2025年P(guān)ython二級信息安全專項復(fù)習(xí)與沖刺試卷考試時間：______分鐘總分：______分姓名：______一、選擇題（每題2分，共30分）1.下列關(guān)于Python中`hash()`函數(shù)的說法，正確的是（）。A.可以對任意長度的數(shù)據(jù)哈希B.返回的是一個字節(jié)串C.哈希結(jié)果對于相同輸入總是固定的，但不同的輸入可能哈希值相同D.以上都正確2.在Python中，用于表示網(wǎng)絡(luò)套接字地址的元組格式通常是（）。A.(端口號,主機名)B.(IP地址,端口號)C.(主機名,IP地址)D.(協(xié)議類型,端口號)3.以下哪個HTTP請求方法通常用于獲取資源內(nèi)容？（）A.POSTB.PUTC.DELETED.GET4.以下關(guān)于TCP協(xié)議的說法，錯誤的是（）。A.提供面向連接的服務(wù)B.數(shù)據(jù)傳輸保證可靠C.不保證數(shù)據(jù)傳輸順序D.頭部包含源/目的端口號5.以下哪種攻擊利用網(wǎng)頁表單輸入未經(jīng)過充分過濾，導(dǎo)致在數(shù)據(jù)庫中執(zhí)行惡意SQL語句？（）A.XSS攻擊B.CSRF攻擊C.DNS劫持D.SQL注入攻擊6.在Python中，使用`re.findall(pattern,string)`函數(shù)通常用于（）。A.替換字符串中的匹配項B.檢查字符串是否包含某個模式C.查找字符串中所有匹配給定模式的子串D.編譯正則表達(dá)式模式7.以下哪個庫是Python中最常用的用于發(fā)送HTTP請求的庫？（）A.`socket`B.`ssl`C.`urllib`或`requests`D.`json`8.用于加密和解密數(shù)據(jù)的密鑰在加密和解密過程中都是相同的，這種加密方式稱為（）。A.對稱加密B.非對稱加密C.哈希函數(shù)D.消息認(rèn)證碼9.以下哪個命令通常用于在Linux系統(tǒng)中掃描指定范圍內(nèi)的開放端口？（）A.`nmap`B.`ping`C.`netstat`D.`traceroute`10.HTTPS協(xié)議通過在TCP層與IP層之間加入（）層來實現(xiàn)數(shù)據(jù)加密和身份驗證。A.應(yīng)用層B.傳輸層C.網(wǎng)絡(luò)層D.安全層11.在Python中，`json.dumps()`函數(shù)的作用是（）。A.將Python字典轉(zhuǎn)換為JSON格式的字符串B.將JSON格式的字符串轉(zhuǎn)換為Python字典C.解析JSON文件D.編寫JSON文件12.以下哪個HTTP狀態(tài)碼表示“請求成功”或“資源被創(chuàng)建”？（）A.404NotFoundB.403ForbiddenC.500InternalServerErrorD.201Created13.能夠驗證數(shù)據(jù)在傳輸過程中是否被篡改的機制是（）。A.對稱加密B.數(shù)字簽名C.哈希函數(shù)D.身份認(rèn)證14.以下哪種攻擊利用用戶在多個網(wǎng)站之間復(fù)用相同密碼的漏洞，攻擊者獲取一個網(wǎng)站的用戶名和密碼后，嘗試用于登錄其他網(wǎng)站？（）A.重放攻擊B.中間人攻擊C.跨站腳本攻擊（XSS）D.賬戶接管攻擊15.Python中的`open()`函數(shù)用于打開文件時，如果指定模式為`'r+'`，意味著（）。A.只讀打開文件B.只寫打開文件，如果文件不存在則報錯C.讀寫打開文件，如果文件不存在則創(chuàng)建D.讀寫打開文件，如果文件不存在則報錯二、判斷題（每題1分，共10分）1.Python的`socket`庫可以用來實現(xiàn)基本的網(wǎng)絡(luò)通信，但無法發(fā)送HTTP請求。（）2.HTTPS協(xié)議解決了HTTP協(xié)議的明文傳輸問題，但仍然存在CSRF等安全風(fēng)險。（）3.哈希函數(shù)是不可逆的，因此可以用來安全地存儲密碼。（）4.SQL注入攻擊只能針對使用關(guān)系型數(shù)據(jù)庫的Web應(yīng)用。（）5.正則表達(dá)式是處理文本數(shù)據(jù)的強大工具，可以用于匹配、查找和替換復(fù)雜模式。（）6.GET請求通常用于獲取數(shù)據(jù)，而POST請求通常用于提交數(shù)據(jù)。（）7.`urllib.request`是Python標(biāo)準(zhǔn)庫中用于發(fā)送HTTP請求的一個模塊。（）8.WAF（Web應(yīng)用防火墻）可以完全阻止所有的Web攻擊。（）9.TCP協(xié)議提供可靠的數(shù)據(jù)傳輸，因此網(wǎng)絡(luò)丟包不會影響TCP連接的正常工作。（）10.在Python中，使用`str.replace(old,new)`可以替換字符串中的所有匹配項。（）三、簡答題（每題5分，共20分）1.簡述對稱加密和非對稱加密的主要區(qū)別。2.簡述SQL注入攻擊的基本原理和常見的防御方法。3.簡述TCP三次握手過程及其作用。4.解釋什么是跨站腳本攻擊（XSS），并說明其危害。四、編程題（共40分）1.（10分）編寫一個Python腳本，使用`socket`庫掃描指定IP地址（如``）在指定端口范圍（如1000到1100）內(nèi)的開放端口。對于每個開放的端口，打印出IP地址和端口號。要求使用循環(huán)和異常處理來處理網(wǎng)絡(luò)連接失敗的情況。2.（15分）編寫一個Python腳本，使用`requests`庫向一個指定的URL（例如`/api/data`）發(fā)送GET請求，并分析返回的HTTP響應(yīng)頭。具體要求：*獲取并打印響應(yīng)狀態(tài)碼。*獲取并打印響應(yīng)頭中的`Content-Type`字段。*如果`Content-Type`為`application/json`，則解析響應(yīng)體中的JSON數(shù)據(jù)，并打印出所有鍵值對。假設(shè)返回的JSON數(shù)據(jù)格式大致如下：`{"name":"Alice","age":30,"city":"NewYork"}`。3.（15分）編寫一個Python函數(shù)，該函數(shù)接收一個字符串參數(shù)，并使用正則表達(dá)式檢查該字符串是否為有效的IPv4地址。有效的IPv4地址由四個用點分隔的數(shù)字組成，每個數(shù)字的取值范圍是0到255。例如，``是有效的，而`2`、`192.168.1`、`.1`都是無效的。函數(shù)應(yīng)返回`True`表示有效，返回`False`表示無效?？梢允褂胉re`庫。---試卷答案一、選擇題1.D2.B3.D4.C5.D6.C7.C8.A9.A10.B11.A12.D13.B14.D15.D二、判斷題1.錯2.對3.對4.對5.對6.對7.對8.錯9.錯10.對三、簡答題1.解析：對稱加密使用同一個密鑰進(jìn)行加密和解密，算法公開，重點在于密鑰的保密性。非對稱加密使用一對密鑰，一個公鑰用于加密，一個私鑰用于解密，公鑰可以公開，私鑰必須保密。對稱加密速度通常更快，但密鑰分發(fā)困難；非對稱加密解決了密鑰分發(fā)問題，但計算開銷更大。2.解析：SQL注入攻擊是通過在Web表單輸入或URL參數(shù)中插入惡意SQL代碼片段，使得服務(wù)器執(zhí)行了攻擊者構(gòu)造的非法SQL查詢，從而可以訪問、修改或刪除數(shù)據(jù)庫中的數(shù)據(jù)。防御方法包括：使用參數(shù)化查詢（預(yù)編譯語句）、輸入驗證和過濾、錯誤消息不泄露數(shù)據(jù)庫信息、使用ORM框架、Web應(yīng)用防火墻（WAF）等。3.解析：TCP三次握手是建立TCP連接的過程。首先，客戶端發(fā)送SYN包到服務(wù)器，進(jìn)入SYN_SENT狀態(tài)；服務(wù)器收到后，回復(fù)SYN+ACK包，進(jìn)入SYN_RCVD狀態(tài)；最后，客戶端收到ACK包后，發(fā)送ACK包給服務(wù)器，進(jìn)入ESTABLISHED狀態(tài)，服務(wù)器也進(jìn)入ESTABLISHED狀態(tài)，連接建立成功。三次握手的作用是確?？蛻舳撕头?wù)器雙方都準(zhǔn)備好進(jìn)行數(shù)據(jù)傳輸，并同步初始序列號。4.解析：跨站腳本攻擊（XSS）是指攻擊者將惡意腳本注入到網(wǎng)頁中，當(dāng)其他用戶瀏覽該網(wǎng)頁時，惡意腳本會在用戶的瀏覽器中執(zhí)行。危害包括竊取用戶敏感信息（如Cookie）、會話劫持、篡改網(wǎng)頁內(nèi)容、傳播惡意軟件等。四、編程題1.解析：使用`socket`庫創(chuàng)建客戶端socket，然后遍歷指定的端口范圍，對于每個端口，嘗試建立連接。如果`connect()`調(diào)用成功，說明端口是開放的；如果拋出`socket.error`異常，說明端口是關(guān)閉的。打印開放的IP和端口。```pythonimportsocketip_address=''start_port=1000end_port=1100s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)s.settimeout(1)#設(shè)置超時時間forportinrange(start_port,end_port+1):try:s.connect((ip_address,port))print(f'Port{port}isopenon{ip_address}')exceptsocket.error:pass#端口關(guān)閉或連接超時s.close()```2.解析：使用`requests`庫發(fā)送GET請求。首先導(dǎo)入`requests`模塊，然后使用`requests.get()`方法發(fā)送請求，傳入URL。獲取響應(yīng)對象`r`，使用`r.status_code`獲取狀態(tài)碼，使用`r.headers`字典訪問響應(yīng)頭，如`r.headers['Content-Type']`。如果`Content-Type`是`application/json`，則使用`r.json()`方法解析JSON響應(yīng)體。```pythonimportrequestsurl='/api/data'response=requests.get(url)print('StatusCode:',response.status_code)print('Content-Type:',response.headers.get('Content-Type','N/A'))if'application/json'inresponse.headers.get('Content-Type',''):try:data=response.json()print('JSONData:')forkey,valueindata.items():print(f'{key}:{value}')exceptValueError:print('InvalidJSONresponse')```3.解析：定義一個函數(shù)`is_valid_ipv4(ip_str)`，接收一個字符串參數(shù)`ip_str`。使用`re`庫的正則表達(dá)式來匹配IPv4地址的格式。正則表達(dá)式應(yīng)匹配四個由點分隔的數(shù)字，每個數(shù)字范圍0-255?？梢允褂胉^`和`$`錨點確保整個字符串都符合格式。將數(shù)字部分用`\d+`匹配，范圍用`[0-9]{1,3}`匹配，但需要確?？偤筒怀^255。更簡單的做法是匹配0-9、10-99、100-255的格式。返回匹配成功與否的結(jié)果。```pythonimportredefis_valid_ipv4(ip_str):pattern=r'^((25[0-5]|2[0-4]\d|1\d{2}|[1-9]?\d)\.)