計(jì)算機(jī)網(wǎng)絡(luò)安全員培訓(xùn)考試題庫(kù)及答案單選題1.在WindowsServer2022中，若要強(qiáng)制所有管理員賬戶使用智能卡登錄，應(yīng)優(yōu)先修改下列哪一條組策略？A.計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限分配→允許本地登錄B.計(jì)算機(jī)配置→管理模板→Windows組件→智能卡→啟用智能卡中的證書必需用于登錄C.計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→賬戶策略→密碼策略→最短密碼長(zhǎng)度D.計(jì)算機(jī)配置→管理模板→系統(tǒng)→憑據(jù)分配→不允許保存密碼和憑據(jù)答案：B2.某企業(yè)采用零信任架構(gòu)，身份控制平面最合理的部署順序是：A.先部署微分段，再部署身份目錄，最后部署SDP控制器B.先部署身份目錄，再部署SDP控制器，最后落地微分段C.先部署SDP控制器，再部署微分段，最后對(duì)接身份目錄D.三者并行上線，無(wú)需先后順序答案：B3.關(guān)于TLS1.3的0-RTT機(jī)制，下列說(shuō)法正確的是：A.0-RTT數(shù)據(jù)具備前向保密性，重放攻擊無(wú)法生效B.0-RTT數(shù)據(jù)默認(rèn)被加密，但抗重放需要服務(wù)器額外開啟nonce校驗(yàn)C.0-RTT數(shù)據(jù)不加密，僅做完整性校驗(yàn)D.0-RTT僅用于握手階段，不能傳輸應(yīng)用數(shù)據(jù)答案：B4.在Linux系統(tǒng)中，若要對(duì)某可執(zhí)行文件啟用地址空間布局隨機(jī)化（ASLR），下列命令正確的是：A.echo0>/proc/sys/kernel/randomize_va_spaceB.echo2>/proc/sys/kernel/randomize_va_spaceC.setcapcap_sys_ptrace=eip./a.outD.sysctl-wvm.mmap_min_addr=65536答案：B5.某單位收到一封郵件，頭部Received字段出現(xiàn)“from([00]:54321)by”，而SPF記錄為“v=spf1ip4:/24-all”，則該郵件：A.通過(guò)SPF校驗(yàn)B.SPF校驗(yàn)失敗C.SPF記錄語(yǔ)法錯(cuò)誤D.需要看DKIM結(jié)果才能判斷答案：B6.在容器環(huán)境中，最能有效阻止容器逃逸的內(nèi)核安全機(jī)制是：A.seccompB.AppArmorC.SELinuxD.capabilities答案：C7.使用Nmap掃描時(shí)，參數(shù)“-sS-T2”分別代表：A.TCPSYN掃描、偏執(zhí)時(shí)間模板B.TCPConnect掃描、侵略時(shí)間模板C.UDP掃描、正常時(shí)間模板D.SCTP掃描、隱蔽時(shí)間模板答案：A8.某Web應(yīng)用使用JWT作為會(huì)話令牌，簽名算法為HS256，密鑰硬編碼在客戶端JavaScript中，則攻擊者可直接實(shí)施：A.跨站腳本B.密鑰泄露導(dǎo)致任意偽造令牌C.SQL注入D.服務(wù)端請(qǐng)求偽造答案：B9.在IPv6網(wǎng)絡(luò)中，用于替代ARP的協(xié)議是：A.NDPB.DHCPv6C.ICMPv6D.MLD答案：A10.當(dāng)防火墻規(guī)則出現(xiàn)“established”關(guān)鍵詞時(shí)，通常匹配TCP標(biāo)志位中的：A.SYNB.FINC.RSTD.ACK答案：D11.關(guān)于勒索軟件防御，下列措施最先失效的是：A.離線備份B.網(wǎng)絡(luò)微分段C.主機(jī)EDRD.員工釣魚演練答案：D12.在PKI體系中，OCSPStapling主要解決：A.根證書更新延遲B.客戶端隱私泄露與OCSP服務(wù)器負(fù)載C.證書鏈過(guò)長(zhǎng)D.私鑰泄露答案：B13.使用Wireshark過(guò)濾顯示所有HTTP/2流量，正確的過(guò)濾器是：A.tcp.port==80B.http2C.sslD.tcp.flags.syn==1答案：B14.在Windows日志中，事件ID4625表示：A.賬戶登錄成功B.賬戶登錄失敗C.賬戶被鎖定D.特權(quán)提升答案：B15.若某網(wǎng)站啟用HSTS，且預(yù)加載列表包含該域名，則瀏覽器：A.首次HTTP訪問(wèn)自動(dòng)跳轉(zhuǎn)HTTPSB.首次即可強(qiáng)制HTTPS，無(wú)需初始跳轉(zhuǎn)C.忽略證書錯(cuò)誤繼續(xù)加載D.關(guān)閉混合內(nèi)容檢測(cè)答案：B16.關(guān)于服務(wù)器端請(qǐng)求偽造（SSRF），下列哪一項(xiàng)修復(fù)最有效？A.禁用curlB.對(duì)URL進(jìn)行白名單校驗(yàn)并禁用私有IP段C.使用HTTPSD.增加WAF規(guī)則攔截select關(guān)鍵字答案：B17.在SQL注入聯(lián)合查詢中，使用“NULL”占位的主要原因是：A.繞過(guò)單引號(hào)過(guò)濾B.匹配數(shù)據(jù)類型C.加快查詢速度D.避免觸發(fā)WAF答案：B18.以下哪條Linux命令可以查看當(dāng)前系統(tǒng)加載的惡意內(nèi)核模塊？A.lsmod|grep-v^ModuleB.dmesg|tailC.lsofD.netstat-tulnp答案：A19.在AzureAD中，條件訪問(wèn)策略支持的最細(xì)粒度控制對(duì)象是：A.用戶B.應(yīng)用程序C.單個(gè)API操作D.設(shè)備答案：C20.當(dāng)發(fā)現(xiàn)Git倉(cāng)庫(kù)被植入惡意子模塊時(shí)，第一時(shí)間應(yīng)：A.刪除倉(cāng)庫(kù)B.回滾commit并強(qiáng)制推送，同時(shí)輪換所有憑據(jù)C.通知開發(fā)者在本地執(zhí)行g(shù)itcleanD.運(yùn)行殺毒軟件答案：B多選題21.以下哪些屬于對(duì)稱加密算法？A.SM4B.ChaCha20C.ECDSAD.AES-256-GCM答案：ABD22.關(guān)于Dockerfile安全，正確的做法包括：A.使用官方基礎(chǔ)鏡像B.移除setuid程序C.將敏感配置寫入鏡像層D.使用多階段構(gòu)建減少攻擊面答案：ABD23.以下哪些HTTP頭可緩解點(diǎn)擊劫持？A.X-Frame-OptionsB.Content-Security-PolicyC.Strict-Transport-SecurityD.X-Content-Type-Options答案：AB24.在移動(dòng)應(yīng)用安全測(cè)試中，發(fā)現(xiàn)下列哪些現(xiàn)象可判定為證書鎖定繞過(guò)成功？A.使用Frida腳本攔截SSL驗(yàn)證函數(shù)并返回0B.在代理工具中看到明文HTTPS流量C.應(yīng)用崩潰D.服務(wù)器收到非預(yù)期User-Agent答案：AB25.以下哪些屬于OSI第七層DDoS攻擊？A.HTTP慢速攻擊B.DNS放大C.SQL重查詢D.API業(yè)務(wù)邏輯濫用答案：ACD26.關(guān)于日志審計(jì)，下列做法符合等保2.0要求：A.留存不少于6個(gè)月B.時(shí)間同步到NTPC.僅記錄成功事件D.使用哈希校驗(yàn)防止篡改答案：ABD27.以下哪些技術(shù)可實(shí)現(xiàn)軟件供應(yīng)鏈安全？A.SBOMB.SigstoreC.RASPD.代碼簽名答案：ABD28.在Kubernetes中，可限制容器CPU用量的資源對(duì)象包括：A.LimitRangeB.ResourceQuotaC.DeploymentD.HorizontalPodAutoscaler答案：AB29.以下哪些端口常被用于反向shell？A.443B.53C.80D.22答案：ABC30.關(guān)于社會(huì)工程學(xué)防御，有效手段有：A.雙人授權(quán)B.紅藍(lán)對(duì)抗演練C.公開員工通訊錄D.員工匿名舉報(bào)通道答案：ABD判斷題31.SHA-256屬于可逆加密算法。答案：錯(cuò)誤32.在Linux中，文件權(quán)限為“-rwsr-xr-x”時(shí)，表示設(shè)置了setuid位。答案：正確33.使用HTTPS就能完全避免中間人攻擊。答案：錯(cuò)誤34.零信任網(wǎng)絡(luò)意味著不再需要防火墻。答案：錯(cuò)誤35.同一私鑰對(duì)應(yīng)的公鑰可以公開給任何人。答案：正確36.在Wi-Fi6中，WPA3-Personal模式下不再使用四次握手。答案：錯(cuò)誤37.內(nèi)存馬檢測(cè)需要依賴內(nèi)核態(tài)監(jiān)控。答案：正確38.所有勒索軟件都會(huì)修改文件擴(kuò)展名。答案：錯(cuò)誤39.在Python中使用os.system()比subprocess更安全。答案：錯(cuò)誤40.云原生應(yīng)用不需要關(guān)心主機(jī)操作系統(tǒng)補(bǔ)丁。答案：錯(cuò)誤填空題41.在Linux系統(tǒng)中，用于查看當(dāng)前TCP監(jiān)聽端口的命令是________。答案：ss-lnt42.常見(jiàn)的WebShell連接工具“中國(guó)菜刀”默認(rèn)User-Agent包含關(guān)鍵字________。答案：chopper43.在SQL注入中，使用________函數(shù)可以延遲盲注判斷。答案：sleep44.用于檢測(cè)內(nèi)存泄露的Valgrind工具中，默認(rèn)工具包名稱是________。答案：memcheck45.在Windows中，用于列出所有SID與賬戶對(duì)應(yīng)關(guān)系的命令是________。答案：wmicuseraccountgetname,sid46.在IPv6中，本地鏈路前綴以________開頭。答案：fe8047.用于校驗(yàn)文件完整性的常見(jiàn)哈希算法輸出長(zhǎng)度為256位的是________。答案：SHA-25648.在Kubernetes中，NetworkPolicy依賴________組件實(shí)現(xiàn)策略下發(fā)。答案：CNI插件49.在OWASPTop102021中，________類別指“安全日志與監(jiān)控失敗”。答案：A0950.在Metasploit中，用于生成Python格式Payload的命令參數(shù)是________。答案：--formatpython簡(jiǎn)答題51.描述TLS1.3握手與TLS1.2的主要區(qū)別，并說(shuō)明為何1.3能減少延遲。答案：TLS1.3將握手壓縮為一次往返，移除RSA密鑰交換，僅支持ECDHE等前向保密算法，初始握手僅需ClientHello與ServerHello完成密鑰協(xié)商；同時(shí)加密早期數(shù)據(jù)，減少證書驗(yàn)證往返。1.2需兩次往返，且存在多個(gè)可選擴(kuò)展與密碼套件協(xié)商，增加RTT。通過(guò)1-RTT甚至0-RTT，1.3顯著降低延遲。52.說(shuō)明在Linux服務(wù)器上如何利用eBPF檢測(cè)無(wú)文件攻擊。答案：編寫eBPF程序掛鉤sys_execve、sys_memfd_create等系統(tǒng)調(diào)用，記錄進(jìn)程PID、命令行、內(nèi)存文件描述符；對(duì)memfd_create返回的fd執(zhí)行write操作時(shí)，檢查寫入內(nèi)容是否包含ELF頭或可疑shellcode；若命中則通過(guò)perfevent回傳用戶態(tài)守護(hù)進(jìn)程，即時(shí)告警并阻斷進(jìn)程。53.闡述零信任架構(gòu)下，如何為微服務(wù)間調(diào)用設(shè)計(jì)身份認(rèn)證方案。答案：每個(gè)微服務(wù)部署Sidecar代理，統(tǒng)一通過(guò)mTLS出口；服務(wù)啟動(dòng)時(shí)向SPIFFE兼容的CA申請(qǐng)短期X.509-SVID證書；Sidecar在每次RPC調(diào)用時(shí)自動(dòng)輪換證書，并驗(yàn)證對(duì)端SVID中的SPIFFEID；結(jié)合JWT傳遞用戶身份，實(shí)現(xiàn)用戶-服務(wù)-服務(wù)三級(jí)信任鏈；通過(guò)集中式策略引擎（OPA）實(shí)時(shí)評(píng)估訪問(wèn)規(guī)則，實(shí)現(xiàn)最小權(quán)限。54.說(shuō)明利用DNSoverHTTPS（DoH）進(jìn)行數(shù)據(jù)滲漏的原理與檢測(cè)方法。答案：攻擊者將敏感數(shù)據(jù)分片編碼為子域名，通過(guò)HTTPS向公共DoH服務(wù)器發(fā)送查詢，繞過(guò)傳統(tǒng)DNS監(jiān)控；數(shù)據(jù)隱藏在TLS加密流中。檢測(cè)方法：監(jiān)控異常長(zhǎng)域名、高熵子域名、指向已知DoH提供商的異常流量；部署內(nèi)網(wǎng)DoH網(wǎng)關(guān)，強(qiáng)制解密并審計(jì)；使用SNI白名單與JA3指紋識(shí)別非標(biāo)準(zhǔn)DoH客戶端。55.描述針對(duì)容器鏡像供應(yīng)鏈的“毒鏡像”攻擊路徑與防御。答案：攻擊者上傳同名鏡像到公共倉(cāng)庫(kù)，利用拼寫混淆誘導(dǎo)CI拉??；或在基礎(chǔ)鏡像中植入后門。防御：使用鏡像簽名（Cosign）、準(zhǔn)入控制器驗(yàn)證簽名；啟用鏡像漏洞掃描（Trivy、Clair）；配置Harbor的不可變策略與項(xiàng)目白名單；在Kubernetes中通過(guò)AdmissionWebhook拒絕未簽名或高危鏡像。綜合案例分析題56.某電商公司黑五期間遭遇持續(xù)30分鐘峰值流量達(dá)平時(shí)20倍，同時(shí)出現(xiàn)大量“優(yōu)惠券無(wú)限領(lǐng)取”事件，造成直接損失300萬(wàn)美元。日志顯示，攻擊IP來(lái)自數(shù)十個(gè)國(guó)家，User-Agent隨機(jī)化，但請(qǐng)求路徑均包含“/api/coupon/claim?code=BLACKFRIDAY”。服務(wù)器返回“200OK”且響應(yīng)體為“{"status":0}"，正常用戶返回“{"status":1,"coupon":"XXX"}"；數(shù)據(jù)庫(kù)層無(wú)異常；WAF未觸發(fā)規(guī)則。問(wèn)題：（1）判斷攻擊類型并給出依據(jù)。（2）說(shuō)明攻擊者可能利用的業(yè)務(wù)邏輯缺陷。（3）給出三層防御改進(jìn)方案。答案：（1）屬于應(yīng)用層DDoS與業(yè)務(wù)邏輯濫用的混合攻擊：流量陡增符合DDoS特征，但目的為刷券套利；返回包status=0表明后端已識(shí)別券已領(lǐng)完或不符合條件，但接口未限流，仍消耗資源。（2）缺陷：優(yōu)惠券領(lǐng)取接口未對(duì)單用戶做單日次數(shù)限制；未校驗(yàn)賬戶實(shí)名等級(jí)；未設(shè)置全局券池原子扣減，導(dǎo)致并發(fā)判斷邏輯競(jìng)爭(zhēng)；缺少圖形驗(yàn)證碼與人機(jī)識(shí)別。（3）改進(jìn)：接入層：部署具備行為學(xué)習(xí)的API網(wǎng)關(guān)，對(duì)同一IP/Token>5次/秒觸發(fā)限速并返回429；使用JS挑戰(zhàn)+Cookie校驗(yàn)過(guò)濾自動(dòng)化工具。業(yè)務(wù)層：引入分布式鎖（RedisLua腳本）保證券池原子扣減；領(lǐng)取前增加風(fēng)控評(píng)分，低于閾值進(jìn)入人工審核。數(shù)據(jù)層：券狀態(tài)與用戶領(lǐng)取記錄放入同一事務(wù)，使用SELECT…FORUPDATE避免超發(fā)；對(duì)異常賬號(hào)批量?jī)鼋Y(jié)，事后通過(guò)賬單系統(tǒng)追回?fù)p失。57.某政務(wù)云采用兩地三中心架構(gòu)，核心數(shù)據(jù)庫(kù)使用MySQLGroupReplication。凌晨2點(diǎn)主中心節(jié)點(diǎn)A因磁盤故障離線，節(jié)點(diǎn)B被自動(dòng)選為primary；3點(diǎn)節(jié)點(diǎn)C因網(wǎng)絡(luò)閃斷再次觸發(fā)選舉；值班員手動(dòng)重啟A后，A因binlog事務(wù)缺口無(wú)法加入組，報(bào)錯(cuò)“error3092”。問(wèn)題：（1）解釋錯(cuò)誤3092含義。（2）給出恢復(fù)步驟并說(shuō)明如何減少類似風(fēng)險(xiǎn)。答案：（1）3092表示節(jié)點(diǎn)缺少已被組內(nèi)多數(shù)節(jié)點(diǎn)purge的binlog事件，無(wú)法通過(guò)分布式恢復(fù)補(bǔ)齊數(shù)據(jù)，故拒絕加入。（2）恢復(fù)：1.在B節(jié)點(diǎn)執(zhí)行mysqldump–single-transaction–master-data=2生成一致性備份；2.將備份還原到A；3.重置A的group_replication_local_address，確保與B、C可通信；4.啟動(dòng)組復(fù)制，自動(dòng)拉取缺失事務(wù)；5.驗(yàn)證A為ONLINE后，將primary切回A以滿足業(yè)務(wù)偏好。預(yù)防：設(shè)置binlog_expire_logs_seconds保留時(shí)間大于備份周期+網(wǎng)絡(luò)延遲；啟用group_replication_clone插件，允許自動(dòng)克?。欢ㄆ谧鋈轂?zāi)演練，確保任一節(jié)點(diǎn)失效后30分鐘內(nèi)可重加入；將redo日志與binlog存放于不同磁盤，降低同時(shí)損壞概率。58.某公司使用AzureDevOpsPipeline構(gòu)建Java項(xiàng)目，構(gòu)建腳本中調(diào)用bash-c"$(curl-fsSL/xxx/install.sh)"安裝依賴。某日供應(yīng)鏈檢測(cè)告警該倉(cāng)庫(kù)被劫持，install.sh被植入挖礦代碼。問(wèn)題：（1）指出該腳本引入的兩大風(fēng)險(xiǎn)。（2）給出三條可立即執(zhí)行的安全加固措施。答案：（1）風(fēng)險(xiǎn)：使用無(wú)校驗(yàn)的遠(yuǎn)程腳本，存在中間人劫持與倉(cāng)庫(kù)被入侵后植入惡意代碼的風(fēng)險(xiǎn)；腳本以bash執(zhí)行，具備完整shell功能，可修改系統(tǒng)配置、下載Payload。（2）加固：1.立即在Pipeline中禁用curl|bash模式，改為將腳本放入內(nèi)網(wǎng)Artifactory并做SHA256校驗(yàn)；2.啟用AzureDevOps的“審批門”，任何第三方依賴變更需安全團(tuán)隊(duì)審批；3.在構(gòu)建代理主機(jī)部署EDR與Namespace隔離，阻止非白名單進(jìn)程與礦池通信。實(shí)操命令題59.給出在Ubuntu22.04上利用systemd為Nginx添加Seccomp過(guò)濾的完整步驟，要求僅允許write、read、close、accept4、epoll_wait，其他默認(rèn)kill。答案：1.安裝seccomp-tools：apt