2020年奧鵬南開20春學期《攻防技術基礎》在線作業(yè)第2次試題標準答案

南開大學

《攻防技術基礎》在線作業(yè)

正確答案

參考資料試讀一頁20春學期(1709、1803、1809、1903、1909、2003)《攻防技術基礎》在線作業(yè)第2次100.0.以下有關SessionlD說法錯誤的是()【選項】：A最常見的做法是把SessionlD加密后保存在Cookie中傳給服務器。BSessionlD一旦在生命周期內(nèi)被竊取，就等于賬戶失竊。C如果SessionlD是被保存在Cookie中，則這種攻擊被稱為Cookie劫持。DSessionlD只可以作為請求的一個參數(shù)保持在URL中傳輸?！敬鸢浮浚篋.以下哪項指令全部屬于算數(shù)運算指令()【選項】：AMOV、ADD、ADCBPUSH、POP、LOOPCINC、SUB、ANDDADD、SBB、MUL【答案】：D.以下有關Metasploit命令錯誤的是()【選項】：Ashowexploits會顯示Metasploit框架中所有可用的滲透攻擊模塊。B當你想要查找某個特定的滲透攻擊、輔助或攻擊載荷模塊時，search命令非常有用。Cshowauxiliary會顯示所有的輔助模塊以及它們的用途。Dshowpayloads會列出這個模塊所需的各種參數(shù)?！敬鸢浮浚篋.在()階段,滲透測試團隊與客戶組織進行交互討論,最重要的是確定滲透測試的范圍、目標、限制條件以及服務合同細節(jié)?！具x項】：A前期交互B情報搜集C威脅建模D滲透攻擊【答案】：A.以下哪個選項屬于木馬()?！具x項】：A震網(wǎng)病毒BWannaCryC灰鴿子D熊貓燒香【答案】：C.數(shù)據(jù)執(zhí)行保護DEP技術可以限制內(nèi)存堆棧區(qū)的代碼為(),從而防范溢出后代碼的執(zhí)行?！具x項】：A不可執(zhí)行狀態(tài)B可執(zhí)行狀態(tài)C不可編譯狀態(tài)D捕獲異常狀態(tài)【答案】：A.源代碼通過()后形成可執(zhí)行文件?！具x項】：A匯編編譯C連接D編譯和連接【答案】：D以下哪項不是Javascript在網(wǎng)頁中的用途()。【選項】：A嵌入動態(tài)文本于HTML頁面B對瀏覽器事件做出響應C表示HTML文件開頭D控制cookies創(chuàng)建和修改【答案】：C()就是指頁面內(nèi)可以包含圖片、鏈接,甚至音樂、程序等非文字元素?！具x項】：A文本B超文本C記事本D網(wǎng)頁【答案】：B緩沖區(qū)溢出漏洞是程序由于缺乏對緩沖區(qū)()檢查而引起的一種異常行為?！具x項】：A邊界條件B容量大小C內(nèi)存地址D內(nèi)存位置【答案】：A漏洞利用的核心就是利用程序漏洞去執(zhí)行shellcode以便劫持進程的()?！具x項】：A執(zhí)行權B控制權C代碼執(zhí)行權D數(shù)據(jù)管理權【答案】：B以下選項中目前世界上數(shù)據(jù)量最大,條目最多的漏洞數(shù)據(jù)庫之一的是()。【選項】：ACNNVDBNVDCCVEDCNVD【答案】：BWindows的內(nèi)存可以被分為兩個層面()?！具x項】：A虛擬內(nèi)存和邏輯內(nèi)存B邏輯內(nèi)存和物理內(nèi)存C物理內(nèi)存和虛擬內(nèi)存D物理內(nèi)存和邏輯內(nèi)存【答案】：C以下哪項不是文件包含涉及的函數(shù)（）?！具x項】：Ainclude（）Brequire（）Cinclude_once（）Dphpinfo（）【答案】：D想要查找URL中包含nankai的搜索指令的是（）?！具x項】：Asite：nankaiBinurl：nankaiCintitle：nankaiDip：nankai【答案】：B以下有關DEP說法錯誤的是（）【選項】：AWindows操作系統(tǒng)中，默認情況下將包含執(zhí)行代碼和DLL文件的txt段即代碼段的內(nèi)存區(qū)域設置為可執(zhí)行代碼的內(nèi)存區(qū)域。BWindowsXP及其之前的操作系統(tǒng)，沒有對內(nèi)存區(qū)域的代碼執(zhí)行進行限制。C啟用DEP機制后，DEP機制將某些敏感區(qū)域設置不可執(zhí)行的non-executable標志位。DDEP只有軟件DEP。【答案】：D在程序所生成的可執(zhí)行文件中,代碼是以()為單元進行存儲的?！具x項】：A字節(jié)大小B函數(shù)C變量D常量【答案】：B以下說法正確的是()?！具x項】：AMetasploit項目最初由HDMoore在2005年夏季創(chuàng)立。BMetasploitv2版本為Metasploit從一個滲透攻擊框架性軟件華麗變身為支持滲透測試全過程的軟件平臺打下堅實的基礎。C除了滲透攻擊之外，Metasploit在發(fā)展過程中逐漸增加對滲透測試全過程的支持，包括情報搜集、威脅建模、漏洞分析、后滲透攻擊與報告生成。DMetasploit版本都可以自動生成報告?！敬鸢浮浚篊()成立于1999年9月,是工業(yè)和信息化部領導下的國家級網(wǎng)絡安全應急機構。【選項】：ABugTraqBCNCERTCCNNVDDEDB【答案】：B()適合檢查因控制流信息非法操作而導致的安全問題,如內(nèi)存訪問越界、常數(shù)傳播等。【選項】：A詞法分析B數(shù)據(jù)流分析C符號執(zhí)行D模型檢驗【答案】：B下面有關XSS描述錯誤的是()?！具x項】：AXSS根據(jù)其特征和利用手法的不同，主要分成兩大類型：一種是反射式跨站腳本；另一種是持久式跨站腳本。B反射式跨站腳本也稱作非持久型、參數(shù)型跨站腳本。主要用于將惡意腳本附加到URL地址的參數(shù)中。C反射式跨站腳本也稱作非持久型、參數(shù)型跨站腳本。主要用于將惡意腳本附加到URL地址的參數(shù)中。D存儲式XSS中的腳本來自于Web應用程序請求?！敬鸢浮浚篋以下說法錯誤的是()【選項】：A靜態(tài)分析可以比較全面地考慮執(zhí)行路徑，漏報率比動態(tài)分析低。B動態(tài)分析由于獲取了具體的運行信息，因此報告的漏洞更為準確，誤報率較低。C將動態(tài)分析和靜態(tài)分析結合起來對二進制進行分析，這種技術比單純的動態(tài)和靜態(tài)分析更加簡單，比較有代表性的是BitBlaze。DTEMU是BitBlaze的動態(tài)分析模塊，其實質(zhì)是一個虛擬機?！敬鸢浮浚篊()是由于向程序的緩沖區(qū)中輸入的數(shù)據(jù)超過其規(guī)定長度,造成緩沖區(qū)溢出,破壞程序正常的堆棧,使程序執(zhí)行其他指令?！具x項】：A設計錯誤漏洞B訪問驗證漏洞C配置錯誤漏洞D緩沖區(qū)溢出漏洞【答案】：D()也稱為敏捷開發(fā),它是根據(jù)客戶的需要在很短的時間內(nèi)完成一個可以演示的軟件產(chǎn)品,這個軟件產(chǎn)品可以是只實現(xiàn)部分功能或者是最重要的功能,但是可以讓用戶直接看到一個直觀的原型系統(tǒng)?！具x項】：A瀑布模型B螺旋模型C迭代模型D快速原型模型【答案】：D以下哪項不是PHP的注釋符號()?！具x項】：A#//B--+C/**/【答案】：C指令的地址字段指出的不是操作數(shù)的地址,而是操作數(shù)本身,這種尋址方式稱為直接尋址。【選項】：T對F錯【答案】：B漏洞利用中最關鍵的是Shellcode的編寫，對一些特定字符需要轉(zhuǎn)碼涵數(shù)API的定位比較簡單?！具x項】：T對F錯【答案】：B當系統(tǒng)存在文件上傳漏洞時攻擊者可以將病毒,木馬,WebShell,其他惡意腳本或者是包含了腳本的圖片上傳到服務器,這些文件將對攻擊者后續(xù)攻擊提供便利。【選項】：T對F錯【答案】：ASession的使用是由瀏覽器按照一定的原則在后臺自動發(fā)送給服務器的?！具x項】：T對F錯【答案】：BOpt-InMode模式下DEP對所有系統(tǒng)進程和特別定義的進程啟用?！具x項】：T對【答案】：B漏洞是一個全面綜合的概念?！具x項】：T對F錯【答案】：A數(shù)據(jù)庫驅(qū)動的Web應用通常包含三層:表示層、邏輯層和存儲層?！具x項】：T對F錯【答案】：ASSH協(xié)議可以實現(xiàn)Internet上數(shù)據(jù)傳輸?shù)陌踩?，通過利用數(shù)據(jù)加密技術，它可確保數(shù)據(jù)在網(wǎng)絡上傳輸不會被截取或者竊聽?！具x項】：T對F錯【答案】：BWindows操作系統(tǒng)中,默認情況下將包含執(zhí)行代碼和DLL文件的txt段即代碼段的內(nèi)存區(qū)域設置為不可執(zhí)行代碼的內(nèi)存區(qū)域?！具x項】：T對F錯【答案】：B主動信息收集和被動信息收集相反,主動收集會與目標系統(tǒng)有直接的交互,從而得到目標系統(tǒng)相關的一些情報信息。【選項】：T對F錯【答案】：A堆溢出是緩沖區(qū)溢出中最簡單的一種?！具x項】：T對F錯【答案】：B網(wǎng)絡黑產(chǎn)是指黑客們運用技術手段入侵服務器獲取站點權限以及各類賬戶信息并從中謀取非法經(jīng)濟利益的一條產(chǎn)業(yè)鏈。【選項】：T對F錯【答案】：A錯誤、缺陷、弱點和故障都等同于漏洞?！具x項】：T對F錯【答案】：B一般的軟件維護包括糾錯性維護和改進性維護兩個方面?！具x項】：T對F錯【答案】：A加殼過的程序不可以直接運行,但是能查看源代碼?！具x項】：T對F錯【答案】：BSQL中DDL主要指令有SELECT、CREATE和UPDATE。【選項】：T對F錯【答案】：B一種常見的HTTP會話管理就是，服務器端通過cookie來維護客戶端的會話狀態(tài),而在客戶端通過session來存儲當前會話的sessionid?！具x項】：T對F錯【答案】：B一個可執(zhí)行文件只包含有二進制的機器代碼?！具x項】：T對F錯【答案】：B漏洞也稱為脆弱性(Vulnerability),是計算機系統(tǒng)的硬件、軟件、協(xié)議在系統(tǒng)設計、具體實現(xiàn)、系統(tǒng)配置或安全策略上存在的缺陷。【選項】：T對F錯【答案】：A文件上傳漏洞是指網(wǎng)絡攻擊者上傳了一個文件到服務器并執(zhí)行?！具x項】：T對F錯【答案】：B數(shù)據(jù)流分析適合檢查因控制流信息非法操作而導致的安全問題,如內(nèi)存訪問越界、常數(shù)傳播等?！具x項】：T對F錯【答案】：ASEH(StructuredExceptionH