)據(jù)？A.網(wǎng)絡(luò)協(xié)議漏洞B.不安全的第三方庫C.用戶輸入未經(jīng)驗證直接用于數(shù)據(jù)庫查詢D.服務(wù)器配置錯誤4.以下哪個Python函數(shù)常用于安全地哈希密碼，因為它內(nèi)置了鹽值生成和多次哈希計算？A.`hashlib.md5()`B.`hashlib.sha256()`C.`hashlib.pbkdf2_hmac()`D.`hashlib.sha1()`5.HTTPS協(xié)議通過什么技術(shù)確保了數(shù)據(jù)在傳輸過程中的機密性和完整性？A.對稱加密B.數(shù)字簽名C.公鑰基礎(chǔ)設(shè)施（PKI）和對稱加密D.身份認(rèn)證6.在Python代碼中，防止跨站腳本（XSS）攻擊的一種基本方法是？A.對所有用戶輸入進(jìn)行嚴(yán)格的類型檢查B.使用`eval()`函數(shù)處理用戶輸入C.在輸出到瀏覽器前對用戶輸入進(jìn)行HTML實體編碼D.使用`exec()`函數(shù)動態(tài)執(zhí)行安全代碼7.以下哪個安全概念指的是，攻擊者需要花費非指數(shù)級的計算資源才能破解密碼？A.可逆性B.抗碰撞性C.計算擴散性D.單向性8.在Python中，處理XML數(shù)據(jù)時，為了防止XML外部實體（XXE）攻擊，應(yīng)該？A.禁用XML解析器B.對XML輸入進(jìn)行白名單驗證C.使用`xml.etree.ElementTree`庫并禁用外部實體解析D.將XML數(shù)據(jù)存儲在數(shù)據(jù)庫中避免解析9.證書頒發(fā)機構(gòu)（CA）的主要職責(zé)是？A.設(shè)計加密算法B.研發(fā)安全協(xié)議C.驗證申請者的身份并簽發(fā)數(shù)字證書D.檢測網(wǎng)絡(luò)中的安全威脅10.以下哪種Python代碼片段存在明顯的緩沖區(qū)溢出（概念性）風(fēng)險？A.`data=input("Enterdata:")[:10]`B.`secure_random=secrets.token_hex(16)`C.`password_hash=hashlib.sha256(input("Password:").encode()).hexdigest()`D.`result=int(safe_input("Number:"))`(假設(shè)`safe_input`函數(shù)能確保輸入為有效整數(shù))二、填空題（請將答案填寫在橫線上）1.數(shù)字簽名主要利用______算法來確保消息的來源真實性和完整性。2.在Python中，`hashlib`庫通常用于計算消息摘要，其提供的______函數(shù)可以抵抗碰撞攻擊。3.為了防御重放攻擊，可以在網(wǎng)絡(luò)請求中包含一個______，該值每次請求時都應(yīng)唯一且難以預(yù)測。4.假設(shè)你使用AES-256加密算法，密鑰長度為______位。5.當(dāng)處理用戶上傳的文件時，為了防止文件類型混淆攻擊，應(yīng)該嚴(yán)格驗證文件的______和______。6.在Python中，`try...except...finally`語句塊可以用來處理異常，其中______代碼塊無論是否發(fā)生異常都會執(zhí)行，常用于清理資源。7.“最小權(quán)限原則”在操作系統(tǒng)安全中意味著每個進(jìn)程或用戶應(yīng)該只擁有完成其任務(wù)所必需的______。8.HTTPS協(xié)議通過在TCP/IP模型的應(yīng)用層和______層之間加入SSL/TLS協(xié)議來實現(xiàn)加密通信。9.哈希函數(shù)的“雪崩效應(yīng)”指的是輸入的微小變化會導(dǎo)致輸出的______變化。10.Python的`os`模塊中的`os.system()`函數(shù)直接調(diào)用系統(tǒng)命令，如果直接使用用戶輸入作為參數(shù)，可能引發(fā)______攻擊。三、編程題1.編寫一個Python函數(shù)`generate_secure_password(length=12)`，該函數(shù)使用`secrets`庫生成一個包含大小寫字母、數(shù)字和特殊符號的強隨機密碼，并返回密碼字符串。要求密碼長度至少為8位，且必須包含至少一種大寫字母、一種小寫字母、一種數(shù)字和一種特殊符號（例如`!@#$%^&*()`）。2.假設(shè)你需要存儲用戶的密碼。編寫一個Python函數(shù)`hash_password(password,salt)`，該函數(shù)接收用戶密碼和鹽值（`salt`）作為輸入，使用`hashlib.pbkdf2_hmac`方法（指定`hash_name='sha256'`，`iterations=100000`）生成密碼哈希，并返回一個包含鹽值和哈希值的元組（`salt`,`hashed_password`）。請確保鹽值是隨機生成的，并且每次對同一密碼使用相同鹽值時，生成的哈希值都不同。3.編寫一個Python函數(shù)`safe_datasanitization(data,allowed_tags=None)`，用于清理HTML或XML輸入中的潛在危險內(nèi)容，以防止XSS攻擊。函數(shù)接收輸入數(shù)據(jù)`data`和一個可選參數(shù)`allowed_tags`（一個允許的HTML標(biāo)簽列表，默認(rèn)為`None`，表示不允許任何標(biāo)簽）。如果`allowed_tags`為`None`，則函數(shù)應(yīng)返回一個去除所有HTML/XML標(biāo)簽的純文本字符串。如果`allowed_tags`不為`None`，則函數(shù)應(yīng)僅保留`allowed_tags`中指定的標(biāo)簽及其內(nèi)容，其他所有標(biāo)簽和腳本等應(yīng)被移除。提示：可以研究`html`模塊或正則表達(dá)式實現(xiàn)。四、安全分析題閱讀以下Python代碼片段，并分析其中存在的安全風(fēng)險：```pythonimporthashlibdefverify_user_password(stored_password_hash,provided_password):#假設(shè)stored_password_hash是數(shù)據(jù)庫中存儲的哈希值，格式為"salt:hash"salt,hash_value=stored_password_hash.split(':')#使用用戶提供的密碼，但使用的是較慢的SHA-1算法進(jìn)行哈希new_hash=hashlib.sha1(provided_password.encode()).hexdigest()returnnew_hash==hash_value#示例使用user_stored_hash="randomsalt:5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8"user_input_password="userpassword123"ifverify_user_password(user_stored_hash,user_input_password):print("Passwordverified!")else:print("Invalidpassword.")```請指出該代碼中至少三個明顯的安全風(fēng)險，并簡要說明每個風(fēng)險的原因及其可能帶來的后果。對于其中至少一個風(fēng)險，提出具體的修復(fù)建議。試卷答案一、選擇題1.C解析：`secrets`庫專為密碼學(xué)安全設(shè)計，生成強隨機數(shù)。2.C解析：AES是對稱加密算法，RSA和ECC是非對稱加密算法，SHA-256是哈希算法。3.C解析：SQL注入利用未經(jīng)驗證的用戶輸入直接嵌入SQL查詢，繞過認(rèn)證。4.C解析：`hashlib.pbkdf2_hmac`通過HMAC和多次迭代實現(xiàn)安全的密碼哈希，并支持鹽值。5.C解析：HTTPS結(jié)合了公鑰加密（SSL/TLS）和對稱加密來保證傳輸安全。6.C解析：HTML實體編碼可以將特殊字符轉(zhuǎn)換為瀏覽器可安全顯示的格式。7.C解析：計算擴散性要求微小輸入變化導(dǎo)致巨大輸出變化，是安全哈希函數(shù)的特性。8.C解析：`ElementTree`禁用外部實體解析可以防止XXE攻擊，這是常見防御措施。9.C解析：CA的核心功能是驗證身份并簽發(fā)可信的數(shù)字證書。10.D解析：直接使用用戶輸入調(diào)用`int()`存在注入風(fēng)險，如果輸入非數(shù)字會引發(fā)`ValueError`，更嚴(yán)重的是如果輸入是惡意構(gòu)造的代碼字符串，可能會被`exec()`執(zhí)行。二、填空題1.公鑰解析：數(shù)字簽名使用非對稱加密算法（公鑰/私鑰對），私鑰簽名，公鑰驗證。2.安全的哈希函數(shù)解析：`hashlib`提供的安全哈希函數(shù)（如SHA-256,SHA-3）設(shè)計上抵抗碰撞攻擊。3.消息認(rèn)證碼（MAC）或令牌/nonce解析：MAC或一次性令牌（nonce）可以驗證消息的完整性和真實性，防止重放。4.256解析：AES-256指使用256位的密鑰進(jìn)行加密。5.內(nèi)容（MIMEtype）和擴展名（extension）解析：嚴(yán)格驗證文件內(nèi)容類型和文件名擴展名可以防止惡意文件偽裝。6.finally解析：`finally`代碼塊在`try`和`except`塊執(zhí)行后，無論是否發(fā)生異常，都會執(zhí)行。7.權(quán)限解析：最小權(quán)限原則要求限制訪問權(quán)限，只授予完成任務(wù)必需的最小資源訪問權(quán)。8.傳輸層解析：SSL/TLS協(xié)議運行在OSI模型的傳輸層（TCP之上），為應(yīng)用層提供加密。9.完全解析：雪崩效應(yīng)指輸入比特的微小改變導(dǎo)致輸出比特發(fā)生大規(guī)模、隨機化的改變。10.命令注入解析：`os.system()`執(zhí)行系統(tǒng)命令，若參數(shù)為用戶輸入，則可能導(dǎo)致惡意命令被執(zhí)行。三、編程題1.```pythonimportsecretsimportstringdefgenerate_secure_password(length=12):iflength<8:raiseValueError("Passwordlengthmustbeatleast8")chars_lower=string.ascii_lowercasechars_upper=string.ascii_uppercasechars_digit=string.digitschars_special="!@#$%^&*()"#確保包含各類字符password=[secrets.choice(chars_lower),secrets.choice(chars_upper),secrets.choice(chars_digit),secrets.choice(chars_special)]#填充剩余長度iflength>4:remaining_length=length-4all_chars=chars_lower+chars_upper+chars_digit+chars_specialpassword+=[secrets.choice(all_chars)for_inrange(remaining_length)]#打亂順序secrets.SystemRandom().shuffle(password)return''.join(password)```解析思路：a.驗證長度至少為8。b.定義字符集：小寫、大寫、數(shù)字、特殊符號。c.確保密碼包含至少一種每種類型的字符。d.如果總長度大于4，填充剩余部分，可以使用所有字符集。e.將選中的字符列表打亂順序以增加隨機性。f.將列表連接成字符串返回。2.```pythonimporthashlibimportsecretsdefhash_password(password,salt):ifnotsalt:salt=secrets.token_hex(16)#生成16字節(jié)（32十六進(jìn)制字符）的鹽#使用pbkdf2_hmac，指定sha256，迭代次數(shù)，鹽值，密碼hashed_password=hashlib.pbkdf2_hmac('sha256',password.encode(),salt.encode(),100000)return(salt,hashed_password.hex())#返回鹽值和十六進(jìn)制哈希```解析思路：a.接收密碼和鹽值。如果未提供鹽值，則使用`secrets.token_hex`生成一個隨機的16字節(jié)鹽。b.使用`hashlib.pbkdf2_hmac`進(jìn)行哈希計算。指定`hash_name='sha256'`，`password`需要編碼為字節(jié)。c.`salt`也需要編碼為字節(jié)。`iterations=100000`指定計算次數(shù)以增加破解難度。d.返回一個元組，包含原始鹽值（字符串形式）和哈希值（十六進(jìn)制字符串形式）。3.```pythonimporthtmlimportredefsafe_data_sanitization(data,allowed_tags=None):ifallowed_tagsisNone:#如果不允許任何標(biāo)簽，移除所有HTML/XML標(biāo)簽returnre.sub('<[^>]+>','',data)else:#允許的標(biāo)簽集合allowed_set=set(allowed_tags)#移除不允許的標(biāo)簽defremove_unallowed(match):tag=match.group(0)iftag[1:].lower()inallowed_set:returntag#保留允許的標(biāo)簽else:return''#移除不允許的標(biāo)簽#使用正則表達(dá)式匹配所有標(biāo)簽并處理sanitized_data=re.sub(r'<[^>]+>',remove_unallowed,data)#進(jìn)一步清理，移除標(biāo)簽內(nèi)的JavaScript等危險內(nèi)容（基礎(chǔ)版）sanitized_data=re.sub(r'<.*?javascript:.*?>','',sanitized_data,flags=re.IGNORECASE)sanitized_data=html.escape(sanitized_data)#對剩余的保留標(biāo)簽內(nèi)容進(jìn)行轉(zhuǎn)義returnsanitized_data```解析思路：a.處理`allowed_tags=None`情況：使用正則表達(dá)式`<[^>]+>`匹配所有標(biāo)簽并移除。b.處理`allowed_tags`非空情況：1.創(chuàng)建允許標(biāo)簽的集合`allowed_set`。2.定義一個輔助函數(shù)`remove_unallowed`，用于正則匹配回調(diào)。檢