2025年網(wǎng)絡(luò)安全評(píng)估題庫及答案一、單項(xiàng)選擇題（每題1分，共30分。每題只有一個(gè)正確答案，請將正確選項(xiàng)的字母填入括號(hào)內(nèi)）1.在SSL/TLS協(xié)議中，用于協(xié)商對稱加密算法的握手階段是（）A.ClientHelloB.ServerHelloDoneC.ChangeCipherSpecD.Finished答案：A2.下列哪一項(xiàng)最能有效降低SQL注入風(fēng)險(xiǎn)（）A.使用HTTPSB.關(guān)閉數(shù)據(jù)庫遠(yuǎn)程端口C.參數(shù)化查詢D.增加Web服務(wù)器并發(fā)數(shù)答案：C3.關(guān)于零信任架構(gòu)的核心原則，錯(cuò)誤的是（）A.永不信任，持續(xù)驗(yàn)證B.默認(rèn)授予最小權(quán)限C.網(wǎng)絡(luò)邊界即信任邊界D.動(dòng)態(tài)訪問控制答案：C4.在Linux系統(tǒng)中，可用于強(qiáng)制訪問控制（MAC）的模塊是（）A.iptablesB.SELinuxC.AppArmorD.tcpdump答案：B5.以下哪條命令可查看Windows本地安全策略（）A.msconfigB.secpol.mscC.lusrmgr.mscD.taskschd.msc答案：B6.針對AES128，已知明文攻擊下最有效的公開分析方法是（）A.差分密碼分析B.線性密碼分析C.暴力破解D.側(cè)信道攻擊答案：B7.在PKI體系中，負(fù)責(zé)發(fā)布證書撤銷列表（CRL）的實(shí)體是（）A.RAB.CAC.OCSPD.VA答案：B8.關(guān)于HTTP/2的ServerPush特性，下列說法正確的是（）A.可主動(dòng)推送未經(jīng)客戶端請求的資源B.只能推送HTML頁面C.必須使用TLS1.1D.無法被瀏覽器拒絕答案：A9.以下哪種算法被NIST選為后量子密碼標(biāo)準(zhǔn)化第三輪finalist（）A.RSA4096B.KyberC.ECDSAD.SHA3答案：B10.在容器安全中，用于限制進(jìn)程系統(tǒng)調(diào)用的Linux特性是（）A.cgroupsB.seccompC.namespaceD.overlayfs答案：B11.關(guān)于GDPR，對數(shù)據(jù)控制者要求的“privacybydesign”強(qiáng)調(diào)（）A.事后加密B.默認(rèn)最小數(shù)據(jù)收集C.數(shù)據(jù)可無限期保存D.無需記錄處理活動(dòng)答案：B12.以下哪項(xiàng)不是威脅情報(bào)的鉆石模型頂點(diǎn)（）A.對手B.基礎(chǔ)設(shè)施C.能力D.漏洞答案：D13.在Wireshark中，過濾顯示所有TCPSYN包的表達(dá)式是（）A.tcp.flags==0x002B.tcp.flags.syn==1C.tcp.synD.tcp.flags==SYN答案：B14.關(guān)于內(nèi)存保護(hù)機(jī)制，下列哪項(xiàng)可阻止代碼段被執(zhí)行（）A.DEPB.ASLRC.CFGD.SEHOP答案：A15.在Windows日志中，事件ID4624表示（）A.賬戶登錄失敗B.成功登錄C.特權(quán)提升D.對象訪問審計(jì)答案：B16.以下哪項(xiàng)最能有效防御DNS劫持（）A.DNSSECB.增加TTLC.禁用EDNSD.使用TCP53端口答案：A17.關(guān)于區(qū)塊鏈51%攻擊，正確的是（）A.可篡改歷史交易B.可無限增發(fā)代幣C.可破解私鑰D.可阻止新節(jié)點(diǎn)加入答案：A18.在滲透測試中，用于快速識(shí)別Web目錄的工具是（）A.sqlmapB.dirbC.hydraD.mimikatz答案：B19.以下哪項(xiàng)屬于對稱加密（）A.ECCB.ChaCha20C.DSAD.RSA答案：B20.關(guān)于CSP（內(nèi)容安全策略）指令，阻止內(nèi)聯(lián)腳本執(zhí)行應(yīng)使用（）A.scriptsrc'self'B.scriptsrc'unsafeinline'C.defaultsrc'none'D.objectsrc'self'答案：A21.在IPv6中，用于本地鏈路通信的前綴是（）A.fe80::/10B.2001::/32C.::1/128D.fc00::/7答案：A22.關(guān)于勒索軟件加密策略，常見做法是（）A.對稱加密文件，公鑰加密對稱密鑰B.使用哈希鎖定文件C.僅修改文件擴(kuò)展名D.用私鑰直接加密答案：A23.以下哪項(xiàng)不是OWASPTop102021新增條目（）A.不安全設(shè)計(jì)B.服務(wù)端請求偽造C.失效的訪問控制D.日志與監(jiān)控不足答案：C24.在Android應(yīng)用逆向中，查看Java源碼最常用的工具是（）A.IDAB.jadxC.ollydbgD.winhex答案：B25.關(guān)于云共享責(zé)任模型，IaaS中由云服務(wù)商負(fù)責(zé)的是（）A.客戶數(shù)據(jù)B.虛擬防火墻配置C.物理基礎(chǔ)設(shè)施D.操作系統(tǒng)補(bǔ)丁答案：C26.以下哪項(xiàng)可用于檢測Rootkit（）A.chkrootkitB.johnC.niktoD.burp答案：A27.關(guān)于雙因素認(rèn)證，不屬于“擁有”因素的是（）A.手機(jī)OTPB.硬件令牌C.指紋D.智能卡答案：C28.在Python中，可防止pickle反序列化漏洞的最佳實(shí)踐是（）A.使用evalB.使用yaml.loadC.使用json替代D.禁用gc答案：C29.關(guān)于紅隊(duì)演練，下列哪項(xiàng)最接近真實(shí)APT攻擊（）A.僅漏洞掃描B.僅社工郵件C.多階段持續(xù)滲透D.單端口爆破答案：C30.在ISO27001中，進(jìn)行風(fēng)險(xiǎn)評(píng)估的第二步是（）A.資產(chǎn)識(shí)別B.威脅識(shí)別C.風(fēng)險(xiǎn)分析D.風(fēng)險(xiǎn)處置答案：B二、多項(xiàng)選擇題（每題2分，共20分。每題有兩個(gè)或兩個(gè)以上正確答案，多選、少選、錯(cuò)選均不得分）31.以下哪些屬于社會(huì)工程學(xué)攻擊（）A.魚叉式釣魚B.假冒客服電話C.USB掉落攻擊D.SYNflood答案：ABC32.可導(dǎo)致緩沖區(qū)溢出的函數(shù)包括（）A.strcpyB.getsC.strncpyD.strcat答案：ABD33.關(guān)于TLS1.3的改進(jìn)，正確的是（）A.移除RSA密鑰交換B.0RTT恢復(fù)C.強(qiáng)制使用AEADD.保留壓縮算法答案：ABC34.以下哪些屬于APT組織常用持久化技術(shù)（）A.注冊表Run鍵B.WMI事件訂閱C.計(jì)劃任務(wù)D.ICMP隧道答案：ABC35.關(guān)于云原生安全，正確的是（）A.鏡像掃描應(yīng)在CI階段完成B.PodSecurityPolicy可限制容器權(quán)限C.ServiceMesh可提供mTLSD.云廠商負(fù)責(zé)所有日志存儲(chǔ)答案：ABC36.以下哪些算法屬于橢圓曲線密碼（）A.ECDHB.ECDSAC.Ed25519D.DSA答案：ABC37.關(guān)于Windows憑據(jù)轉(zhuǎn)儲(chǔ)，可使用的工具包括（）A.mimikatzB.procdumpC.gsecdumpD.hashcat答案：ABC38.以下哪些措施可降低CSRF風(fēng)險(xiǎn)（）A.驗(yàn)證RefererB.添加CSRFTokenC.使用SameSiteCookieD.關(guān)閉JavaScript答案：ABC39.關(guān)于IPv6安全，正確的是（）A.地址掃描難度增加B.IPsec為強(qiáng)制實(shí)現(xiàn)C.鄰居發(fā)現(xiàn)協(xié)議可被欺騙D.無需NAT故更易追蹤答案：ACD40.以下哪些屬于數(shù)據(jù)脫敏技術(shù)（）A.掩碼B.加密C.令牌化D.哈希答案：ABCD三、填空題（每空1分，共20分）41.在Linux中，用于查看當(dāng)前監(jiān)聽端口的命令是netstat________。答案：tulnp42.SHA256輸出長度為________位。答案：25643.在滲透測試中，用于快速識(shí)別子域名的工具常用________。答案：sublist3r44.事件響應(yīng)生命周期包括準(zhǔn)備、識(shí)別、遏制、根除、恢復(fù)和________。答案：總結(jié)改進(jìn)45.在PKI中，用于在線查詢證書狀態(tài)的協(xié)議縮寫為________。答案：OCSP46.用于隱藏進(jìn)程的內(nèi)核級(jí)Rootkit技術(shù)通常劫持系統(tǒng)調(diào)用表，該表在Linux中稱為________。答案：sys_call_table47.在Windows中，安全標(biāo)識(shí)符的英文縮寫為________。答案：SID48.用于防御ROP攻擊的Windows機(jī)制稱為________。答案：CFG49.在Python中，使用________模塊可安全生成加密隨機(jī)數(shù)。答案：secrets50.在Kubernetes中，限制容器CPU使用的資源字段為________。答案：limits.cpu51.用于簽名JWT的算法HS256表示使用________哈希。答案：SHA25652.在BGP安全中，用于驗(yàn)證路由起源的擴(kuò)展稱為________。答案：RPKI53.在Wireshark中，快捷鍵________可跟隨TCP流。答案：Ctrl+Alt+Shift+T54.用于衡量漏洞嚴(yán)重程度的行業(yè)標(biāo)準(zhǔn)評(píng)分系統(tǒng)縮寫為________。答案：CVSS55.在AndroidManifest.xml中，聲明應(yīng)用權(quán)限的標(biāo)簽為________。答案：usespermission56.用于強(qiáng)制刪除Linux擴(kuò)展屬性的命令為setfattr________。答案：x57.在PowerShell中，執(zhí)行策略默認(rèn)級(jí)別為________。答案：Restricted58.用于檢測文件完整性的哈希算法MD5輸出________字節(jié)。答案：1659.在云安全中，CASB指________訪問安全代理。答案：云60.用于防御點(diǎn)擊劫持的HTTP響應(yīng)頭字段為________。答案：XFrameOptions四、簡答題（每題5分，共30分）61.簡述緩沖區(qū)溢出攻擊原理及兩種防御機(jī)制。答案：攻擊者向程序輸入超長數(shù)據(jù)，覆蓋?；蚨焉系姆祷氐刂坊蚝瘮?shù)指針，劫持控制流。防御：1.棧金絲雀（StackCanary），編譯器在返回前檢查Canary值是否被篡改；2.數(shù)據(jù)執(zhí)行保護(hù)（DEP），將棧標(biāo)記為不可執(zhí)行，阻止植入代碼運(yùn)行。62.說明TLS握手階段客戶端如何驗(yàn)證服務(wù)器證書有效性。答案：客戶端檢查證書鏈?zhǔn)欠裼墒苄湃蜟A簽發(fā)；驗(yàn)證證書有效期、撤銷狀態(tài)（OCSP/CRL）；驗(yàn)證域名與證書CN/SAN匹配；驗(yàn)證簽名；檢查密鑰用法擴(kuò)展。63.列舉三種容器逃逸場景并給出緩解措施。答案：1.特權(quán)容器逃逸，以privileged啟動(dòng)，緩解：禁止特權(quán)，使用PodSecurityPolicy；2.危險(xiǎn)掛載逃逸，掛載宿主機(jī)/proc，緩解：只讀掛載必要路徑；3.內(nèi)核漏洞逃逸，如CVE20220847，緩解：及時(shí)更新內(nèi)核，使用Seccomp限制系統(tǒng)調(diào)用。64.簡述零信任網(wǎng)絡(luò)與傳統(tǒng)VPN的區(qū)別。答案：傳統(tǒng)VPN默認(rèn)內(nèi)網(wǎng)可信，一次認(rèn)證后橫向移動(dòng)風(fēng)險(xiǎn)高；零信任默認(rèn)不信任任何實(shí)體，每次訪問基于身份、設(shè)備、環(huán)境動(dòng)態(tài)授權(quán)，微分段最小權(quán)限，無隱含網(wǎng)絡(luò)邊界。65.說明勒索軟件常見的橫向移動(dòng)技術(shù)。答案：利用弱口令RDP爆破；利用永恒之藍(lán)等漏洞；使用PsExec/WMI遠(yuǎn)程執(zhí)行；竊取域管哈希傳遞；利用組策略下發(fā)惡意腳本。66.解釋什么是ShadowIT，及其帶來的安全風(fēng)險(xiǎn)。答案：員工未經(jīng)IT部門批準(zhǔn)使用云應(yīng)用或服務(wù)，導(dǎo)致數(shù)據(jù)泄露、合規(guī)缺失、漏洞無法管理、缺乏審計(jì)日志，增加攻擊面。五、應(yīng)用題（共50分）67.密碼學(xué)計(jì)算題（10分）已知RSA公鑰（e=65537，n=143），私鑰d=103。請驗(yàn)證該密鑰長度是否安全，并計(jì)算明文m=7的密文c，再解回m。答案：n=11×13=143，僅8位，嚴(yán)重不安全。c=m^emodn=7^65537mod143=42；m=c^dmodn=42^103mod143=7。68.日志分析題（10分）給出一段Linuxauth.log片段：Jan1214:32:10websshd[3142]:Invaliduseradminfrom5Jan1214:32:12websshd[3142]:Failedpasswordforinvaliduseradminfrom5port56432ssh2該片段說明何種攻擊？給出三條防御建議。答案：SSH口令爆破。防御：1.禁用密碼登錄，改用密鑰；2.更改默認(rèn)端口；3.使用fail2ban自動(dòng)封鎖IP。69.