2025年網(wǎng)絡(luò)安全工程師資格考試試題及答案1.（單選）2024年12月，某大型電商在“雙十二”凌晨出現(xiàn)大規(guī)模用戶無法登錄的情況。經(jīng)排查，攻擊者利用該平臺“忘記密碼”接口的短信驗證碼功能，通過短時間內(nèi)請求海量手機號，導(dǎo)致短信網(wǎng)關(guān)擁堵，正常用戶短信被延遲。該攻擊手法在OWASP分類中最貼近哪一項？A.注入B.失效的訪問控制C.資源消耗與拒絕服務(wù)D.安全配置錯誤答案：C2.（單選）某企業(yè)采用零信任架構(gòu)，所有終端需通過SDP（SoftwareDefinedPerimeter）控制器認證后方可訪問業(yè)務(wù)。以下哪項最能體現(xiàn)SDP相對傳統(tǒng)VPN的核心優(yōu)勢？A.降低TLS握手延遲B.默認“先連接后認證”C.單包授權(quán)（SPA）隱藏控制平面D.支持GRE隧道封裝答案：C3.（單選）在Linux內(nèi)核5.15中，為緩解“DirtyCred”漏洞，開發(fā)者對內(nèi)核憑證結(jié)構(gòu)引入了哪種新緩解機制？A.內(nèi)核地址空間隔離（KASI）B.憑證原子交換（credential_atomic_swap）C.控制流完整性（CFI）D.堆棧金絲雀（StackCanary）答案：B4.（單選）某單位使用國密SM2證書部署HTTPS站點，瀏覽器提示“證書鏈不完整”。在Nginx1.25中，下列哪條指令可正確配置SM2根證書鏈？A.ssl_trusted_certificate/etc/ssl/sm2chain.pem;B.ssl_certificate/etc/ssl/sm2leaf.pem;C.ssl_verify_clienton;D.ssl_staplingon;答案：A5.（單選）2025年3月，IETF發(fā)布RFC9500，定義了“IPv6+”段路由頭（SRv6）的加密完整性擴展。該擴展使用哪種算法對SRH進行完整性保護？A.HMACSHA256B.GMACAES128C.HMACSM3D.Poly1305答案：B6.（單選）Windows1124H2引入“內(nèi)核直接內(nèi)存訪問保護”（KDMA），其技術(shù)原理是：A.禁用所有第三方驅(qū)動B.將內(nèi)核頁表標(biāo)記為加密，由VTd進行重映射C.啟用HVCI并強制驅(qū)動WHQL簽名D.使用VBSEnclave隔離用戶態(tài)答案：B7.（單選）某金融APP在客戶端使用Flutter框架，逆向人員發(fā)現(xiàn)其so文件使用libapp.so混淆。下列哪項技術(shù)可在不root條件下最有效地還原類名？A.FridahookJNI_OnLoadB.使用Dextra提取AOT快照C.靜態(tài)掃描ELF符號表D.內(nèi)存dump后Binwalk提取答案：B8.（單選）在Kubernetes1.30中，以下哪條OPAGatekeeper模板可限制Pod必須打上“costcenter”標(biāo)簽，否則拒絕創(chuàng)建？A.k8srequiredlabelsB.k8sprohibitrootC.k8suniqueingresshostD.k8srequiredannotations答案：A9.（單選）2025年4月，GitHub曝出“倉庫劫持”新型攻擊：攻擊者利用賬號改名時間差搶注舊倉庫名，從而誘導(dǎo)依賴該倉庫的CI拉取惡意代碼。該攻擊與下列哪項供應(yīng)鏈威脅子類最吻合？A.TyposquattingB.RepoJackingC.DependencyConfusionD.MITMofGitClone答案：B10.（單選）某單位使用SonarQube10.4進行SAST，掃描報告提示“S5131:ServerSideRequestForgery”。下列哪段Java代碼片段最可能觸發(fā)該規(guī)則？A.newURL(request.getParameter("url")).openConnection();B.Runtime.getRuntime().exec(request.getParameter("cmd"));C.response.sendRedirect(request.getParameter("redirect"));D.Stringq="SELECTFROMuserWHEREid="+id;答案：A11.（單選）在TLS1.3中，若客戶端希望后續(xù)使用ECH（EncryptedClientHello），其ClientHello擴展中“encrypted_client_hello”類型值應(yīng)為：A.0x001cB.0xfe0dC.0x754fD.0x001b答案：B12.（單選）某企業(yè)部署了基于eBPF的HIDS，發(fā)現(xiàn)攻擊者利用“StackRot”（CVE202332629）進行容器逃逸。eBPF探針最能檢測到以下哪一特征？A.用戶態(tài)進程調(diào)用setns()進入宿主機mnt命名空間B.內(nèi)核棧溢出覆蓋returnaddressC.進程打開/sys/fs/cgroup/release_agentD.調(diào)用ptracePTRACE_ATTACH答案：B13.（單選）在AzureAD中，配置“ConditionalAccess”策略時，若要求“僅允許來自合規(guī)設(shè)備且風(fēng)險等級為低”的登錄，需調(diào)用哪個API獲取實時風(fēng)險評分？A.MicrosoftGraph/identityProtection/riskDetectionsB.AzureADGraph/usersC.ARM/providers/Microsoft.SecurityD.AADGraph/riskyUsers答案：A14.（單選）某芯片廠商在RISCV核引入“物理內(nèi)存保護”（PMP）增強，以下哪項配置可在M模式下阻止S模式代碼寫入某段DRAM？A.設(shè)置pmpaddr0匹配區(qū)域，pmpcfg0.L=1，pmpcfg0.W=0B.設(shè)置pmpaddr0匹配區(qū)域，pmpcfg0.L=0，pmpcfg0.W=1C.設(shè)置mseccfg.MML=1，使用規(guī)則鎖定D.關(guān)閉所有中斷答案：A15.（單選）2025年5月，某APT組織被披露使用“PDF+HTA”雙擴展名繞過Microsoft365默認攔截策略。管理員在M365中配置哪條反惡意軟件策略可最有效攔截？A.啟用“高級釣魚閾值”B.附件過濾器：.pdf.C.啟用“零小時自動清除”（ZAP）D.啟用“安全附件動態(tài)投遞”答案：B16.（單選）在Python3.12中，下列哪段代碼可安全執(zhí)行用戶輸入的數(shù)學(xué)表達式，避免RCE？A.eval(expr,{"__builtins__":None})B.ast.literal_eval(expr)C.exec(expr)D.eval(expr,{},{})答案：B17.（單選）某企業(yè)使用Istio1.21，想對出站流量實施“egressallowlist”，應(yīng)優(yōu)先使用：A.ServiceEntry+AuthorizationPolicyB.Sidecar資源C.EnvoyFilterD.PeerAuthentication答案：A18.（單選）在AWSKMS中，創(chuàng)建“非對稱RSA4096”密鑰對，默認加密模式為：A.RSA_ECB_OAEP_SHA256B.RSA_ECB_PKCS1C.RSA_ECB_OAEP_SHA1D.RSA_ECB_OAEP_SHA512答案：A19.（單選）2025年6月，SQLite3.46修復(fù)的“Magellan2”漏洞屬于：A.整數(shù)溢出導(dǎo)致堆溢出B.FTS5虛擬表越界寫C.校驗和繞過D.臨時表競爭條件答案：B20.（單選）在Wireshark4.2中，顯示過濾器可用來檢測“DNSoverHTTPS（DoH）”流量，下列表達式正確的是：A.tls.app_dataanddnsB.http2andtcp.port==443andhttp2.headers.pathcontains"dnsquery"C.tcp.port==853D.udp.port==443答案：B21.（多選）以下哪些措施可有效降低“AI模型竊取”風(fēng)險？A.在模型API輸出中加入不可察覺的對抗擾動B.對同一用戶IP實施速率限制C.使用模型水印技術(shù)D.將模型部署在TEE（可信執(zhí)行環(huán)境）E.公開模型全部權(quán)重以提升透明度答案：A,B,C,D22.（多選）關(guān)于“PostQuantumTLS”草案（TLS1.3PQC擴展），下列算法組合已被納入NISTRound4優(yōu)先推薦的有：A.Kyber1024B.Dilithium5C.Falcon1024D.NTRUPrimeE.RSA3072答案：A,B,C23.（多選）在macOS14中，下列哪些技術(shù)屬于“LockdownMode”會默認限制？A.禁止JIT編譯在Safari外的PWAB.禁用FaceTime來電的H.264硬件加速C.禁止所有內(nèi)核擴展（kext）加載D.禁用HomeKit配件自動配對E.禁用Message中鏈接預(yù)覽答案：A,B,D,E24.（多選）某企業(yè)使用ApacheKafka3.7，需對topic“payment”實施端到端加密，以下哪些組件必須改造？A.Producer端應(yīng)用B.Broker端日志段文件C.Consumer端應(yīng)用D.ZooKeeperE.SchemaRegistry答案：A,C25.（多選）在Android15中，下列哪些API變動可緩解“StrandHogg2.0”任務(wù)劫持攻擊？A.限制后臺Activity啟動需用戶可見B.棄用startActivityForResultC.引入PendingIntent.FLAG_IMMUTABLED.強制使用BiometricPromptE.禁止自定義toast答案：A,C26.（多選）關(guān)于“Gartner2025七大安全趨勢”，下列哪些被明確列入？A.生成式AI紅隊即服務(wù)B.零信任邊緣（ZTE）C.網(wǎng)絡(luò)網(wǎng)格（CybersecurityMesh）D.量子密鑰分發(fā)（QKD）規(guī)模商用E.安全行為與文化工程（SBCE）答案：A,B,C,E27.（多選）在CISBenchmarkforWindowsServer2025中，下列哪些賬戶配置被判為“Level1”基線？A.重命名Administrator賬戶B.設(shè)置Guest賬戶已禁用C.密碼最長使用期限60天D.賬戶鎖定閾值5次E.啟用LSA保護答案：A,B,D28.（多選）下列哪些HTTP響應(yīng)頭可協(xié)同防御“XSLeaks”側(cè)信道攻擊？A.CrossOriginOpenerPolicy:sameoriginB.CrossOriginResourcePolicy:samesiteC.XContentTypeOptions:nosniffD.TimingAllowOrigin:E.ClearSiteData:"cache"答案：A,B,C29.（多選）在Prometheus+Grafana監(jiān)控Kubernetes時，下列哪些指標(biāo)可直接反映“容器逃逸”風(fēng)險？A.container_security_context_privilegedB.rate(container_scrape_failures_total[5m])C.kube_pod_container_resource_limitsD.process_open_fdsE.kubelet_runtime_operations_errors答案：A,E30.（多選）某企業(yè)采用DevSecOps，欲在GitLabCI中集成“基礎(chǔ)設(shè)施即代碼”掃描，下列哪些工具可檢測Terraform模板中的不安全參數(shù)？A.tfsecB.CheckovC.TerrascanD.kubescoreE.Prowler答案：A,B,C31.（判斷）在iOS18中，若App使用UIDevice.identifierForVendor獲取設(shè)備ID，用戶卸載后24小時內(nèi)重裝，該ID將保持不變。答案：正確32.（判斷）根據(jù)ISO/IEC27001:2025修訂草案，遠程審計比例不得超過總審計人天的60%。答案：錯誤（草案允許最多80%）33.（判斷）在OpenSSL3.3中，默認提供FIPSprovider，但需手動執(zhí)行fipsinstall才能激活。答案：正確34.（判斷）“BGPsec”協(xié)議通過BGPUPDATE路徑簽名可完全消除路由泄露，因此不再需要RPKI。答案：錯誤35.（判斷）在SQLServer2025中，啟用“AlwaysEncryptedwithenclaves”后，DBA無法通過列主密鑰查看明文。答案：正確36.（判斷）使用ChaCha20Poly1305比AESGCM在ARMv9處理器上能耗更高。答案：錯誤37.（判斷）在Linux中，若啟用lockdown=confidentiality，則即使root也無法讀取/proc/kcore。答案：正確38.（判斷）“JSONWebTokenBestCurrentPractice（RFC8725）”建議將JWT放入URL參數(shù)而非Header，可減少CSRF風(fēng)險。答案：錯誤39.（判斷）在Windows11中，啟用VBS后，傳統(tǒng)MBR病毒無法啟動，因為UEFI強制SecureBoot。答案：正確40.（判斷）“HTTP/3”基于QUIC，天然具備“零往返”前向保密，因此無需再配置TLS會話票據(jù)。答案：錯誤41.（填空）在Kubernetes1.30中，PodSecurityPolicy已被廢棄，替代策略名稱是________。答案：PodSecurityStandards（或PodSecurityAdmission）42.（填空）2025年1月，NIST發(fā)布《后量子密碼過渡路線圖》，建議優(yōu)先替換的第一類算法是________。答案：RSA43.（填空）在Wireshark中，過濾“TLS1.3握手完成”數(shù)據(jù)包，顯示過濾器字段為________。答案：tls.handshake.type==2044.（填空）我國《個人信息出境標(biāo)準(zhǔn)合同辦法》要求，處理超過________萬人個人信息需向省級以上網(wǎng)信部門備案。答案：10045.（填空）在OpenSSH9.5中，默認禁用________算法，以防范Terrapin攻擊。答案：CBC46.（填空）在Android15，針對“后臺啟動前臺服務(wù)”需申請的新權(quán)限是________。答案：FOREGROUND_SERVICE_SPECIAL_USE47.（填空）在AWSS3，開啟________功能可自動掃描新上傳對象是否含敏感數(shù)據(jù)并觸發(fā)Lambda脫敏。答案：Macie48.（填空）在C語言中，GCC14新增的硬化選項________可在編譯期插入自動邊界檢查。答案：fhardened49.（填空）2025年，IETF將“DNSoverHTTP/3”正式命名為________，縮寫DoH3。答案：DNSoverHTTP/350.（填空）在macOS14，系統(tǒng)完整性保護（SIP）配置文件位于________目錄。答案：/System/Library/Sandbox/51.（簡答）描述“AI供應(yīng)鏈投毒”在機器學(xué)習(xí)模型訓(xùn)練階段的一種具體實施路徑，并給出三條檢測建議。答案：攻擊者將惡意樣本上傳至公開數(shù)據(jù)集（如HuggingFace），樣本觸發(fā)模型在微調(diào)階段插入后門（如BadNets）。檢測建議：1.對數(shù)據(jù)集進行加密簽名與來源驗證；2.采用“一致性矩陣”檢測異常激活；3.在CI階段引入MLOps安全掃描工具（如ReViz）。52.（簡答）說明“BringYourOwnKey(BYOK)”與“HoldYourOwnKey(HYOK)”在云服務(wù)中的差異，并指出HYOK的兩大挑戰(zhàn)。答案：BYOK指用戶生成密鑰并上傳云KMS，云服務(wù)商可訪問；HYOK指密鑰始終保存在用戶HSM，云無法訪問。挑戰(zhàn)：1.性能開銷大，每次加密需回調(diào)用戶HSM；2.可用性依賴用戶側(cè)基礎(chǔ)設(shè)施，故障面擴大。53.（簡答）概述“RISCV指針認證（PAuth）”機制如何緩解ROP攻擊，并給出一條匯編示例。答案：PAuth使用QARMA算法對返回地址生成MAC，存儲于x30；函數(shù)返回前驗證MAC，失敗則觸發(fā)異常。示例：`paciax30,x1`;//x1為密鑰`retaa`;//驗證并返回54.（簡答）解釋“零知識證明”在隱私身份（ZKPIdentity）中的workflow，并指出zkSNARK與zkSTARK在可信設(shè)置上的區(qū)別。答案：用戶本地生成證明，證明自己擁有某屬性（如年齡>18）而不泄露生日；驗證鏈上合約驗證proof。zkSNARK需一次可信設(shè)置，參數(shù)泄露可偽造證明；zkSTARK無需可信設(shè)置，依賴哈希與Merkle，抗量子但證明體積大。55.（簡答）列舉“5G核心網(wǎng)SBA架構(gòu)”中可被利用的三種API濫用場景，并給出緩解方案。答案：1.NfDiscovery接口未授權(quán)暴露，可被枚舉服務(wù)；采用OAuth2.0+MTLS。2.Nudm_UECM更新UE上下文，偽造注冊；使用序列號令牌+MAC。3.Npcf_PolicyAuthorization動態(tài)策略修改；引入NEF速率限制與異常檢測。56.（綜合）某跨國公司在全球五處數(shù)據(jù)中心部署Kubernetes集群，需實現(xiàn)：a)零信任網(wǎng)絡(luò)，所有Pod雙向mTLS；b)跨集群服務(wù)發(fā)現(xiàn)；c)密鑰輪換<5分鐘；d)滿足GDPR數(shù)據(jù)不出境。請給出架構(gòu)圖文字描述、組件清單、密鑰生命周期流程，并評估風(fēng)險。答案：架構(gòu)：每集群部署Istio+SPIRE（SPIFFE實現(xiàn)），通過IngressGateway暴露mTLS；使用KubeFedv2做跨集群聯(lián)邦，服務(wù)發(fā)現(xiàn)由CoreDNS+HeadlessService導(dǎo)出；密鑰由SPIREServer通過NodeAttestation簽發(fā)，TTL3分鐘，自動輪換；數(shù)據(jù)分層：歐盟區(qū)獨立etcd加密，使用KMSenvelopeencryption，密鑰留在當(dāng)?shù)豀SM。組件：SPIRE1.8、Istio1.21、KubeFedv2、HashiCorpVaultEnterprisewithHSM、CiliumCNI1.15、OPAGatekeeper3.15。密鑰生命周期：Pod啟動→SPIREAgent通過TPMAttestation→獲取SVID（X.509短證）→每2分鐘通過UDS調(diào)用SPIFFEWorkloadAPI續(xù)期→過期自動吊銷。風(fēng)險：1.SPIREServer單點故障，需跨區(qū)三節(jié)點Raft；2.證書鏈過長導(dǎo)致Envoy內(nèi)存上漲，需調(diào)優(yōu)；3.跨境聯(lián)邦控制面延遲，需異步最終一致；4.GDPR合規(guī)需定期做DPIA與SchremsII評估。57.（綜合）給出一種“抗量子區(qū)塊鏈”方案，解決現(xiàn)有ECDSA地址易被量子破解的問題，詳述密鑰遷移、共識影響、性能測試數(shù)據(jù)。答案：方案：采用Falcon512替代Secp256k1，地址格式為Bech32m編碼的PQPKH（PublicKeyHash96字節(jié)）。遷移：快照高度H，用戶提交Falcon公鑰，鏈上合約鎖定舊地址，生成新地址映射；未遷移資金進入多簽托管，6個月內(nèi)提供零知識證明所有權(quán)即可贖回。共識：將區(qū)塊簽名改為Falcon簽名，大小1.2kB，帶寬增加35%；使用聚合簽名（FalconAggregate）將200筆交易聚為80kB，驗證時間降至3ms/筆。性能：在100節(jié)點、1Gbps、Amazonc7g.large測試，TPS由1200降至980，延遲由0.9s升至1.2s，CPU增加18%，可接受。58.（綜合）設(shè)計“云原生WAF即代碼”流水線，要求：1.Terraform定義WAF規(guī)則；2.每條PR自動跑OWASPCRS4.0測試；3.違規(guī)分數(shù)>5即阻斷合并；4.生產(chǎn)灰度按Header1%放量。給出Terraform片段、GitHubActionsYAML、測試報告樣例。答案：Terraform片段：```hclresource"aws_wafv2_web_acl""main"{name="prodwaf"scope="REGIONAL"default_action{allow{}}rule{name="CRSRule"priority=1override_action{none{}}statement{managed_rule_group_statement{name="AWSManagedRulesCommonRuleSet"vendor_name="AWS"}}visibility_config{sampled_requests_enabled=truecloudwatch_metrics_enabled=truemetric_name="CRSMetric"}}}```GitHubActions：```yamlname:wafteston:pull_requestjobs:test:runson:ubuntulateststeps:uses:actions/checkout@v4name:StartlocalWAFenvoyrun:dockerrundnam