答案南開(kāi)大學(xué)2020秋《攻防技術(shù)基礎(chǔ)》在線作業(yè)

1.()是一種自動(dòng)化或半自動(dòng)化的安全漏洞檢測(cè)技術(shù)，通過(guò)向目標(biāo)軟件輸入大量的畸形數(shù)據(jù)并監(jiān)測(cè)目標(biāo)系統(tǒng)的異常來(lái)發(fā)現(xiàn)潛在的軟件漏洞。A.滲透測(cè)試B.黑盒測(cè)試C.白盒測(cè)試D.模糊測(cè)試答案：D2.()把軟件開(kāi)發(fā)的過(guò)程劃分為需求-分析-設(shè)計(jì)-編碼-測(cè)試等幾個(gè)階段進(jìn)行，每一個(gè)階段都明確定義了產(chǎn)出物和驗(yàn)證的準(zhǔn)則。A.瀑布模型B.螺旋模型C.迭代模型D.快速原型模型答案：A3.以下哪項(xiàng)不是SQL注入的方法()。A.單引號(hào)法B.永真永假法C.執(zhí)行系統(tǒng)命令D.時(shí)間盲注法答案：C4.()是指攻擊者竊聽(tīng)了用戶訪問(wèn)HTTP時(shí)的用戶名和密碼，或者是用戶的會(huì)話，從而得到sessionID，進(jìn)而冒充用戶進(jìn)行HTTP訪問(wèn)的過(guò)程。A.會(huì)話劫持B.遭破壞的認(rèn)證和會(huì)話管理C.會(huì)話保持攻擊D.中間人攻擊答案：B.源代碼通過(guò)()后形成可執(zhí)行文件。A.匯編B.編譯C.連接D.編譯和連接答案：D.木馬與病毒的重大區(qū)別是()。A.木馬會(huì)自我復(fù)制.木馬具有隱蔽性C.木馬不具感染性D.木馬通過(guò)網(wǎng)絡(luò)傳播答案：C.以下哪項(xiàng)不屬于緩存區(qū)溢出漏洞()。A.堆溢出.棧溢出C.單字節(jié)溢出D.SQL注入答案：D8.以下哪項(xiàng)不是情報(bào)搜集階段要做的事情()。A.社會(huì)工程學(xué).被動(dòng)監(jiān)聽(tīng)C.與客戶交流D.公開(kāi)來(lái)源信息查詢答案：C.轟動(dòng)全球的震網(wǎng)病毒是()。A.木馬B.蠕蟲(chóng)病毒C.后門(mén)D.寄生型病毒答案：B.以下哪項(xiàng)屬于PE文件的數(shù)據(jù)節(jié)()A..textB..txtC..docxD..xls答案：A.軟件靜態(tài)安全檢測(cè)技術(shù)是針對(duì)()的軟件所開(kāi)展的安全分析測(cè)試技術(shù)。A.運(yùn)行狀態(tài)B.調(diào)試狀態(tài)C.未處于運(yùn)行狀態(tài)D.編譯狀態(tài)答案：C12.以下哪項(xiàng)不是PHP的注釋符號(hào)()。A.#//B.--+C./**/答案：C13.()是由于向程序的緩沖區(qū)中輸入的數(shù)據(jù)超過(guò)其規(guī)定長(zhǎng)度，造成緩沖區(qū)溢出，破壞程序正常的堆棧，使程序執(zhí)行其他指令。A.設(shè)計(jì)錯(cuò)誤漏洞B.訪問(wèn)驗(yàn)證漏洞C.配置錯(cuò)誤漏洞D.緩沖區(qū)溢出漏洞答案：D14.以下說(shuō)法錯(cuò)誤的是()A.靜態(tài)分析可以比較全面地考慮執(zhí)行路徑，漏報(bào)率比動(dòng)態(tài)分析低B.動(dòng)態(tài)分析由于獲取了具體的運(yùn)行信息，因此報(bào)告的漏洞更為準(zhǔn)確，誤報(bào)率較低C.將動(dòng)態(tài)分析和靜態(tài)分析結(jié)合起來(lái)對(duì)二進(jìn)制進(jìn)行分析，這種技術(shù)比單純的動(dòng)態(tài)和靜態(tài)分析更加簡(jiǎn)單，比較有代表性的是BitBlazeD.TEMU是BitBlaze的動(dòng)態(tài)分析模塊，其實(shí)質(zhì)是一個(gè)虛擬機(jī)答案：C15.緩沖區(qū)溢出后執(zhí)行的代碼，會(huì)以()的身份權(quán)限運(yùn)行。A.系統(tǒng)B.用戶C.原有程序D.程序答案：C16.()也稱(chēng)為敏捷開(kāi)發(fā)，它是根據(jù)客戶的需要在很短的時(shí)間內(nèi)完成一個(gè)可以演示的軟件產(chǎn)品，這個(gè)軟件產(chǎn)品可以是只實(shí)現(xiàn)部分功能或者是最重要的功能，但是可以讓用戶直接看到一個(gè)直觀的原型系統(tǒng)。A.瀑布模型B.螺旋模型C.迭代模型D.快速原型模型答案：D17.()是通過(guò)全面的采用防范技術(shù)可以避免因單個(gè)漏洞對(duì)系統(tǒng)造成的危害。A.最小權(quán)限原則B.全面防御原則C.心里接受性D.代碼重用性答案：B18.()適合檢查因控制流信息非法操作而導(dǎo)致的安全問(wèn)題，如內(nèi)存訪問(wèn)越界、常數(shù)傳播等。A.詞法分析B.數(shù)據(jù)流分析C.符號(hào)執(zhí)行D.模型檢驗(yàn)答案：B19.以下有關(guān)GS說(shuō)法錯(cuò)誤的是()A.GSStackProtection技術(shù)是一項(xiàng)緩沖區(qū)溢出的檢測(cè)防護(hù)技術(shù)B.VC++編譯器中提供GS編譯選項(xiàng)C.攻擊者可以對(duì)security_cookie進(jìn)行篡改D.GS技術(shù)對(duì)基于棧的緩沖區(qū)溢出攻擊能起到很好的防范作用答案：C20.()解決的是如何組織軟件的開(kāi)發(fā)過(guò)程，但是它沒(méi)有解決如何在軟件開(kāi)發(fā)過(guò)程中防止安全缺陷的出現(xiàn)。A.軟件開(kāi)發(fā)生命周期B.安全威脅模型C.安全設(shè)計(jì)D.安全編程答案：A21.網(wǎng)頁(yè)與HTML對(duì)應(yīng)的關(guān)系是()。A.一對(duì)一B.多對(duì)一C.一對(duì)多D.多對(duì)多答案：C22.滲透測(cè)試是通過(guò)()，來(lái)評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法。A.模擬惡意黑客的攻擊方法B.惡意黑客的攻擊方法C.安全測(cè)試的攻擊方法D.影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的攻擊方法答案：A23.按照軟件漏洞被攻擊者利用的地點(diǎn)，軟件漏洞可以分為()A.本地利用和遠(yuǎn)程利用漏洞B.輸入驗(yàn)證錯(cuò)誤漏洞和設(shè)計(jì)錯(cuò)誤漏洞C.配置錯(cuò)誤漏洞和競(jìng)爭(zhēng)條件漏洞D.0day漏洞和1day漏洞答案：A24.Shell是一個(gè)命令解釋器，它解釋()的命令并且把它們送到內(nèi)核。A.系統(tǒng)輸入B.用戶輸入C.系統(tǒng)和用戶輸入D.輸入答案：B.蠕蟲(chóng)與普通病毒相比特有的性質(zhì)為()。A.傳播性B.隱蔽性C.不利用文件寄生D.破壞性答案：C.對(duì)于存在高風(fēng)險(xiǎn)的軟件產(chǎn)品，有必要通過(guò)威脅建模開(kāi)展深入的風(fēng)險(xiǎn)分析。()T.對(duì)F.錯(cuò)答案：T.SSH協(xié)議可以實(shí)現(xiàn)Internet上數(shù)據(jù)傳輸?shù)陌踩?，通過(guò)利用數(shù)據(jù)加密技術(shù)，它可確保數(shù)據(jù)在網(wǎng)絡(luò)上傳輸不會(huì)被截取或者竊聽(tīng)。()T.對(duì)F.錯(cuò)答案：F.在PHP中，當(dāng)使用include。函數(shù)時(shí)，只有代碼執(zhí)行到該函數(shù)時(shí)才會(huì)將文件包含進(jìn)來(lái)。當(dāng)包含外部文件發(fā)生錯(cuò)誤時(shí)，系統(tǒng)只會(huì)給出一個(gè)警告而繼續(xù)向下執(zhí)行。()T.對(duì)F.錯(cuò)答案：T.壓縮殼的特點(diǎn)是減小軟件體積大小，加密保護(hù)也是重點(diǎn)。()T.對(duì)F.錯(cuò)答案：F.同一文件不同函數(shù)的代碼在內(nèi)存代碼區(qū)中的分布一定是相鄰的。()T.對(duì)F.錯(cuò)答案：F.一些軟件漏洞問(wèn)題會(huì)隨時(shí)間變長(zhǎng)而自動(dòng)消失。()T.對(duì)F.錯(cuò)答案：F.ROP允許我們繞過(guò)DEP和ALSR,但不能繞開(kāi)GS緩沖區(qū)溢出的檢測(cè)防護(hù)技術(shù)。()T.對(duì)F.錯(cuò)答案：T.在計(jì)算機(jī)術(shù)語(yǔ)中，會(huì)話是指一個(gè)終端用戶與交互系統(tǒng)進(jìn)行通訊的過(guò)程。()T.對(duì)F.錯(cuò)答案：T.軟件漏洞本身存在就有危害。()T.對(duì)F.錯(cuò)答案：F.緩沖區(qū)溢出一般是通過(guò)覆蓋堆棧中的返回地址，使程序跳轉(zhuǎn)到shellcode或指定程序處執(zhí)行。()T.對(duì)F.錯(cuò)答案：T.堆由程序員自己分配，速度比較快。()T.對(duì)F.錯(cuò)答案：F.本地利用漏洞是指攻擊者可以直接通過(guò)網(wǎng)絡(luò)發(fā)起攻擊并利用的軟件漏洞。()T.對(duì)F.錯(cuò)答案：F.為了提高瀑布模型的開(kāi)發(fā)效率，在系統(tǒng)的架構(gòu)設(shè)計(jì)完成后，可將系統(tǒng)分為多個(gè)可并行開(kāi)發(fā)的模塊。()T.對(duì)F.錯(cuò)答案：T.軟件安全測(cè)試不但可以進(jìn)行對(duì)軟件代碼的安全測(cè)試，還可以對(duì)軟件成品進(jìn)行安全測(cè)試。()T.對(duì)F.錯(cuò)答案：T.printf函數(shù)的第一個(gè)參數(shù)就是格式化字符串，它來(lái)告訴程序?qū)?shù)據(jù)以什么格式輸出。()T.對(duì)F.錯(cuò)答案：T.情報(bào)搜集是否充分在很大程度上決定了滲透測(cè)試的成敗。()T.對(duì)F.錯(cuò)答案：T.存儲(chǔ)在硬盤(pán)上的cookie不可以在不同的瀏覽器進(jìn)程間共享。()T.對(duì)F.錯(cuò)答案：F.Session的使用是由瀏覽器按照一定的原則在后臺(tái)自動(dòng)發(fā)送給服務(wù)器的。()T.對(duì)F.錯(cuò)答案：F.存儲(chǔ)式XSS需讓用戶查看一個(gè)正常的URL鏈接，而這個(gè)鏈接中存儲(chǔ)了一段腳本。()T.對(duì)F.錯(cuò)答案：T.符號(hào)溢出是使用另外的數(shù)據(jù)類(lèi)型來(lái)存儲(chǔ)整型數(shù)造成的。()T.對(duì)F.錯(cuò)答案：F答案：答案：F.美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)NVD(NationalVulnerabilitiesDatabase)是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)局NIST于2007年創(chuàng)建的，由國(guó)土安全部DHS的國(guó)家賽博防衛(wèi)部和US-cert贊助支持。()T.對(duì)F.錯(cuò)答案：F.對(duì)于堆內(nèi)存分配，操作系統(tǒng)有一個(gè)堆管理結(jié)構(gòu)，用來(lái)管理空閑內(nèi)存地址的鏈表。()T.對(duì)F.錯(cuò)答案：T.漏洞也稱(chēng)為脆弱性(