1+x證書(shū)網(wǎng)絡(luò)安全評(píng)估模考試題（含參考答案）

1+x證書(shū)網(wǎng)絡(luò)安全評(píng)估模考試題（含參考答案）一、單選題（共70題，每題1分，共70分）1、PHP語(yǔ)言中==和===區(qū)別A、==只會(huì)判斷值，===會(huì)判斷值和類(lèi)型B、==只會(huì)進(jìn)行判斷值，===只會(huì)判斷類(lèi)型C、==會(huì)判斷值和類(lèi)型，===只會(huì)判斷類(lèi)型D、==只會(huì)判斷類(lèi)型，===只會(huì)判斷值正確答案：A2、盜取Cookie是用做什么？A、用于登錄B、會(huì)話固定C、DDOSD、釣魚(yú)正確答案：A3、下面關(guān)于UDP的描述哪個(gè)是正確的？A、面向連接，可靠的傳輸B、面向無(wú)連接，不可靠的傳輸C、能確保到達(dá)目的的D、傳輸也需要握手過(guò)程正確答案：B4、中國(guó)菜刀是一款經(jīng)典的webshell管理工具，其傳參方式是（）。A、POST方式B、COOKIE方式C、明文方式D、GET方式正確答案：A5、Cookie沒(méi)有以下哪個(gè)作用？A、儲(chǔ)存信息B、維持用戶(hù)會(huì)話C、執(zhí)行代碼正確答案：C6、下面哪個(gè)選項(xiàng)不是NAT技術(shù)具備的優(yōu)點(diǎn)？A、提高連接到因特網(wǎng)的速度B、節(jié)省合法地址C、提高連接到因特網(wǎng)的靈活性D、保護(hù)內(nèi)部網(wǎng)絡(luò)正確答案：A7、關(guān)于JAVA三大框架，說(shuō)法正確的是？A、三大框架是Struts+Hibernate+PHPB、Spring缺點(diǎn)是解決不了在J2EE開(kāi)發(fā)中常見(jiàn)的的問(wèn)題C、Struts不是開(kāi)源軟件D、Hibernate主要是數(shù)據(jù)持久化到數(shù)據(jù)庫(kù)正確答案：D8、路由工作在OSI哪一層？A、傳輸層B、網(wǎng)絡(luò)層C、鏈路層D、物理層正確答案：B9、Apache用來(lái)識(shí)別用戶(hù)后綴的文件是？A、handler.typesB、mime.typesC、mima.confD、handler.conf正確答案：B10、防御XSS漏洞的核心思想為（）A、減少使用數(shù)據(jù)庫(kù)B、不要點(diǎn)擊未知鏈接C、禁止用戶(hù)輸入D、輸入過(guò)濾、輸出編碼正確答案：D11、XSS的分類(lèi)不包含下面哪一個(gè)？A、儲(chǔ)存型xssB、反射型xssC、注入型xssD、DOM型xss正確答案：C12、關(guān)于文件包含漏洞，以下說(shuō)法中不正確的是？A、文件包含漏洞只在PHP中經(jīng)常出現(xiàn)，在其他語(yǔ)言不存在B、文件包含漏洞，分為本地包含，和遠(yuǎn)程包含C、文件包含漏洞在PHPWebApplication中居多,而在JSP、ASP、http://ASP.NET程序中卻非常少，這是因?yàn)橛行┱Z(yǔ)言設(shè)計(jì)的弊端D、滲透網(wǎng)站時(shí)，若當(dāng)找不到上傳點(diǎn)，并且也沒(méi)有url_allow_include功能時(shí)，可以考慮包含服務(wù)器的日志文件正確答案：A13、數(shù)據(jù)庫(kù)安全的第一道保障是？A、操作系統(tǒng)的安全B、網(wǎng)絡(luò)系統(tǒng)的安全C、數(shù)據(jù)庫(kù)管理員D、數(shù)據(jù)庫(kù)管理系統(tǒng)層次正確答案：B14、下列哪一個(gè)是web容器A、JSPB、UDPC、IISD、MD5正確答案：C15、網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)為（）國(guó)家安全機(jī)關(guān)依法維護(hù)國(guó)家安全和偵查犯罪的活動(dòng)提供技術(shù)支持和協(xié)助。A、工信部門(mén)B、網(wǎng)信部門(mén)C、檢察院D、公安機(jī)關(guān)正確答案：D16、ARP協(xié)議封裝格式最后4字節(jié)是以下哪個(gè)選項(xiàng)？A、協(xié)議類(lèi)型B、源MACC、目標(biāo)IP地址D、硬件類(lèi)型正確答案：C17、RSA屬于？A、秘密密鑰密碼算法B、對(duì)稱(chēng)密鑰密碼算法C、保密密鑰密碼算法D、公用密鑰密碼算法正確答案：D18、下面說(shuō)法正確的是？A、使用防止sql注入的函數(shù)也可以防御xssB、在輸入和輸出處都要過(guò)濾xss攻擊C、htmlspecialchars()可以完全杜絕xss攻擊D、只需要在輸入處過(guò)濾xss就可以了正確答案：B19、XSS不能用來(lái)干什么？A、預(yù)測(cè)會(huì)話憑證B、獲取用戶(hù)cookieC、劫持用戶(hù)會(huì)話D、固定會(huì)話正確答案：A20、防火墻通常被比喻為網(wǎng)絡(luò)安全的大門(mén)，但它不能？A、阻止非信任地址的訪問(wèn)B、鑒別什么樣的數(shù)據(jù)包可以進(jìn)出企業(yè)內(nèi)部網(wǎng)C、阻止病毒入侵D、阻止基IP包頭的攻擊正確答案：C21、服務(wù)器的響應(yīng)頭中，一般不會(huì)包含哪一個(gè)字段A、ConnectionB、Content-TypeC、Set-CookieD、Cookie正確答案：D22、在windows的命令提示符中，用以查看當(dāng)前登錄的用戶(hù)命令是以下哪一個(gè)？A、tasklistB、quserC、netstartD、netuser正確答案：B23、關(guān)于存儲(chǔ)型XSS，敘述錯(cuò)誤的是？A、攻擊用戶(hù)cookie必須通過(guò)存儲(chǔ)型XSS漏洞實(shí)現(xiàn)B、存儲(chǔ)型XSS又稱(chēng)作持久型XSSC、此類(lèi)XSS不需要用戶(hù)單擊特定URL就能執(zhí)行腳本D、惡意腳本是事先被攻擊者上傳至數(shù)據(jù)庫(kù)或服務(wù)器中的正確答案：A24、OSI第一層是哪一層？A、傳輸層B、網(wǎng)絡(luò)層C、物理層D、鏈路層正確答案：C25、路由器是工作在以下哪一層的設(shè)備？A、鏈路層B、傳輸層C、網(wǎng)絡(luò)層D、物理層正確答案：C26、密碼使用場(chǎng)景不包括下列哪個(gè)？A、隱私類(lèi)B、通訊類(lèi)C、財(cái)產(chǎn)類(lèi)D、唯一性正確答案：D27、下面哪個(gè)功能最不可能存在儲(chǔ)存型xssA、個(gè)人簡(jiǎn)介B、點(diǎn)贊C、提交博客D、評(píng)論正確答案：B28、（）利用以太網(wǎng)的特點(diǎn)，將設(shè)備網(wǎng)卡設(shè)置為“混雜模式”，從而能夠接受到整個(gè)以太網(wǎng)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)信息？A、緩沖區(qū)溢出攻擊木馬B、木馬程序C、拒絕服務(wù)攻擊D、嗅探程序正確答案：D29、以下哪種防火墻不能檢測(cè)sql注入攻擊（）A、WAF(WebApplicationFirewall)B、高層檢測(cè)防火墻C、IPTABLESD、下一代防火墻正確答案：C30、盜取Cookie是為了做什么？A、DDOSB、劫持用戶(hù)會(huì)話C、SQL注入D、釣魚(yú)正確答案：B31、Linux防火墻的主要功能是：（）。A、進(jìn)行訪問(wèn)控制B、入侵檢測(cè)C、嗅探IP數(shù)據(jù)包D、記錄IP數(shù)據(jù)包正確答案：A32、Cookie的屬性中，Value是指什么？A、Cookie的名字B、關(guān)聯(lián)Cookie時(shí)間C、Cookie的值D、過(guò)期時(shí)間正確答案：C33、以下哪種協(xié)議可用于承載TCP協(xié)議？A、UDPB、ICMPC、IPD、HTTP正確答案：C34、httponly屬性起到的作用是（）A、僅允許HTTPS協(xié)議讀取cookieB、防御XSS攻擊C、對(duì)HTTP數(shù)據(jù)包加密D、禁止除HTTP/HTTPS以外的協(xié)議讀取cookie正確答案：D35、A類(lèi)IP地址，有多少位主機(jī)號(hào)？A、16B、31C、24D、8正確答案：C36、UDP協(xié)議工作在TCP/IP的哪一層?A、應(yīng)用層B、物理層C、網(wǎng)絡(luò)層D、傳輸層正確答案：D37、Burpsuite代理HTTP流量時(shí)作為什么角色A、網(wǎng)關(guān)B、代理服務(wù)器C、路由器D、TCP中繼正確答案：B38、Weevely是一個(gè)Kali中集成的webshell工具，它支持的語(yǔ)言有（）。A、PHPB、C/C++C、ASPD、JSP正確答案：A39、會(huì)話固定的原理是？A、讓目標(biāo)使用自己構(gòu)造好的憑證登錄B、預(yù)測(cè)對(duì)方登錄可能用到的憑證C、讓目標(biāo)誤以為攻擊者是服務(wù)器D、截取目標(biāo)登錄憑證正確答案：A40、Nmap用來(lái)隱蔽掃描的命令是以下哪一選項(xiàng)？A、-sNB、-sSC、-sFD、-sX正確答案：A41、會(huì)話劫持最重要的是哪一步？A、獲得用戶(hù)的會(huì)話標(biāo)識(shí)（如sessionid）B、誘使用戶(hù)登錄C、使用拿到的標(biāo)識(shí)登錄正確答案：A42、Linux系統(tǒng)中，查看當(dāng)前最后一次執(zhí)行的命令的返回狀態(tài)，使用以下哪個(gè)命令？A、$?B、$@C、$*D、$!正確答案：A43、下列哪一個(gè)不屬于電信詐騙？A、冒充國(guó)家相關(guān)工作人員調(diào)查唬人B、DDOS攻擊C、虛構(gòu)退稅D、假稱(chēng)退還養(yǎng)老金、撫恤金正確答案：B44、寬字符SQL注入，主要利用的是哪種漏洞來(lái)實(shí)現(xiàn)的（）。A、GBK和UTF-8編碼不統(tǒng)一B、UTF-8長(zhǎng)字符和短字符編碼不統(tǒng)一C、GBK和UTF-8編碼不一致D、GBK長(zhǎng)字符和短字符編碼不統(tǒng)一正確答案：A45、下列哪一個(gè)不屬于信息安全三要素CIA？A、機(jī)密性B、可用性C、完整性D、個(gè)人電腦安全正確答案：D46、Metasploit框架中的Meterpreter后滲透功能經(jīng)常使用哪個(gè)函數(shù)來(lái)進(jìn)行進(jìn)程遷移（）。A、migrate函數(shù)B、persistence函數(shù)C、getpid函數(shù)D、sysinfo函數(shù)正確答案：A47、ARP本地緩存為空時(shí)，ARP將采用以下哪種方式發(fā)送包含目標(biāo)IP的數(shù)據(jù)格式到網(wǎng)絡(luò)中?A、單播B、發(fā)送特定地址C、組播D、廣播正確答案：D48、關(guān)于HTML格式的說(shuō)法，錯(cuò)誤的是A、<P>用于定義一個(gè)標(biāo)題B、<!---->為html的注釋C、<!doctypehtml>用于聲明文檔，無(wú)大小寫(xiě)限制D、<meta>常用于確定頁(yè)面字符編碼方式正確答案：A49、如果使用$_SESSION，則需要有什么注意問(wèn)題？？？A、保證頁(yè)面不能任何輸出B、首先使用session_start()C、頁(yè)面編碼必須是UTF-8D、首先使用session_destory()正確答案：B50、TCP協(xié)議采用以下哪種方式進(jìn)行流量控制?A、滑動(dòng)窗口B、超時(shí)重傳C、停止等待D、重傳機(jī)制正確答案：A51、以下哪個(gè)語(yǔ)句可以獲取cookie？A、javacript.cookieB、inner.cookieC、html.cookieD、document.cookie正確答案：D52、TCP協(xié)議采用以下哪種包用于確認(rèn)數(shù)據(jù)?A、RSTB、SYNC、ACKD、FIN正確答案：C53、下列哪一個(gè)選項(xiàng)不屬于XSS跨站腳本漏洞危害？A、SQL數(shù)據(jù)泄露B、身份盜用C、網(wǎng)站掛馬D、釣魚(yú)欺騙正確答案：A54、電信詐騙的特點(diǎn)不包括下列哪個(gè)？A、犯罪活動(dòng)的蔓延性比較大，發(fā)展很迅速B、形式集團(tuán)化，反偵查能力非常強(qiáng)C、詐騙手段翻新速度很快D、微信正確答案：D55、SqlMap一般調(diào)用其文件夾內(nèi)哪一類(lèi)文件來(lái)繞過(guò)WAF檢測(cè)（）。A、Scripts腳本B、Tamper腳本C、Nmap腳本D、Nano腳本正確答案：B56、密碼使用的場(chǎng)景通訊類(lèi)不包括下列哪個(gè)？A、微信B、陌陌C、QQD、購(gòu)物賬戶(hù)正確答案：D57、PC安全不包括下列哪一個(gè)？A、不隨意安裝來(lái)歷不明的軟件B、定期備份重要數(shù)據(jù)C、安裝防病毒軟件和防火墻軟件D、虛擬空間正確答案：D58、入侵檢測(cè)系統(tǒng)的第一步是？A、信號(hào)分析B、數(shù)據(jù)包過(guò)濾C、信息收集D、數(shù)據(jù)包檢查正確答案：C59、setcookie()函數(shù)在不設(shè)置時(shí)間情況下，Cookie默認(rèn)保存多長(zhǎng)時(shí)間A、24小時(shí)B、瀏覽器關(guān)閉cookie失效C、12小時(shí)D、1小時(shí)正確答案：B60、Burp的Intruder模塊中，哪種模式只使用一個(gè)payload，每次替換所有位置？A、ClusterbombB、BatteringramC、PitchforkD、Sniper正確答案：B61、《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定（），及時(shí)處置系統(tǒng)漏洞計(jì)算機(jī)病毒網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)。A、網(wǎng)絡(luò)安全事件補(bǔ)救措施B、網(wǎng)站安全規(guī)章制度C、網(wǎng)絡(luò)安全事件應(yīng)急演練方案D、網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案正確答案：D62、下面不屬于端口掃描技術(shù)的是？A、TCPFIN掃描B、IP包分段掃描C、TCPconnect掃描攻D、Land掃描正確答案：D63、下列哪一項(xiàng)不是黑客在入侵踩點(diǎn)（信息搜集）階段使用到的技術(shù)？A、公開(kāi)信息的合理利用及分析B、IP及域名信息收集C、使用sqlmap驗(yàn)證SQL注入漏洞是否存在D、主機(jī)及系統(tǒng)信息收集正確答案：C64、IP協(xié)議工作在TCP/IP模型的哪一層？A、網(wǎng)絡(luò)層B、鏈路層C、傳輸層D、物理層正確答案：A65、協(xié)議的三要素不包括哪項(xiàng)？A、語(yǔ)法B、語(yǔ)義C、標(biāo)點(diǎn)D、時(shí)序（同步）正確答案：C66、路由器是工作在以下哪一層的設(shè)備？A、網(wǎng)絡(luò)層B、鏈路層C、物理層D、傳輸層正確答案：A67、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)______對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)檢測(cè)評(píng)估？A、至少每年兩次B、至少一年一次C、至少半年一次D、至少兩年一次正確答案：B68、下面哪個(gè)不是IP協(xié)議的頭部信息?A、版本號(hào)B、端口號(hào)C、生存時(shí)間D、首部長(zhǎng)度正確答案：B69、下面哪個(gè)函數(shù)不能起到xss過(guò)濾作用？A、htmlspecialchars()B、str_replace()C、preg_replace()D、addslashes()正確答案：D70、需要進(jìn)行數(shù)據(jù)庫(kù)交互的是哪種xss漏洞？A、DOM型xssB、儲(chǔ)存型xssC、反射型xss正確答案：B二、判斷題（共30題，每題1分，共30分）1、部署網(wǎng)站時(shí)端口的設(shè)置與網(wǎng)頁(yè)能否顯示密切相關(guān)A、正確B、錯(cuò)誤正確答案：A2、IP協(xié)議具有無(wú)連接、不可靠傳輸?shù)奶攸c(diǎn)。A、正確B、錯(cuò)誤正確答案：A3、文件包含分為本地文件包含和遠(yuǎn)程文件包含A、正確B、錯(cuò)誤正確答案：A4、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性A、正確B、錯(cuò)誤正確答案：A5、正規(guī)機(jī)構(gòu)、正規(guī)網(wǎng)站組織抽獎(jiǎng)活動(dòng)，不會(huì)讓中獎(jiǎng)?wù)呦冉诲X(qián)，后兌獎(jiǎng)。A、正確B、錯(cuò)誤正確答案：A6、社會(huì)工程攻擊中常用到人性漏洞進(jìn)行攻擊，主要是利用了以下幾個(gè)心理：喜歡驚喜、畏懼權(quán)威、成為“有用”人才、害怕失去、懶惰心理、自尊心、專(zhuān)業(yè)知識(shí)不全等。A、正確B、錯(cuò)誤正確答案：A7、所有的協(xié)議都可以利用數(shù)據(jù)包過(guò)濾進(jìn)行處理。A、正確B、錯(cuò)誤正確答案：B8、登機(jī)牌條碼不包含個(gè)人信息。A、正確B、錯(cuò)誤正確答案：B9、Sqlmap是一款強(qiáng)有力的注入工具A、正確B、錯(cuò)誤正確答案：A10、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者可自行采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)不通過(guò)安全審查A、正確B、錯(cuò)誤正確答案：B11、被掃描的主機(jī)是不會(huì)主動(dòng)聯(lián)系掃描主機(jī)的，所以被動(dòng)掃描只能通過(guò)截獲網(wǎng)絡(luò)上散落的數(shù)據(jù)包進(jìn)行判斷。A、正確B、錯(cuò)誤正確答案：A12、一個(gè)高級(jí)用戶(hù)可以訪問(wèn)低級(jí)用戶(hù)信息是向上越權(quán)A、正確B、錯(cuò)誤正確答案：B13、網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的用戶(hù)信息嚴(yán)格保密A、正確B、錯(cuò)誤正確答案：A14、社會(huì)工程攻擊周期的四個(gè)階段是：信息收集、建立信任關(guān)系、操縱目標(biāo)、退出。A、正確B、錯(cuò)誤正確答案：A15、使用量較高的軟件就不會(huì)出現(xiàn)邏輯漏洞A、正確B、錯(cuò)誤正確答案：B16、IP包頭首部長(zhǎng)度為8字節(jié)。A、正確B、錯(cuò)誤正確答案：B17、IPV4地址使