2025年P(guān)ython信息安全編程實(shí)戰(zhàn)演練：二級考試沖刺試卷考試時(shí)間：______分鐘總分：______分姓名：______一、選擇題（每題2分，共20分）1.以下哪種Python數(shù)據(jù)結(jié)構(gòu)最適合用來存儲(chǔ)不重復(fù)的元素集合，并支持高效的成員檢查？A.列表(List)B.字典(Dictionary)C.集合(Set)D.元組(Tuple)2.在Python中，用于處理加密和解密過程的第三方庫`cryptography`通常依賴于哪個(gè)庫來提供底層加密算法的實(shí)現(xiàn)？A.re(正則表達(dá)式庫)B.sqlite3(數(shù)據(jù)庫庫)C.hashlib(哈希庫)D.PyCryptodome3.當(dāng)使用Python的`hashlib`庫對密碼進(jìn)行哈希處理時(shí)，為了提高安全性，通常建議使用哪種哈希算法？A.MD5B.SHA-1C.SHA-256D.DES4.以下哪個(gè)HTTP響應(yīng)狀態(tài)碼表示請求成功，服務(wù)器返回了客戶端請求的資源？A.404NotFoundB.403ForbiddenC.200OKD.500InternalServerError5.跨站腳本（XSS）攻擊主要是利用Web應(yīng)用程序哪種缺陷，使得惡意腳本在用戶的瀏覽器中執(zhí)行？A.服務(wù)器配置錯(cuò)誤B.代碼注入漏洞C.跨站請求偽造D.會(huì)話管理漏洞6.在Python中，如果要定義一個(gè)類，并讓它的實(shí)例能夠調(diào)用`__str__`方法來返回自定義的字符串表示，`__str__`方法應(yīng)該定義在哪個(gè)特殊方法中？A.`__init__`B.`__repr__`C.`__new__`D.`__str__`7.以下哪個(gè)Python模塊是用于處理網(wǎng)絡(luò)通信，提供了基于套接字的原生接口？A.jsonB.socketC.requestsD.argparse8.當(dāng)使用Python進(jìn)行文件操作時(shí)，打開一個(gè)文件并準(zhǔn)備寫入數(shù)據(jù)，但不希望覆蓋原有內(nèi)容，應(yīng)該使用哪個(gè)模式？A.'r'B.'w'C.'a'D.'x'9.在Python代碼中，如果要表示一個(gè)注釋，應(yīng)該使用哪種符號(hào)？A.#(井號(hào))B.//(雙斜杠)C./*...*/(花括號(hào))D.'''...'''(三引號(hào))10.對于一個(gè)需要頻繁修改的數(shù)據(jù)集合，且需要保持元素唯一性的場景，使用列表(List)相比使用集合(Set)會(huì)有什么主要缺點(diǎn)？A.集合無法存儲(chǔ)重復(fù)元素B.列表查找元素效率更高C.列表在添加和刪除元素時(shí)通常更快D.列表內(nèi)存占用通常小于集合二、填空題（每空2分，共20分）1.在Python中，使用`import`語句可以引入同一個(gè)包下的不同模塊，例如`importmypackage.moduleA`和`importmypackage.moduleB`。如果需要在兩個(gè)模塊中使用彼此的函數(shù)，可以通過`__init__.py`文件中的`from.moduleAimportfunctionX`和`from.moduleBimportfunctionY`來實(shí)現(xiàn)，這里的`.`表示_______。2.對于非對稱加密算法，通常用于加密數(shù)據(jù)的密鑰稱為_______密鑰，用于解密數(shù)據(jù)的密鑰稱為_______密鑰。3.在Web開發(fā)中，為了防止用戶繞過前端驗(yàn)證直接提交惡意數(shù)據(jù)，需要在服務(wù)器端進(jìn)行_______校驗(yàn)。4.Python中的`logging`模塊默認(rèn)情況下，日志消息會(huì)輸出到_______。5.如果一個(gè)類定義了`__iter__`方法，那么該類的實(shí)例通常被認(rèn)為是_______可迭代的。6.當(dāng)使用Python的`requests`庫向一個(gè)URL發(fā)送HTTPGET請求時(shí)，可以通過在請求頭中設(shè)置`headers={'User-Agent':'MyApp/1.0'}`來指定自定義的_______。7.在處理文件操作時(shí)，如果使用`withopen('file.txt','r')asf:`語句，當(dāng)退出`with`代碼塊時(shí)，Python會(huì)自動(dòng)_______該文件。8.在面向?qū)ο缶幊讨?，如果一個(gè)類B繼承自類A，那么類B被稱為類A的_______類。9.Python中的異常處理結(jié)構(gòu)`try...except...finally`語句中，`finally`塊中的代碼無論是否發(fā)生異常，只要`try`塊執(zhí)行或被`break`/`return`/`continue`跳出，_______都會(huì)執(zhí)行。10.假設(shè)有一個(gè)Python函數(shù)定義如下：`defcalculate_factorial(n):`。如果調(diào)用`calculate_factorial(5)`，其返回值應(yīng)該是_______。三、簡答題（每題5分，共15分）1.簡述對稱加密和非對稱加密在密鑰管理方面的主要區(qū)別。2.解釋什么是SQL注入攻擊，并簡述在Python數(shù)據(jù)庫編程中如何防范SQL注入。3.什么是Python中的“魔術(shù)方法”（如`__init__`,`__str__`）？它們的作用是什么？四、編程題（共45分）1.（15分）加密與解密假設(shè)你需要開發(fā)一個(gè)簡單的密碼存儲(chǔ)功能，要求存儲(chǔ)的密碼經(jīng)過加密處理。請編寫Python代碼，完成以下任務(wù)：a)使用Python的`cryptography`庫（或`PyCryptodome`庫）中的AES算法，創(chuàng)建一個(gè)AES加密對象，使用一個(gè)安全的隨機(jī)生成的密鑰（可以使用16字節(jié)、24字節(jié)或32字節(jié)長度的密鑰，注意密鑰長度要求）和一個(gè)簡單的初始化向量（IV，可以使用16字節(jié)長度的IV）。b)定義一個(gè)函數(shù)`encrypt_password(plain_text_password,key,iv)`，該函數(shù)接收明文密碼、密鑰和IV作為參數(shù)，返回加密后的密碼（以十六進(jìn)制字符串形式表示）。c)定義一個(gè)函數(shù)`decrypt_password(cipher_text_password,key,iv)`，該函數(shù)接收加密后的密碼（十六進(jìn)制字符串形式）、密鑰和IV作為參數(shù)，返回解密后的明文密碼。d)測試你的加密和解密函數(shù)，使用一個(gè)簡單的明文密碼（如"SecurePass123"），打印出加密后的結(jié)果和解密后的結(jié)果，確保解密結(jié)果與原始明文密碼一致。2.（15分）Web安全（XSS）模擬防御假設(shè)你正在開發(fā)一個(gè)簡單的Web應(yīng)用程序，用戶可以在一個(gè)表單中提交評論。為了防止跨站腳本（XSS）攻擊，你需要對用戶提交的評論內(nèi)容進(jìn)行處理。請編寫Python代碼，完成以下任務(wù)：a)定義一個(gè)函數(shù)`sanitize_input(user_comment)`，該函數(shù)接收用戶提交的評論內(nèi)容作為參數(shù)。為了防御XSS攻擊，該函數(shù)需要對輸入內(nèi)容進(jìn)行“凈化”，至少要實(shí)現(xiàn)以下處理：將小于號(hào)(`<`)替換為`<`，將大于號(hào)(`>`)替換為`>`，將引號(hào)(`"`)替換為`"`，將與號(hào)(`&`)替換為`&`。你可以使用字符串的`replace`方法或正則表達(dá)式來實(shí)現(xiàn)。b)編寫一段模擬用戶提交評論并處理該評論的代碼。假設(shè)用戶提交的評論是`<script>alert('XSSAttack!')</script>`.調(diào)用`sanitize_input`函數(shù)處理該評論，然后打印出凈化后的評論內(nèi)容。說明這樣處理后，如果將凈化后的內(nèi)容顯示在Web頁面上，瀏覽器會(huì)如何處理，從而達(dá)到防御XSS的效果。3.（15分）日志分析腳本假設(shè)你有一個(gè)名為`app.log`的日志文件，記錄了應(yīng)用程序的運(yùn)行信息。日志文件的每條記錄都以時(shí)間戳開頭，格式如下：`[2023-10-2710:15:30]INFO:Userloggedinsuccessfully``[2023-10-2710:16:45]ERROR:Databaseconnectionfailed``[2023-10-2710:17:12]INFO:Processingrequestfor/api/data`請編寫Python代碼，完成以下任務(wù)：a)編寫一個(gè)函數(shù)`count_log_entries(log_file_path,log_level='INFO')`，該函數(shù)接收日志文件路徑和要統(tǒng)計(jì)的日志級別（默認(rèn)為'INFO'）作為參數(shù)。b)該函數(shù)應(yīng)打開指定的日志文件，讀取其內(nèi)容，并統(tǒng)計(jì)其中日志級別為`log_level`的記錄數(shù)量。例如，如果`log_level`是'ERROR'，則只統(tǒng)計(jì)以`ERROR:`開頭的記錄。c)在主程序中，調(diào)用`count_log_entries('app.log','ERROR')`并打印出返回的錯(cuò)誤記錄數(shù)量。然后調(diào)用`count_log_entries('app.log','INFO')`并打印出返回的INFO記錄數(shù)量。---試卷答案一、選擇題1.C解析：集合（Set）是專門用于存儲(chǔ)不重復(fù)元素的數(shù)據(jù)結(jié)構(gòu)，并且查找效率高。2.D解析：`cryptography`庫通常依賴于`PyCryptodome`這個(gè)庫來提供底層的加密算法實(shí)現(xiàn)。3.C解析：SHA-256比MD5和SHA-1更安全，MD5和SHA-1已被認(rèn)為不安全用于密碼哈希。4.C解析：HTTP200OK狀態(tài)碼表示請求成功，服務(wù)器返回了客戶端請求的資源。5.B解析：XSS攻擊利用Web應(yīng)用沒有對用戶輸入進(jìn)行充分過濾或轉(zhuǎn)義，導(dǎo)致惡意腳本在用戶瀏覽器執(zhí)行。6.D解析：`__str__`方法定義在類中，用于定義對象的標(biāo)準(zhǔn)字符串表示，供`print()`函數(shù)和`str()`調(diào)用使用。7.B解析：`socket`模塊是Python用于網(wǎng)絡(luò)通信的基礎(chǔ)庫，提供基于套接字的原生接口。8.C解析：模式'a'表示以追加模式打開文件，如果文件不存在則創(chuàng)建，如果存在則在文件末尾追加內(nèi)容。9.A解析：`#`符號(hào)在Python中用于表示單行注釋。10.C解析：列表（List）在添加和刪除元素時(shí)通常需要移動(dòng)其他元素，操作相對集合（Set）更慢。二、填空題1.當(dāng)前包解析：在包內(nèi)模塊中使用`from.moduleXimport...`語法，`.`表示當(dāng)前包。2.公鑰；私鑰解析：非對稱加密使用一對密鑰，一個(gè)用于加密（公鑰），另一個(gè)用于解密（私鑰）。3.服務(wù)器端解析：為了防止CSRF等攻擊，需要在服務(wù)器端驗(yàn)證請求的有效性，不能僅依賴客戶端驗(yàn)證。4.標(biāo)準(zhǔn)輸出（通常是控制臺(tái)）解析：`logging`模塊的默認(rèn)處理器（Handler）是`StreamHandler`，通常將日志輸出到標(biāo)準(zhǔn)輸出（如控制臺(tái)）。5.可迭代解析：實(shí)現(xiàn)了`__iter__`方法的對象是可迭代的，可以被用在`for`循環(huán)中。6.User-Agent解析：在HTTP請求頭中，`User-Agent`字段用于標(biāo)識(shí)發(fā)起請求的用戶代理軟件。7.關(guān)閉解析：使用`with`語句管理文件資源時(shí)，退出`with`代碼塊會(huì)自動(dòng)調(diào)用文件的`close()`方法，確保文件被關(guān)閉。8.子解析：在繼承關(guān)系中，繼承基類（父類）的類稱為子類。9.總是解析：`finally`塊無論是否發(fā)生異常，或者是否有`return`/`break`/`continue`語句，只要`try`塊執(zhí)行（或被跳過），`finally`塊總是會(huì)執(zhí)行。10.120解析：5的階乘（5!=5*4*3*2*1）等于120。三、簡答題1.對稱加密使用同一個(gè)密鑰進(jìn)行加密和解密。密鑰的管理難點(diǎn)在于如何安全地將密鑰分發(fā)給所有需要解密的人，密鑰一旦泄露，安全性就喪失。非對稱加密使用一對密鑰（公鑰和私鑰），公鑰可以公開分發(fā)，用于加密數(shù)據(jù)；私鑰由所有者保管，用于解密數(shù)據(jù)。密鑰管理的難點(diǎn)在于保護(hù)私鑰不被泄露。2.SQL注入攻擊是攻擊者通過在輸入字段中插入或“注入”惡意SQL代碼，從而欺騙服務(wù)器執(zhí)行非預(yù)期的數(shù)據(jù)庫操作。在Python中防范SQL注入，推薦使用參數(shù)化查詢（ParameterizedQueries）。例如，使用`sqlite3`庫時(shí)，應(yīng)使用`cursor.execute("SELECT*FROMusersWHEREusername=?",(username,))`而不是`cursor.execute("SELECT*FROMusersWHEREusername='"+username+"'")`。使用ORM（對象關(guān)系映射）框架如SQLAlchemy也能自動(dòng)處理參數(shù)化，防止注入。3.魔術(shù)方法（MagicMethods）是Python中以雙下劃線開頭和結(jié)尾的特殊方法（如`__init__`,`__str__`,`__add__`等）。它們不是直接被程序員調(diào)用的，而是由Python解釋器在特定場景下自動(dòng)調(diào)用。程序員可以通過定義這些魔術(shù)方法來為自定義類的對象添加特殊的行為，例如讓對象支持打印（`__str__`）、支持運(yùn)算符重載（`__add__`）等。四、編程題1.（15分）加密與解密```pythonfromcryptography.hazmat.primitives.ciphersimportCipher,algorithms,modesfromcryptography.hazmat.backendsimportdefault_backendfromosimporturandomimportbinasciidefgenerate_key_iv():#生成16字節(jié)長度的AES密鑰和IVkey=urandom(16)iv=urandom(16)returnkey,ivdefencrypt_password(plain_text_password,key,iv):#創(chuàng)建AES加密器實(shí)例cipher=Cipher(algorithms.AES(key),modes.CBC(iv),backend=default_backend())encryptor=cipher.encryptor()#對密碼進(jìn)行填充（AES要求數(shù)據(jù)塊大小為16的倍數(shù)）#PKCS7填充padding_len=16-(len(plain_text_password.encode())%16)plain_bytes=plain_text_password.encode()+bytes([padding_len]*padding_len)cipher_text_bytes=encryptor.update(plain_bytes)+encryptor.finalize()#返回十六進(jìn)制字符串returncipher_text_bytes.hex()defdecrypt_password(cipher_text_password,key,iv):#創(chuàng)建AES解密器實(shí)例cipher=Cipher(algorithms.AES(key),modes.CBC(iv),backend=default_backend())decryptor=cipher.decryptor()#將十六進(jìn)制字符串轉(zhuǎn)換為bytescipher_text_bytes=binascii.unhexlify(cipher_text_password)#解密decrypted_bytes=decryptor.update(cipher_text_bytes)+decryptor.finalize()#去除填充padding_len=decrypted_bytes[-1]decrypted_password=decrypted_bytes[:-padding_len].decode()returndecrypted_password#測試key,iv=generate_key_iv()password="SecurePass123"encrypted=encrypt_password(password,key,iv)decrypted=decrypt_password(encrypted,key,iv)print(f"Original:{password}")print(f"Encrypted(Hex):{encrypted}")print(f"Decrypted:{decrypted}")```2.（15分）Web安全（XSS）模擬防御```pythonimportredefsanitize_input(user_comment):#使用字符串替換方法sanitized=user_comment.replace('&','&').replace('<','<').replace('>','>').replace('"','"')#使用正則表達(dá)式替換（作為補(bǔ)充或替代）#sanitized=re.sub(r'([&<>"])',r'\1<',user_comment)#示例：只替換<,>,"returnsanitized#模擬用戶提交的評論user_comment="<script>alert('XSSAttack!')</script>"print(f"UserInput:{user_comment}")#處理評論sanitized_comment=sanitize_input(user_comment)print(f"SanitizedOutput:{sanitized_comment}")#解析：#