全國網(wǎng)絡(luò)安全行業(yè)職業(yè)技能大賽(網(wǎng)絡(luò)安全管理員)考試題及答案一、單項選擇題（每題1分，共30分。每題只有一個正確答案，請將正確選項的字母填入括號內(nèi)）1.依據(jù)《網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品或服務(wù)，可能影響國家安全的，應當通過（）。A.工信部備案B.國家網(wǎng)信部門安全審查C.公安部等保測評D.市場監(jiān)管總局認證答案：B2.在SSL/TLS握手過程中，用于協(xié)商對稱加密算法的報文是（）。A.ClientHelloB.ServerHelloC.CertificateD.ServerKeyExchange答案：B3.下列哪項不是入侵檢測系統(tǒng)（IDS）的普遍缺陷（）。A.誤報率高B.無法處理加密流量C.對零日攻擊無能為力D.會主動丟棄攻擊數(shù)據(jù)包答案：D4.關(guān)于Windows日志EventID4624，下列描述正確的是（）。A.賬戶登錄失敗B.賬戶成功登錄C.權(quán)限提升成功D.對象訪問被拒絕答案：B5.在Linux系統(tǒng)中，若文件權(quán)限為“rwsrxrx”，則其中“s”標志的含義是（）。A.SetGIDB.SetUIDC.StickyBitD.強制位答案：B6.使用nmap掃描命令“nmapsSp165535/24”時，“sS”表示（）。A.TCPConnect掃描B.SYN半開掃描C.UDP掃描D.ACK掃描答案：B7.以下哪類惡意代碼主要利用Office宏進行傳播（）。A.引導扇區(qū)病毒B.宏病毒C.文件感染型病毒D.伙伴病毒答案：B8.在公鑰基礎(chǔ)設(shè)施（PKI）中，負責發(fā)布證書撤銷列表（CRL）的實體是（）。A.RAB.VAC.CAD.OCSP答案：C9.依據(jù)《個人信息保護法》，處理敏感個人信息應當取得個人的（）。A.默示同意B.書面同意C.單獨同意D.推定同意答案：C10.關(guān)于IPv6地址2001:0db8:0000:0000:0200:00ff:fe00:0001，其壓縮表示為（）。A.2001:db8::200:ff:fe00:1B.2001:db8:0:0:200:ff:fe00:1C.2001:db8::0200:00ff:fe00:0001D.2001:db8::200:ff:fe00:1答案：A11.在OWASPTop102021中，排名首位的安全風險是（）。A.注入B.失效的訪問控制C.加密失敗D.不安全的設(shè)計答案：B12.關(guān)于防火墻雙機熱備，下列協(xié)議用于實現(xiàn)主備狀態(tài)協(xié)商的是（）。A.VRRPB.HSRPC.GLBPD.CARP答案：A13.使用tcpdump抓取本機除22端口外的所有TCP數(shù)據(jù)包，正確命令是（）。A.tcpdumpianytcpport!22B.tcpdumpieth0notport22C.tcpdumpianynottcpport22D.tcpdumpianytcpandnotport22答案：D14.在Android應用逆向中，查看Java層代碼最常用的靜態(tài)分析工具是（）。A.IDAProB.jadxC.OllyDbgD.Frida答案：B15.關(guān)于勒索軟件防御，下列措施無效的是（）。A.定期離線備份B.部署應用程序白名單C.關(guān)閉所有系統(tǒng)更新D.啟用郵件內(nèi)容過濾答案：C16.在SQL注入中，若數(shù)據(jù)庫為MySQL，利用“unionselect”獲取當前用戶名的函數(shù)是（）。A.user()B.current_user()C.session_user()D.system_user()答案：A17.關(guān)于零信任架構(gòu)，下列描述錯誤的是（）。A.默認信任內(nèi)網(wǎng)流量B.強調(diào)持續(xù)驗證C.最小權(quán)限訪問D.以身份為中心答案：A18.在Wireshark中，過濾顯示所有HTTP狀態(tài)碼為404的響應包，表達式為（）。A.http.response.code==404B.http.status==404C.tcp.port==404D.ip.addr==404答案：A19.下列哪項不屬于社會工程學攻擊（）。A.魚叉式釣魚B.假冒客服電話C.漏洞利用工具包D.尾隨進入機房答案：C20.在Windows系統(tǒng)中，用于查看當前登錄用戶SID的命令是（）。A.whoami/userB.netuser%username%C.queryuserD.netstatan答案：A21.關(guān)于國密算法，SM2主要用于（）。A.雜湊B.對稱加密C.非對稱加密D.消息認證答案：C22.在Linux系統(tǒng)中，若需限制用戶最多同時打開1024個文件，應修改配置文件（）。A./etc/security/limits.confB./etc/profileC./etc/fstabD./etc/crontab答案：A23.關(guān)于Web應用防火墻（WAF）的透明代理模式，下列說法正確的是（）。A.需要修改DNS解析B.客戶端無感知C.必須變更服務(wù)器IPD.無法做SSL卸載答案：B24.在滲透測試中，用于快速識別子域名的開源工具是（）。A.sqlmapB.sublist3rC.hydraD.mimikatz答案：B25.關(guān)于日志留存，按照《網(wǎng)絡(luò)安全法》要求，網(wǎng)絡(luò)日志至少保存（）。A.1個月B.3個月C.6個月D.12個月答案：C26.在IPv4首部中，用于數(shù)據(jù)包分片的字段是（）。A.TTLB.ProtocolC.FlagsD.FragmentOffset答案：D27.關(guān)于Docker安全，下列做法正確的是（）。A.容器內(nèi)應用均以root運行B.關(guān)閉宿主機cgroupC.啟用UserNamespace隔離D.將Docker守護進程監(jiān)聽在:2375無認證答案：C28.在Metasploit中，用于設(shè)置攻擊載荷的命令是（）。A.setpayloadB.usepayloadC.selectpayloadD.choosepayload答案：A29.關(guān)于BGP劫持，下列防御技術(shù)最常用的是（）。A.RPKIB.DNSSECC.DMARCD.SPF答案：A30.在密碼學中，DiffieHellman算法主要用于（）。A.數(shù)字簽名B.密鑰交換C.數(shù)據(jù)加密D.消息認證答案：B二、多項選擇題（每題2分，共20分。每題有兩個或兩個以上正確答案，請將所有正確選項的字母填入括號內(nèi)，漏選、錯選均不得分）31.以下哪些屬于常見的WebShell連接工具（）。A.中國菜刀B.蟻劍C.冰蝎D.CobaltStrike答案：A、B、C32.關(guān)于Linux系統(tǒng)加固，下列措施合理的有（）。A.禁用不必要服務(wù)B.設(shè)置GRUB密碼C.關(guān)閉SELinuxD.啟用auditd審計答案：A、B、D33.以下哪些協(xié)議可被用于DNS隧道傳輸（）。A.MXB.TXTC.CNAMED.AAAA答案：B、C、D34.關(guān)于內(nèi)存保護機制，下列哪些技術(shù)可有效緩解緩沖區(qū)溢出（）。A.DEPB.ASLRC.SEHOPD.PIE答案：A、B、C、D35.在Windows域環(huán)境中，可用于獲取域內(nèi)主機信息的命令有（）。A.netviewB.nltest/domain_trustsC.dsquerycomputerD.tasklist答案：A、B、C36.以下哪些屬于對稱加密算法（）。A.AESB.SM4C.3DESD.RSA答案：A、B、C37.關(guān)于漏洞掃描器NESSUS，下列說法正確的有（）。A.支持本地與遠程掃描B.可輸出合規(guī)報告C.可掃描Web漏洞D.完全開源免費答案：A、B、C38.以下哪些行為可能觸發(fā)主機入侵檢測系統(tǒng)（HIDS）告警（）。A./etc/passwd被非特權(quán)用戶修改B.新建隱藏進程C.內(nèi)核模塊加載D.正常用戶登錄答案：A、B、C39.關(guān)于云安全，以下哪些屬于CSPM（云安全態(tài)勢管理）核心功能（）。A.配置核查B.合規(guī)評估C.威脅檢測D.數(shù)據(jù)備份答案：A、B、C40.在移動應用安全測試中，以下哪些工具可用于動態(tài)分析（）。A.FridaB.XposedC.MobSFD.Objection答案：A、B、D三、填空題（每空1分，共20分）41.在Linux系統(tǒng)中，用于查看當前系統(tǒng)監(jiān)聽端口的命令是________。答案：netstattulnp42.在MySQL中，利用load_file函數(shù)讀取/etc/passwd時，需開啟全局________參數(shù)。答案：secure_file_priv43.在Windows日志中，EventID4768表示________票據(jù)請求。答案：KerberosTGT44.在密碼學中，HMAC算法可提供完整性和________驗證。答案：數(shù)據(jù)源身份45.在OWASPMSTG中，移動應用安全測試指南將測試分為________大類。答案：八46.在IPv4中，首部最小長度為________字節(jié)。答案：2047.在滲透測試中，用于快速識別網(wǎng)站后臺的目錄爆破工具________，其默認字典包含common.txt。答案：dirb48.在公鑰證書中，若KeyUsage擴展僅包含digitalSignature，則該證書不能用于________加密。答案：密鑰49.在Linux系統(tǒng)中，若需禁止用戶使用crontab，應將用戶名寫入文件________。答案：/etc/cron.deny50.在Windows系統(tǒng)中，用于清除Kerberos票據(jù)緩存的命令是________。答案：klistpurge51.在SQL注入中，若過濾了空格，可使用________字符替代空格繞過。答案：//52.在BGP協(xié)議中，用于標識自治系統(tǒng)的號碼范圍是________位。答案：3253.在Dockerfile中，指定容器以非root用戶運行的指令是________。答案：USER54.在無線安全中，WPA3個人模式采用________握手協(xié)議替代四次握手。答案：SAE55.在密碼學中，SM3算法輸出雜湊值長度為________位。答案：25656.在Linux系統(tǒng)中，用于強制用戶下次登錄時修改密碼的命令是________。答案：chaged0用戶名57.在Windows域中，將用戶加入“________”組可獲得本地管理員權(quán)限。答案：Administrators58.在Web安全中，CSP響應頭用于緩解________攻擊。答案：XSS59.在IPv6中，鏈路本地地址前綴為________。答案：fe80::/1060.在逆向工程中，用于查看ELF文件節(jié)區(qū)信息的命令是________。答案：readelfS四、簡答題（每題10分，共30分）61.簡述等保2.0中“安全區(qū)域邊界”對網(wǎng)絡(luò)訪問控制的主要要求，并給出兩種實現(xiàn)技術(shù)。答案：（1）主要要求：應在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信；應對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，允許/拒絕數(shù)據(jù)包進出；應刪除多余或無效規(guī)則，優(yōu)化訪問控制列表，保證規(guī)則最小化；應定期審計訪問控制策略有效性。（2）實現(xiàn)技術(shù)：1.下一代防火墻（NGFW）：基于五元組+應用識別+用戶身份進行細粒度訪問控制，支持IPS、AV聯(lián)動；2.軟件定義邊界（SDP）：通過控制器動態(tài)下發(fā)訪問控制策略，實現(xiàn)“先認證后連接”，隱藏真實IP，縮小暴露面。62.說明Kerberoasting攻擊原理，并給出兩種檢測與兩種緩解措施。答案：原理：攻擊者獲取域內(nèi)任意用戶憑據(jù)后，向域控請求目標服務(wù)賬戶（如MSSQL）的TGS票據(jù)，該票據(jù)使用服務(wù)賬戶NTLM哈希加密；攻擊者離線暴力破解票據(jù)，得到服務(wù)賬戶明文密碼。檢測：1.監(jiān)測大量TGS_REQ請求且服務(wù)類型為RC4加密（0x17），結(jié)合賬戶異常時間；2.通過SIEM關(guān)聯(lián)EventID4769，過濾加密類型為0x17且票據(jù)大于0x5000字節(jié)。緩解：1.將服務(wù)賬戶密碼設(shè)置為長度>25位隨機復雜口令，定期輪換；2.強制使用AES256加密類型，關(guān)閉RC4HMAC。63.描述內(nèi)存馬（MemoryWebShell）特點，并給出Java環(huán)境下檢測與清除思路。答案：特點：無磁盤文件、僅駐留JVM內(nèi)存、利用Filter/Controller/Servlet動態(tài)注冊、重啟即消失、可繞過傳統(tǒng)文件監(jiān)控。檢測：1.利用JavaAgent遍歷所有Filter/Servlet，比對字節(jié)碼MD5，發(fā)現(xiàn)未在web.xml定義的組件；2.通過JMX獲取FilterChain，檢查classloader路徑是否來自內(nèi)存或未知jar。清除：1.注入Agent卸載惡意Filter，調(diào)用StandardContext.removeFilterDef；2.重啟應用或容器，徹底清空內(nèi)存；3.結(jié)合WAF添加內(nèi)存馬流量特征（如特定header、參數(shù)）實時阻斷。五、綜合應用題（共50分）64.漏洞分析與會話安全加固（20分）某電商網(wǎng)站登錄接口/api/login采用POSTJSON方式，參數(shù)為{"username":"admin","password":"123456","captcha":"abcd"}。經(jīng)測試發(fā)現(xiàn)：（1）服務(wù)端未對密碼字段進行次數(shù)限制；（2）登錄失敗返回{"code":401,"msg":"passworderror"}，且響應頭SetCookie:JSESSIONID=XXX;Path=/;HttpOnly；（3）驗證碼有效期10分鐘，可重復使用；（4）密碼采用前端MD5后傳輸。請回答：a.指出存在的三類主要安全風險（6分）；b.給出針對每類風險的整改代碼片段或配置（不涉及語言限制，偽代碼即可）（9分）；c.說明如何驗證整改有效性（5分）。答案：a.風險：1.暴力破解：無鎖定、無遞增延時；2.驗證碼復用：可重放；3.傳輸與存儲：MD5弱哈希、未加鹽、可被彩虹表破解。b.整改：1.增加登錄失敗計數(shù)與鎖定：if(failCount>=5){thrownewLockedException("賬戶鎖定15分鐘");}else{failCount++;redis.setex("fail:"+username,900,failCount);}2.驗證碼一次性：if(!redis.exists("captcha:"+sessionId)){returnerror("驗證碼已使用");}redis.del("captcha:"+sessionId);3.密碼安全：前端：使用HTTPS+RSA公鑰加密隨機key，AES加密傳輸；后端：BCrypt.hashpw(password,BCrypt.gensalt(12));c.驗證：1.使用Hydra多線程爆破，觀察>5次后返回“賬戶鎖定”且HTTP423；2.同一驗證碼二次提交，返回401且提示“驗證碼失效”；3.抓取數(shù)據(jù)包，確認無MD5散列，而為隨機AES密文；查看數(shù)據(jù)庫用戶表，password字段為60位BCrypt。65.網(wǎng)絡(luò)流量溯源與取證（15分）安全設(shè)備告警：內(nèi)網(wǎng)主機A（00）向外部IP的443端口發(fā)送大量數(shù)據(jù)，疑似外傳。提供的pcap中，TLS握手后傳輸約300MB，SNI為，但證書SubjectCN=.。請回答：a.給出判斷該流量為惡意隧道的兩條依據(jù)（4分）；b.說明如何在Wireshark中提取該證書，并給出關(guān)鍵取證字段（4分）；c.若需分析加密內(nèi)容，請描述利用SSLKEYLOGFILE的前提與步驟（4分）；d.若無法解密，給出兩條替代溯源思路（3分）。答案：a.依據(jù)：1.SNI與證書CN不一致，合法CDN不應使用；2.流量大小異常，300MB遠超正常JS/CSS資源。b.提?。篧ireshark→Statistics→Conversations→TCP→找到:443流→Follow→SSL→右鍵ExportPacketBytes→保存為cert.der；取證字段：SerialNumber、Issuer、Subject、Validity、SubjectAlternativeName。c.前提與步驟：前提：客戶端為Firefox/Chrome，且環(huán)境變量SSLKEYLOGFILE=/tmp/