你爹來咯附有答案

你爹來咯[復(fù)制]1.（單選題）

下列不是常見PHP代碼執(zhí)行函數(shù)[單選題]*A.

eval()B.

assert()C.

call_user_func()D.

var_dump()(正確答案)答案解析：答案解析：

var_dump是輸出函數(shù)2.（單選題）

根據(jù)檢測技術(shù)的不同，IDS可分為異常檢測方式和（）方式。[單選題]*A.

比較檢測B.

特征檢測C.

誤用檢測檢測(正確答案)D.

沙箱檢測答案解析：答案解析：

考察常見的檢測技術(shù)3.（單選題）

當代碼中確認存在unserialize函數(shù)，并且字符可控，下一步需要在查找[單選題]*A.

是否存在htmlspecialchars函數(shù)B.

是否在可控類的方法中存在危險函數(shù)(正確答案)C.

是否能夠進行頁面跳轉(zhuǎn)D.

頁面是否進行URL二次解碼答案解析：答案解析：

這里可能存在序列化漏洞，因此如果存在可控的危險函數(shù)，就可以直接通過序列化進行攻擊4.（單選題）

下面代碼中可以實現(xiàn)怎樣的攻擊（）？<code>Stringuserid=request.getParameter("userid");Stringpass=request.getParameter("password");JdbcConnectionconn=newJdbcConnection();Object[]params=newObject[2];params[0]=pass;params[1]=userid;finalStringsql="[單選題]*A.

通過控制userid和password越權(quán)修改其他用戶密碼(正確答案)B.

通過控制userid和password進行sql注入攻擊C.

通過控制userid和password進行xss跨站腳本攻擊D.

通過控制userid和password進行任意文件下載答案解析：答案解析：

代碼明顯不能文件下載和XSS、sql注入；由于代碼使用數(shù)組接收用戶名和密碼，因此可以通過更改數(shù)組的下標，跳轉(zhuǎn)到其他用戶，進而修改其他用戶的密碼5.（單選題）

哪項不能修復(fù)Nginx目錄穿越漏洞（）[單選題]*A.

AutoindexoffB.

Location/files/C.

#AutoindexonD.

Alias/home/(正確答案)答案解析：答案解析：

Alias，更改目錄，不能防止目錄穿越漏洞6.（單選題）

下列關(guān)于水平越權(quán)的說法中，不正確的是？[單選題]*A.

可能會造成大批量數(shù)據(jù)泄露B.

同級別（權(quán)限）的用戶或同一角色不同的用戶之間，可以越權(quán)訪問、修改或者刪除的非法操作C.

水平越權(quán)是不同級別之間或不同角色之間的越權(quán)(正確答案)D.

可能會造成用戶信息被惡意篡改答案解析：答案解析：

水平越權(quán)是同級別內(nèi)、不同角色之間的越權(quán)7.（單選題）

利用注入法入侵目標網(wǎng)站的思路一般是（）。[單選題]*A.

找注入點構(gòu)造查詢語句判斷列數(shù)判斷注入類型讀取憑證信息登錄后臺上傳小馬菜刀連接B.

找注入點上傳小馬判斷列數(shù)構(gòu)造查詢語句讀取憑證信息登錄后臺判斷注入類型菜刀連接C.

找注入點判斷注入類型判斷列數(shù)構(gòu)造查詢語句登錄后臺讀取憑證信息上傳小馬菜刀連接D.

找注入點判斷列數(shù)判斷注入類型構(gòu)造查詢語句讀取憑證信息登錄后臺上傳小馬菜刀連接(正確答案)答案解析：答案解析：

D的邏輯表述是正確的8.（單選題）

禁止目錄瀏覽，配置方法是[單選題]*A.

去掉根目錄的Indexes屬性(正確答案)B.

改變服務(wù)端口號C.

修改目錄名稱D.

將目錄設(shè)置為只讀屬性答案解析：答案解析：

比較其他選項，A最適合題意9.（單選題）

如果在代碼執(zhí)行時，引號被過濾則可以使用以下哪個方式解決?[單選題]*A.

使用ord()函數(shù)進行拼接B.

使用chr()函數(shù)進行拼接(正確答案)C.

全部使用單引號，并且并將單引號轉(zhuǎn)義掉D.

全部使用雙引號，并且并將雙引號轉(zhuǎn)義掉答案解析：答案解析：chr()用一個范圍在range（256）內(nèi)的（就是0～255）整數(shù)作參數(shù)，返回一個對應(yīng)的字符。10.（單選題）

使用$$符號,非常容易造成什么漏洞[單選題]*A.

變量覆蓋(正確答案)B.

代碼執(zhí)行C.

命令執(zhí)行D.

XML注入答案解析：答案解析：

$$是變量覆蓋的特征11.（單選題）

突破網(wǎng)絡(luò)系統(tǒng)的第一步是（）。[單選題]*A.

口令破解B.

利用TCP/IP協(xié)議的攻擊C.

源路由選擇欺騙D.

各種形式的信息收集(正確答案)答案解析：答案解析：

信息收集是滲透測試的第一步12.（單選題）

如何防止固定會話攻擊？[單選題]*A.

將令牌加密B.

登錄之后分配新的令牌(正確答案)C.

令牌要足夠隨機D.

采用Cookie機制答案解析：答案解析：

相比其他選項，B選項最合適13.（單選題）

關(guān)于CRLF注入漏洞描述不正確的是（）[單選題]*A.

CRLF漏洞成因是瀏覽器根據(jù)兩個CRLF來讀取HTTP內(nèi)容并顯示B.

CRLF漏洞可用于會話固定C.

CRLF漏洞可用于存儲型XSS(正確答案)D.

CRLF漏洞可用于反射型XSS答案解析：答案解析：

存儲型XSS，需要將數(shù)據(jù)寫入數(shù)據(jù)庫，不符合CRLF的原理不符14.（單選題）

同源策略無法限制哪項操作（）[單選題]*A.

Cookie無法讀取B.

Session無法產(chǎn)生(正確答案)C.

Ajax請求不能發(fā)送D.

Dom無法獲得答案解析：答案解析：

Sessions不依賴瀏覽器15.（單選題）

當CSRF存在Token驗證以后，需要配合什么漏洞進行繞過[單選題]*A.

XXEB.

SQL注入C.

代碼執(zhí)行D.

XSS(正確答案)答案解析：答案解析：

CSRF與XSS相伴而生16.（單選題）

下面那種身份標識安全性較高？[單選題]*A.

15位密碼B.

工卡C.

動態(tài)口令D.

指紋(正確答案)答案解析：答案解析：

指紋具有唯一性，屬于生物特征，安全性最高17.（單選題）

關(guān)于Nginx配置中幾個變量的描述錯誤的是（）[單選題]*A.

$uri中為解碼后的請求路徑B.

$document_uri中為解碼后的請求路徑C.

request_uri中為原始URI，不解碼D.

使用request_uri變量有可能造成CRLF注入漏洞(正確答案)答案解析：答案解析：

CRLF注入漏洞，是因為Web應(yīng)用沒有對用戶輸入做嚴格驗證，導(dǎo)致攻擊者可以輸入一些惡意字符，這與變量無關(guān)18.（單選題）

Windows系統(tǒng)采用了那種訪問控制模型？[單選題]*A.

LACB.

DACC.

MACD.

RBAC(正確答案)答案解析：答案解析：

windows采用RBAC的訪問控制模型19.（單選題）

fastcgirecord中哪一項是指定該record的作用（）[單選題]*A.

versionB.

requestIdB1C.

type(正確答案)D.

contentLengthB1答案解析：答案解析：

version，指定fastcgi的版本；type，指定record的類型；requestB1，指定當前record對應(yīng)的請求ID；contentLengthB1，指定當前record中body體數(shù)據(jù)的長度20.（單選題）

下列選項不屬于系統(tǒng)完整性檢查工具的是（）。[單選題]*A.

COPS(正確答案)B.

MD5C.

ChecksumD.

Tripwire答案解析：答案解析：

COPS是不屬于完整性檢測工具21.（單選題）

關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)______對其網(wǎng)絡(luò)的安全性和可能存在的風險檢測評估？[單選題]*A.

至少半年一次B.

至少一年一次(正確答案)C.

至少兩年一次D.

至少每年兩次答案解析：答案解析：

考察相關(guān)法規(guī)22.（單選題）

以下關(guān)于等級保護測評工作的描述不正確的是（）。[單選題]*A.

等保測評可以確定信息系統(tǒng)是否按照所定等級開展系統(tǒng)建設(shè)B.

等保測評可以確定是否滿足對應(yīng)等級的安全保護要求C.

等保測評可以在測評報告中明確整改需要投入的金額(正確答案)D.

通過等保測評可以掌握信息系統(tǒng)安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設(shè)整改需求答案解析：答案解析：

考察相關(guān)法規(guī)23.（單選題）

usermod命令無法實現(xiàn)的操作是（）[單選題]*A.

賬戶重命名B.

刪除指定的賬戶和對應(yīng)的主目錄(正確答案)C.

加鎖與解鎖用戶賬戶D.

對用戶密碼進行加鎖或解鎖答案解析：答案解析：

略24.（單選題）

設(shè)置php.ini文件上傳參數(shù)中哪個值應(yīng)為最大？[單選題]*A.

upload_max_filesizeB.

post_max_sizeC.

max_execution_timeD.

memory_limit(正確答案)答案解析：答案解析：

略你爹也不知道25.（單選題）

IIS存在目錄解析漏洞的版本是[單選題]*A.

5.0B.

6.0(正確答案)C.

7.0D.

8.0答案解析：你爹不知道26.（單選題）

關(guān)于JAVA三大框架，說法正確的是？[單選題]*A.

三大框架是Struts+Hibernate+PHPB.

Hibernate主要是數(shù)據(jù)持久化到數(shù)據(jù)庫(正確答案)C.

Struts不是開源軟件D.

Spring缺點是解決不了在J2EE開發(fā)中常見的的問題答案解析：你爹不知道27.（單選題）

下面哪種修復(fù)Redis未授權(quán)訪問漏洞的方法是相對不安全的？[單選題]*A.

綁定本地地址B.

更改默認端口(正確答案)C.

增加密碼認證D.

通過網(wǎng)絡(luò)防火墻限制答案解析：你爹不知道28.（單選題）

Cookie的屬性中，Domain是指什么？[單選題]*A.

過期時間B.

關(guān)聯(lián)Cookie的域名(正確答案)C.

Cookie的名稱D.

Cookie的值答案解析：你爹不知道29.（單選題）

關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響（）的，應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。[單選題]*A.

政府安全B.

信息安全C.

國家安全(正確答案)D.

網(wǎng)絡(luò)安全答案解析：你爹不知道你爹不知道你爹不知道你爹不知道你爹不知道你爹不知道你爹不知道你爹不知道你爹不知道你爹不知道你爹不知道30.（單選題）

下列哪個特性不屬于信息安全三要素：[單選題]*A.

機密性B.

持續(xù)性(正確答案)C.

完整性D.

可用性答案解析：你爹真不知道31.（多選題）

IDS可檢測的內(nèi)容包括（）。*A.

數(shù)據(jù)包的內(nèi)容B.

IP地址(正確答案)C.

端口地址(正確答案)D.

數(shù)據(jù)包長度(正確答案)答案解析：答案解析：

IDS不能對數(shù)據(jù)包內(nèi)容進行檢測32.（多選題）

常見開源入侵檢測系統(tǒng)有：（）。*A.

Snort(正確答案)B.

Suricata(正確答案)C.

Bro(正確答案)D.

ModSecurity答案解析：答案解析：

ModSecurity不屬于檢測系統(tǒng)，是一個開源的跨平臺Web應(yīng)用程序防火墻（WAF）引擎33.（多選題）

利用Metasploit進行ms17-010漏洞利用的時候，需要設(shè)置的參數(shù)包括（）。*A.

目標主機IP地址(正確答案)B.

滲透payload(正確答案)C.

滲透目標類型(正確答案)D.

目標端口答案解析：答案解析：

考察MSF的使用，這里不需要設(shè)置目標端口34.（多選題）

安全的密碼找回功能應(yīng)具有哪些特性？*A.

設(shè)置有效期(正確答案)B.

可直接將密碼發(fā)送至用戶郵箱C.

重置密碼鏈接應(yīng)具有足夠的隨機性(正確答案)D.

采用MDS對密碼進行散列答案解析：答案解析：

考察密碼找回漏洞的特征35.（多選題）

下面哪些漏洞可以被稱為邏輯漏洞？*A.

任意密碼重置(正確答案)B.

0元購(正確答案)C.

文件包含D.

SQL注入答案解析：答案解析：

考察邏輯漏洞的理解36.（多選題）

Apache日志中，包含哪些內(nèi)容？*A.

請求主機IP地址(正確答案)B.

請求時間(正確答案)C.

請求URL(正確答案)D.

返回狀態(tài)(正確答案)答案解析：答案解析：

Apache日志包含ip地址，請求時間，目標URL，狀態(tài)等37.（多選題）

禁止Linux操作系統(tǒng)動態(tài)加載模塊的方法是（）。*A.

刪除無關(guān)模塊B.

禁用動態(tài)加載特性(正確答案)C.

靜態(tài)編譯相關(guān)模塊(正確答案)D.

刪除動態(tài)加載函數(shù)答案解析：答案解析：

禁止動態(tài)加載模塊，只能禁用動態(tài)加載特性和靜態(tài)編譯相關(guān)模塊，不能刪除動態(tài)加載函數(shù)38.（多選題）

根據(jù)《網(wǎng)絡(luò)安全等級保護測評要求》，在對每一要求項進行測評時，可能用到（）、（）和（）三種測試方法。*A.

訪談(正確答案)B.

核查(正確答案)C.

調(diào)研D.

測試(正確答案)答案解析：答案解析：

考察相關(guān)法規(guī)39.（多選題）

網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當遵循()的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。*A.

真實B.

合法(正確答案)C.

正當(正確答案)D.

必要(正確答案)答案解析：答案解析：

考察相關(guān)法規(guī)，聽你爹的去看看40.（多選題）

SNMP協(xié)議的默認團體字是什么？*A.

public(正確答案)B.

passC.

private(正確答案)D.

password答案解析：答案解析：

略41.（多選題）

下面關(guān)于TCP協(xié)議描述，錯誤的是？*A.

工作在網(wǎng)絡(luò)層(正確答案)B.

有重傳機制C.

有流量控制機制D.

斷開需要3次握手(正確答案)答案解析：答案解析：

略42.（多選題）

下面哪些應(yīng)用使用了UDP協(xié)議承載？*A.

SMTPB.

DNS(正確答案)C.

TFTP(正確答案)D.

SNMP(正確答案)答案解析：答案解析：

SMTP協(xié)議采用TCP協(xié)議承載，默認采用25號端口。43.（多選題）

程序員在防止上傳漏洞時，可以采取哪些措施？*A.

客戶端檢測(正確答案)B.

服務(wù)器端驗證(正確答案)C.

cookie檢測D.

實名認證答案解析：答案解析：

略44.（多選題）

客戶端與服務(wù)端通信未加密，可能導(dǎo)致哪些安全問題？*A.

用戶令牌被盜取(正確答案)B.

用戶口令被盜取(正確答案)C.

傳輸數(shù)據(jù)被公開(正確答案)D.

中間人攻擊(正確答案)答案解析：答案解析：

略45.（多選題）

JSONWebToken是由哪三部分組成的？*A.

header(正確答案)B.

payload(正確答案)C.

secretkeyD.

signature(正確答案)答案解析：答案解析：

略46.（多選題）

下面哪種口令可被視為弱口令？*A.

zhangsan19900101(正確答案)