2025年3月1+x網(wǎng)絡(luò)安全評估練習題+答案一、單選題（共30題，每題1分，共30分）1.題目：《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當制定（），及時處置系統(tǒng)漏洞計算機病毒網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)侵入等安全風險。選項A、網(wǎng)絡(luò)安全事件應(yīng)急演練方案選項B、網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案選項C、網(wǎng)站安全規(guī)章制度選項D、網(wǎng)絡(luò)安全事件補救措施正確答案：【B】解析：網(wǎng)絡(luò)運營者應(yīng)當制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風險。這是為了在面對各類網(wǎng)絡(luò)安全威脅時，能夠迅速、有效地采取應(yīng)對措施，降低安全事件對網(wǎng)絡(luò)系統(tǒng)和用戶造成的損失，保障網(wǎng)絡(luò)的安全穩(wěn)定運行。2.題目：以下哪種攻擊不能獲取用戶的會話標識？選項A、憑證預(yù)測選項B、XSS選項C、會話憑證選項D、SQL注入正確答案：【D】3.題目：中國菜刀是一款經(jīng)典的webshell管理工具，其傳參方式是（）。選項A、GET方式選項B、COOKIE方式選項C、POST方式選項D、明文方式正確答案：【C】4.題目：XSS跨站腳本攻擊可以插入什么代碼？選項A、JAVA選項B、ASP選項C、Javascript選項D、PHP正確答案：【C】5.題目：下列哪條是產(chǎn)生文件包含漏洞的原因？選項A、文件來源過濾不嚴并用戶可用選項B、用戶輸入惡意代碼選項C、服務(wù)器漏洞選項D、管理員管理不善正確答案：【A】解析：文件包含漏洞產(chǎn)生的主要原因是文件來源過濾不嚴且用戶可控制。當對包含文件的來源沒有進行嚴格的過濾和驗證，用戶能夠通過輸入等方式控制包含的文件路徑時，就容易引發(fā)文件包含漏洞。選項B管理員管理不善并非直接導(dǎo)致文件包含漏洞的原因；選項C用戶輸入惡意代碼不一定就會產(chǎn)生文件包含漏洞，關(guān)鍵在于文件包含機制本身對輸入的處理；選項D服務(wù)器漏洞表述過于寬泛，文件包含漏洞是特定場景下由于文件來源處理不當導(dǎo)致的，并非單純的服務(wù)器漏洞。6.題目：在windows的命令提示符中，用以查看當前登錄的用戶命令是以下哪一個？選項A、netuser選項B、tasklist選項C、netstart選項D、quser正確答案：【D】7.題目：OSI參考模塊分幾層？選項A、5選項B、7選項C、6選項D、4正確答案：【B】解析：OSI參考模型分為七層，分別是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層。8.題目：B類IP地址，有多少位主機號？選項A、24選項B、31選項C、8選項D、16正確答案：【D】解析：B類IP地址的默認子網(wǎng)掩碼是，前16位是網(wǎng)絡(luò)號，后16位是主機號，所以有16位主機號。9.題目：PC安全不包括下列哪一個？選項A、不隨意安裝來歷不明的軟件選項B、安裝防病毒軟件和防火墻軟件選項C、定期備份重要數(shù)據(jù)選項D、虛擬空間正確答案：【D】解析：PC安全涵蓋多個方面，安裝防病毒軟件和防火墻軟件可抵御病毒和網(wǎng)絡(luò)攻擊；定期備份重要數(shù)據(jù)能防止數(shù)據(jù)丟失；不隨意安裝來歷不明軟件可避免引入惡意程序。而虛擬空間本身并非PC安全的直接范疇，它主要涉及到計算機內(nèi)存、存儲等方面提供的一種虛擬環(huán)境概念，與保障PC安全的直接關(guān)聯(lián)較小。10.題目：Metasploit框架中的Meterpreter后滲透功能經(jīng)常使用哪個函數(shù)來進行進程遷移（）。選項A、getpid函數(shù)選項B、migrate函數(shù)選項C、persistence函數(shù)選項D、sysinfo函數(shù)正確答案：【B】11.題目：盜取Cookie是用做什么？選項A、固定用戶會話選項B、劫持用戶會話選項C、預(yù)測用戶下一步的會話憑證選項D、釣魚正確答案：【B】解析：盜取Cookie主要目的之一是劫持用戶會話。通過獲取用戶的Cookie，攻擊者可以偽裝成該用戶進行操作，從而控制用戶的會話，比如訪問用戶的賬戶、執(zhí)行相關(guān)操作等，這就是劫持用戶會話。而固定用戶會話不需要通過盜取Cookie來實現(xiàn)；釣魚通常重點不在于直接盜取Cookie來進行會話劫持；預(yù)測用戶下一步會話憑證與盜取Cookie的主要用途不符。12.題目：下列哪一個不屬于電信詐騙？選項A、假稱退還養(yǎng)老金、撫恤金選項B、虛構(gòu)退稅選項C、DDOS攻擊選項D、冒充國家相關(guān)工作人員調(diào)查唬人正確答案：【C】解析：DDOS攻擊不屬于電信詐騙，它是一種網(wǎng)絡(luò)攻擊行為，通過大量消耗目標服務(wù)器的資源來使其無法正常提供服務(wù)。而冒充國家相關(guān)工作人員調(diào)查唬人、虛構(gòu)退稅、假稱退還養(yǎng)老金撫恤金等都屬于通過虛假信息騙取他人錢財?shù)碾娦旁p騙手段。13.題目：Windows操作系統(tǒng)中查看ARP緩存表的命令是（）。選項A、arp-a選項B、arp-s選項C、arp-d選項D、arp-n正確答案：【A】14.題目：PHP關(guān)閉顯示所有錯誤提示信息方法選項A、error_reporting(0)選項B、error_reporting(E_NOTICE)選項C、error_reporting(E_ERROR)選項D、error_reporting(E_WARNING)正確答案：【A】解析：要關(guān)閉顯示所有錯誤提示信息，應(yīng)將錯誤報告級別設(shè)置為0，error_reporting(0)會禁用所有錯誤報告，包括E_ERROR、E_WARNING、E_NOTICE等所有級別的錯誤。而error_reporting(E_ERROR)只顯示致命錯誤；error_reporting(E_WARNING)只顯示警告；error_reporting(E_NOTICE)只顯示通知。15.題目：XSS的分類不包含下面哪一個？選項A、儲存型xss選項B、注入型xss選項C、反射型xss選項D、DOM型xss正確答案：【B】解析：XSS主要分為DOM型XSS、儲存型XSS和反射型XSS，并不包含注入型XSS。注入型一般指SQL注入等其他類型的注入攻擊，與XSS的分類不同。16.題目：將MAC地址轉(zhuǎn)換為IP地址的協(xié)議是以下哪種協(xié)議？選項A、ARP選項B、IP選項C、RARP選項D、NTP正確答案：【C】解析：RARP（ReverseAddressResolutionProtocol）即反向地址解析協(xié)議，其作用是將MAC地址轉(zhuǎn)換為IP地址。ARP是將IP地址轉(zhuǎn)換為MAC地址；IP是網(wǎng)絡(luò)層協(xié)議，負責數(shù)據(jù)的傳輸?shù)?；NTP是網(wǎng)絡(luò)時間協(xié)議，用于同步網(wǎng)絡(luò)中的時間。17.題目：ARP協(xié)議封裝格式最后4字節(jié)是以下哪個選項？選項A、目標IP地址選項B、硬件類型選項C、源MAC選項D、協(xié)議類型正確答案：【A】18.題目：在使用Burp的Intruder模塊時，需要注意的是？選項A、字典大小不能超過1M選項B、字典路徑不能含有中文選項C、payload數(shù)量不能超過2個選項D、線程數(shù)量不能超過20正確答案：【B】解析：在使用Burp的Intruder模塊時，字典路徑不能含有中文，否則可能會導(dǎo)致無法正常加載字典等問題。而字典大小沒有嚴格限制為1M；線程數(shù)量和payload數(shù)量也沒有題目中所說的固定限制。19.題目：ARP本地緩存為空時，ARP將采用以下哪種方式發(fā)送包含目標IP的數(shù)據(jù)格式到網(wǎng)絡(luò)中?選項A、單播選項B、廣播選項C、組播選項D、發(fā)送特定地址正確答案：【B】解析：當ARP本地緩存為空時，ARP會采用廣播方式發(fā)送包含目標IP的數(shù)據(jù)格式到網(wǎng)絡(luò)中，以獲取目標IP對應(yīng)的MAC地址。20.題目：Cookie的屬性中，Domain是指什么？選項A、Cookie的值選項B、關(guān)聯(lián)Cookie的域名選項C、過期時間選項D、Cookie的名稱正確答案：【B】解析：Domain屬性用于指定與該Cookie關(guān)聯(lián)的域名。例如，如果設(shè)置Domain為"."，那么在該域名下的所有子域名都可以訪問這個Cookie。過期時間是Expires屬性；Cookie的名稱是Name屬性；Cookie的值是Value屬性。21.題目：AWVS是一款什么用途的滲透測試工具（）。選項A、暴力破解選項B、SQL注入選項C、XSS攻擊選項D、漏洞掃描正確答案：【D】解析：AWVS是一款功能強大的漏洞掃描工具，它可以幫助安全專業(yè)人員和開發(fā)人員快速發(fā)現(xiàn)Web應(yīng)用程序中的各種安全漏洞，如漏洞掃描、SQL注入、XSS攻擊等都可以通過它來檢測，但它的主要用途是漏洞掃描。暴力破解雖然也是一種攻擊手段，但不是AWVS的主要用途。22.題目：TCP/IP模型分幾層？選項A、4選項B、5選項C、7選項D、6正確答案：【A】解析：TCP/IP模型分為四層，分別是網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層，所以答案選A。23.題目：路由工作在OSI哪一層？選項A、鏈路層選項B、傳輸層選項C、網(wǎng)絡(luò)層選項D、物理層正確答案：【C】解析：路由是網(wǎng)絡(luò)層的設(shè)備，主要負責將數(shù)據(jù)包從源主機傳輸?shù)侥繕酥鳈C，它根據(jù)網(wǎng)絡(luò)層的IP地址來進行路徑選擇和轉(zhuǎn)發(fā)。24.題目：Cookie沒有以下哪個作用？選項A、執(zhí)行代碼選項B、儲存信息選項C、維持用戶會話正確答案：【A】解析：Cookie的主要作用包括維持用戶會話，比如在網(wǎng)站中記錄用戶的登錄狀態(tài)等；儲存信息，像用戶的偏好設(shè)置等。但它本身并不具備執(zhí)行代碼的功能。25.題目：如果使用$_SESSION，則需要有什么注意問題？？？選項A、頁面編碼必須是UTF-8選項B、首先使用session_start()選項C、首先使用session_destory()選項D、保證頁面不能任何輸出正確答案：【B】26.題目：alert()函數(shù)是用來干什么的？選項A、彈窗選項B、打開新頁面選項C、重新打開頁面選項D、關(guān)閉當前頁面正確答案：【A】解析：alert()函數(shù)用于創(chuàng)建一個彈出框，向用戶顯示指定的消息，起到彈窗提示的作用。而打開新頁面通常使用window.open()函數(shù)；關(guān)閉當前頁面一般使用window.close()函數(shù)；重新打開頁面并沒有一個特定的、普遍使用的函數(shù)是專門做這個的，且在常見瀏覽器操作中也不是一個常規(guī)操作指令。27.題目：#iptables–AINPUT–mu32--u32‘6&FF=0x11’–jDROP的作用是：（）。選項A、在輸入鏈,IP包中的協(xié)議字段為11則丟棄選項B、在轉(zhuǎn)發(fā)鏈,IP包中的協(xié)議字段為11則丟棄選項C、在輸入鏈,IP包中的協(xié)議字段為17則丟棄選項D、在轉(zhuǎn)發(fā)鏈,IP包中的協(xié)議字段為17則丟棄正確答案：【C】解析：該規(guī)則使用iptables的-AINPUT選項，表示在INPUT鏈（即輸入鏈）上添加規(guī)則。通過-mu32模塊使用u32匹配擴展，--u32‘6&FF=0x11’表示對數(shù)據(jù)包的某些字節(jié)進行特定的匹配，這里匹配的是協(xié)議字段（通常協(xié)議字段在數(shù)據(jù)包頭部的特定偏移位置，6&FF表示取協(xié)議字段的值并與0xFF進行與運算），當協(xié)議字段的值為0x11時（協(xié)議字段值0x11通常對應(yīng)UDP協(xié)議，UDP協(xié)議號為17），執(zhí)行-jDROP動作，即丟棄該數(shù)據(jù)包。所以是在輸入鏈，IP包中的協(xié)議字段為17則丟棄。28.題目：OSI第四層是哪一層（應(yīng)用層為第7層）？選項A、鏈路層選項B、網(wǎng)絡(luò)層選項C、物理層選項D、傳輸層正確答案：【D】解析：OSI模型的第四層是傳輸層。物理層是第一層，鏈路層是第二層，網(wǎng)絡(luò)層是第三層，傳輸層是第四層，會話層是第五層，表示層是第六層，應(yīng)用層是第七層。29.題目：郵件攻擊類型不包括下列哪一個？選項A、仿冒企業(yè)郵件選項B、勒索病毒選項C、商業(yè)郵件詐騙選項D、水坑攻擊正確答案：【D】30.題目：PHP語言中==和===區(qū)別選項A、==只會判斷類型，===只會判斷值選項B、==只會進行判斷值，===只會判斷類型選項C、==只會判斷值，===會判斷值和類型選項D、==會判斷值和類型，===只會判斷類型正確答案：【C】解析：在PHP語言中，==運算符只比較值是否相等，會進行類型轉(zhuǎn)換；而===運算符不僅比較值，還會比較類型是否相同，不會進行類型轉(zhuǎn)換。所以==只會判斷值，===會判斷值和類型。二、判斷題（共10題，每題1分，共10分）1.題目：防病毒軟件主要是用來檢測和抵御可通過各種渠道進行傳播、擴散的計算機病毒。選項A、正確選項B、錯誤正確答案：【A】2.題目：網(wǎng)絡(luò)運營者不得泄露篡改毀損其收集的個人信息選項A、正確選項B、錯誤正確答案：【A】3.題目：Nmap是一款開放源代碼的網(wǎng)絡(luò)探測和安全審核的工具，它的設(shè)計目標是快速地掃描大型網(wǎng)絡(luò)，不能用它掃描單個主機。選項A、正確選項B、錯誤正確答案：【B】4.題目：國家規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運營者必須參與關(guān)鍵信息基礎(chǔ)設(shè)施保護體系選項A、正確選項B、錯誤正確答案：【B】5.題目：在非對稱密鑰密碼體制中，發(fā)信方與收信方使用不同的密鑰選項A、正確選項B、錯誤正確答案：【A】6.題目：關(guān)鍵信息基礎(chǔ)設(shè)施的運營者可自行采購網(wǎng)絡(luò)產(chǎn)品和