1+x網(wǎng)絡(luò)安全評估模擬習(xí)題及答案

1+x網(wǎng)絡(luò)安全評估模擬習(xí)題及答案一、單選題（共100題，每題1分，共100分）1、下列哪個選項不屬于命令執(zhí)行漏洞的危害？A、控制服務(wù)器B、繼承Web服務(wù)程序的權(quán)限去執(zhí)行系統(tǒng)命令或讀寫文件C、反彈shellD、由命令執(zhí)行漏洞就能發(fā)現(xiàn)sql注入漏洞正確答案：D2、下面哪個功能最不可能存在儲存型xssA、點贊B、提交博客C、個人簡介D、評論正確答案：A3、將MAC地址轉(zhuǎn)換為IP地址的協(xié)議是以下哪種協(xié)議？A、ARPB、RARPC、IPD、NTP正確答案：B4、PHP語言中==和===區(qū)別A、==只會進行判斷值，===只會判斷類型B、==會判斷值和類型，===只會判斷類型C、==只會判斷類型，===只會判斷值D、==只會判斷值，===會判斷值和類型正確答案：D5、RSA屬于？A、秘密密鑰密碼算法B、公用密鑰密碼算法C、保密密鑰密碼算法D、對稱密鑰密碼算法正確答案：B6、關(guān)于命令執(zhí)行漏洞，以下說法錯誤的是？A、沒有對用戶輸入進行過濾或過濾不嚴可能會導(dǎo)致此漏洞B、命令執(zhí)行漏洞只發(fā)生在PHP的環(huán)境中C、該漏洞可導(dǎo)致黑客控制整個網(wǎng)站甚至控制服務(wù)器D、命令執(zhí)行漏洞是指攻擊者可以隨意執(zhí)行系統(tǒng)命令正確答案：B7、密碼使用場景不包括下列哪個？A、唯一性B、通訊類C、財產(chǎn)類D、隱私類正確答案：A8、（）利用以太網(wǎng)的特點，將設(shè)備網(wǎng)卡設(shè)置為“混雜模式”，從而能夠接受到整個以太網(wǎng)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)信息？A、拒絕服務(wù)攻擊B、緩沖區(qū)溢出攻擊木馬C、嗅探程序D、木馬程序正確答案：C9、關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響（）的，應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。A、信息安全B、網(wǎng)絡(luò)安全C、國家安全D、政府安全正確答案：C10、httponly屬性起到的作用是（）A、防御XSS攻擊B、對HTTP數(shù)據(jù)包加密C、禁止除HTTP/HTTPS以外的協(xié)議讀取cookieD、僅允許HTTPS協(xié)議讀取cookie正確答案：C11、IP協(xié)議工作在TCP/IP模型的哪一層？A、物理層B、鏈路層C、網(wǎng)絡(luò)層D、傳輸層正確答案：C12、以下哪種攻擊不能獲取用戶的會話標識？A、SQL注入B、會話憑證C、XSSD、憑證預(yù)測正確答案：A13、XSS不能來干什么？A、釣魚B、劫持用戶會話C、DDOSD、注入數(shù)據(jù)庫正確答案：D14、在使用Burp的Intruder模塊時，需要注意的是？A、字典大小不能超過1MB、字典路徑不能含有中文C、線程數(shù)量不能超過20D、payload數(shù)量不能超過2個正確答案：B15、XSS不能用來干什么？A、劫持用戶會話B、預(yù)測會話憑證C、獲取用戶cookieD、固定會話正確答案：B16、下列哪條是產(chǎn)生文件包含漏洞的原因？A、文件來源過濾不嚴并用戶可用B、管理員管理不善C、服務(wù)器漏洞D、用戶輸入惡意代碼正確答案：A17、會話劫持最重要的是哪一步？A、獲得用戶的會話標識（如sessionid）B、誘使用戶登錄C、使用拿到的標識登錄正確答案：A18、#iptables–AINPUT–mu32--u32‘6&FF=0x11’–jDROP的作用是：（）。A、在輸入鏈,IP包中的協(xié)議字段為17則丟棄B、在轉(zhuǎn)發(fā)鏈,IP包中的協(xié)議字段為17則丟棄C、在轉(zhuǎn)發(fā)鏈,IP包中的協(xié)議字段為11則丟棄D、在輸入鏈,IP包中的協(xié)議字段為11則丟棄正確答案：A19、交換機（非擴展類）是工作在以下哪一層的設(shè)備？A、網(wǎng)絡(luò)層B、傳輸層C、鏈路層D、物理層正確答案：C20、寬字符SQL注入，主要利用的是哪種漏洞來實現(xiàn)的（）。A、GBK和UTF-8編碼不統(tǒng)一B、GBK長字符和短字符編碼不統(tǒng)一C、UTF-8長字符和短字符編碼不統(tǒng)一D、GBK和UTF-8編碼不一致正確答案：A21、httponly可以防御什么？A、Js代碼獲取cookieB、中間人攻擊C、Js代碼獲取網(wǎng)頁內(nèi)容D、會話憑證預(yù)測正確答案：A22、盜取Cookie是為了做什么？A、劫持用戶會話B、DDOSC、釣魚D、SQL注入正確答案：A23、XSS的分類不包含下面哪一個？A、DOM型xssB、儲存型xssC、注入型xssD、反射型xss正確答案：C24、關(guān)于HTML格式的說法，錯誤的是A、<P>用于定義一個標題B、<!---->為html的注釋C、<!doctypehtml>用于聲明文檔，無大小寫限制D、<meta>常用于確定頁面字符編碼方式正確答案：A25、下面不屬于端口掃描技術(shù)的是？A、TCPconnect掃描攻B、TCPFIN掃描C、IP包分段掃描D、Land掃描正確答案：D26、如何防御包含漏洞，以下說法錯誤的是？A、限制包含的文件范圍B、避免由外界制定文件名C、文件名中要包含目錄名D、對于遠程文件包含，設(shè)置php.ini配置文件中allow_url_include=off正確答案：C27、以下說法錯誤的是？A、httponly可以讓xss漏洞也拿不走用戶cookieB、會話劫持可以使攻擊者偽裝成目標登錄C、中間人攻擊與竊取cookie的攻擊原理相同正確答案：C28、UDP協(xié)議工作在TCP/IP的哪一層?A、傳輸層B、網(wǎng)絡(luò)層C、物理層D、應(yīng)用層正確答案：A29、Metasploit框架中的最核心的功能組件是（）。A、ExploitsB、PayloadsC、EncodersD、Post正確答案：A30、Weevely是一個Kali中集成的webshell工具，它支持的語言有（）。A、ASPB、PHPC、JSPD、C/C++正確答案：B31、下列哪一個不屬于信息安全范疇？A、實體安全B、運行安全C、人員安全D、電源安全正確答案：D32、ARP協(xié)議封裝格式最后4字節(jié)是以下哪個選項？A、目標IP地址B、源MACC、硬件類型D、協(xié)議類型正確答案：A33、OSI第一層是哪一層？A、傳輸層B、物理層C、網(wǎng)絡(luò)層D、鏈路層正確答案：B34、TCP協(xié)議建立連接需要幾次握手？A、2B、3C、4D、5正確答案：B35、反射型xss通過什么傳參？A、POSTB、PUTC、GETD、FROM正確答案：C36、關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)______對其網(wǎng)絡(luò)的安全性和可能存在的風險檢測評估？A、至少每年兩次B、至少半年一次C、至少一年一次D、至少兩年一次正確答案：C37、下面說法正確的是？A、在輸入和輸出處都要過濾xss攻擊B、使用防止sql注入的函數(shù)也可以防御xssC、htmlspecialchars()可以完全杜絕xss攻擊D、只需要在輸入處過濾xss就可以了正確答案：A38、下面關(guān)于UDP的描述哪個是正確的？A、面向連接，可靠的傳輸B、面向無連接，不可靠的傳輸C、傳輸也需要握手過程D、能確保到達目的的正確答案：B39、故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行，后果嚴重的，將受到什么處罰？A、罰款B、處五年以下有期徒刑或者拘役C、拘留D、警告正確答案：B40、Cookie的屬性中，Domain是指什么？A、過期時間B、關(guān)聯(lián)Cookie的域名C、Cookie的名稱D、Cookie的值正確答案：B41、點擊Proxy組件中的哪個按鈕將攔截下來的包丟棄A、ActionB、ForwardC、DropD、Command正確答案：C42、如果使用$_SESSION，則需要有什么注意問題？？？A、首先使用session_start()B、頁面編碼必須是UTF-8C、首先使用session_destory()D、保證頁面不能任何輸出正確答案：A43、Cookie沒有以下哪個作用？A、維持用戶會話B、儲存信息C、執(zhí)行代碼正確答案：C44、協(xié)議的三要素不包括哪項？A、標點B、語法C、語義D、時序（同步）正確答案：A45、以下哪種攻擊可以獲取目標的cookie？A、文件包含B、Sql注入C、變量覆蓋D、XSS正確答案：D46、入侵檢測系統(tǒng)的第一步是？A、信號分析B、數(shù)據(jù)包過濾C、數(shù)據(jù)包檢查D、信息收集正確答案：D47、Windows操作系統(tǒng)中查看ARP緩存表的命令是（）。A、arp-aB、arp-dC、arp-sD、arp-n正確答案：A48、以下哪一協(xié)議不是工作在應(yīng)用層?A、文件傳輸協(xié)議（FileTransferProtocol，F(xiàn)TP）B、超文本傳輸協(xié)議（HyperTextTransferProtocol，HTTP）C、用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocol，UDP）D、簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol，SNMP）正確答案：C49、以下哪種防火墻不能檢測sql注入攻擊（）A、WAF(WebApplicationFirewall)B、下一代防火墻C、IPTABLESD、高層檢測防火墻正確答案：C50、HUB是工作在以下哪一層的設(shè)備？A、物理層B、鏈路層C、網(wǎng)絡(luò)層D、傳輸層正確答案：A51、下列關(guān)于水平越權(quán)的說法中，不正確的是？A、可能會造成大批量數(shù)據(jù)泄露B、可能會造成用戶信息被惡意篡改C、同級別（權(quán)限）的用戶或同一角色不同的用戶之間，可以越權(quán)訪問、修改或者刪除的非法操作D、水平越權(quán)是不同級別之間或不同角色之間的越權(quán)正確答案：D52、setcookie()函數(shù)在不設(shè)置時間情況下，Cookie默認保存多長時間A、瀏覽器關(guān)閉cookie失效B、1小時C、12小時D、24小時正確答案：A53、Metasploit框架中的Meterpreter后滲透功能經(jīng)常使用哪個函數(shù)來進行進程遷移（）。A、migrate函數(shù)B、sysinfo函數(shù)C、persistence函數(shù)D、getpid函數(shù)正確答案：A54、《中華人民共和國網(wǎng)絡(luò)安全法》施行時間：A、2016年12月31日B、2017年1月1日C、2017年6月1日D、2016年11月7日正確答案：C55、PHP中常見文件包含的函數(shù)有include(),include_once(),require_once()，require()等，以下說法錯誤的是？A、require()：只要程序一運行就包含文件，找不到被包含的文件時會產(chǎn)生致命錯誤，并停止腳本B、include()：執(zhí)行到include時才包含文件，找不到被包含文件時只會產(chǎn)生警告，腳本將繼續(xù)執(zhí)行C、require_once()：若文件中代碼已被包含則不會再次包含D、include_once()：若文件中代碼已被包含還會再次包含正確答案：D56、DOM中不存在下面那種節(jié)點A、元素節(jié)點B、文本節(jié)點C、屬性節(jié)點D、邏輯節(jié)點正確答案：D57、HTTP協(xié)議建立在以下哪一個協(xié)議的基礎(chǔ)上A、UDPB、TCPC、SSLD、FTP正確答案：B58、Linux系統(tǒng)中，查看當前最后一次執(zhí)行的命令的返回狀態(tài)，使用以下哪個命令？A、$?B、$*C、$!D、$@正確答案：A59、下列不是網(wǎng)站存在XSS漏洞的原因是（）A、網(wǎng)站對用戶輸入的數(shù)據(jù)未作過濾B、網(wǎng)站對輸出的數(shù)據(jù)未做處理C、網(wǎng)站存在可供用戶輸入的交互模式D、網(wǎng)站未對用戶下的敏感操作進行二次校驗正確答案：D60、下面關(guān)于htmlspecialchars()說法錯誤的是？A、該函數(shù)可用于過濾xssB、該函數(shù)用于對一些字符進行xss實體編碼C、該函數(shù)用于轉(zhuǎn)譯字符（在后面加上反斜線）正確答案：C61、下列哪一個是web容器A、IISB、JSPC、UDPD、MD5正確答案：A62、OSI參考模塊分幾層？A、5B、6C、7D、4正確答案：C63、盜取Cookie是用做什么？A、劫持用戶會話B、固定用戶會話C、釣魚D、預(yù)測用戶下一步的會話憑證正確答案：A64、路由器是工作在以下哪一層的設(shè)備？A、傳輸層B、物理層C、鏈路層D、網(wǎng)絡(luò)層正確答案：D65、AWVS是一款什么用途的滲透測試工具（）。A、漏洞掃描B、SQL注入C、XSS攻擊D、暴力破解正確答案：A66、需要進行數(shù)據(jù)庫交互的是哪種xss漏洞？A、DOM型xssB、儲存型xssC、反射型xss正確答案：B67、PHP關(guān)閉顯示所有錯誤提示信息方法A、error_reporting(0)B、error_reporting(E_ERROR)C、error_reporting(E_WARNING)D、error_reporting(E_NOTICE)正確答案：A68、關(guān)于JAVA三大框架，說法正確的是？A、三大框架是Struts+Hibernate+PHPB、Hibernate主要是數(shù)據(jù)持久化到數(shù)據(jù)庫C、Struts不是開源軟件D、Spring缺點是解決不了在J2EE開發(fā)中常見的的問題正確答案：B69、中國菜刀是一款經(jīng)典的webshell管理工具，其傳參方式是（）。A、GET方式B、明文方式C、COOKIE方式D、POST方式正確答案：D70、ARP本地緩存為空時，ARP將采用以下哪種方式發(fā)送包含目標IP的數(shù)據(jù)格式到網(wǎng)絡(luò)中?A、廣播B、單播C、組播D、發(fā)送特定地址正確答案：A71、下面哪個選項不是NAT技術(shù)具備的優(yōu)點？A、保護內(nèi)部網(wǎng)絡(luò)B、節(jié)省合法地址C、提高連接到因特網(wǎng)的速度D、提高連接到因特網(wǎng)的靈活性正確答案：C72、XSS跨站腳本攻擊可以插入什么代碼？A、JAVAB、JavascriptC、PHPD、ASP正確答案：B73、以下哪種協(xié)議可用于承載TCP協(xié)議？A、IPB、ICMPC、UDPD、HTTP正確答案：A74、TCP協(xié)議采用以下哪種方式進行流量控制?A、滑動窗口B、超時重傳C、停止等待D、重傳機制正確答案：A75、下列哪一個選項不屬于XSS跨站腳本漏洞危害？A、SQL數(shù)據(jù)泄露B、網(wǎng)站掛馬C、身份盜用D、釣魚欺騙正確答案：A76、PHP語言中，單引號和雙引號區(qū)別A、單引號會將內(nèi)部變量解析后輸出，雙引號會將字符原義輸出B、單引號不會將內(nèi)部惡意字符過濾，雙引號會將內(nèi)部字符進行過濾C、單引號會將字符原義輸出，雙引號會將內(nèi)部變量解析后輸出D、單引號會將內(nèi)部字符進行過濾，雙引號不會將內(nèi)部惡意字符過濾正確答案：C77、TCP協(xié)議采用以下哪種包用于確認數(shù)據(jù)?A、RSTB、FINC、ACKD、SYN正確答案：C78、若一個用戶同時屬于多個用戶組，則其權(quán)限適用原則不包括？A、最大權(quán)限原則B、文件權(quán)限超越文件夾權(quán)限原則C、拒絕權(quán)限超越其他所有權(quán)限的原則D、最小權(quán)限原則FTP正確答案：D79、Cookie的屬性中，Value是指什么？A、過期時間B、關(guān)聯(lián)Cookie時間C、Cookie的名字D、Cookie的值正確答案：D80、Nmap用來隱蔽掃描的命令是以下哪一選項？A、-sSB、-sFC、-sND、-sX正確答案：C81、TCP/IP模型分幾層？A、4B、5C、6D、7正確答案：A82、PC安全不包括下列哪一個？A、安裝防病毒軟件和防火墻軟件B、定期備份重要數(shù)據(jù)C、不隨意安裝來歷不明的軟件D、虛擬空間正確答案：D83、Apache用來識別用戶后綴的文件是？A、handler.typesB、mime.typesC、handler.confD、mima.conf正確答案：B84、下列哪一項不是黑客在入侵踩點（信息搜集）階段使用到的技術(shù)？A、使用sqlmap驗證SQL注入漏洞是否存在B、主機及系統(tǒng)信息收集C、公開信息的合理利用及分析D、IP及域名信息收集正確答案：A85、XSS跨站腳本攻擊劫持用戶會話的原理是？A、竊取目標cookieB、使目標使用自己構(gòu)造的cookie登錄C、讓目標誤認為攻擊者是他要訪問的服務(wù)器D、修改頁面，使目標登錄到假網(wǎng)站正確答案：A86、IIS命令執(zhí)行中，我們通常用來測試命令執(zhí)行的payload執(zhí)行結(jié)果是？A、shutdownB、彈出計算器C、反彈shellD、開啟遠程桌面連接正確答案：B87、B類IP地址，有多少位主機號？A、8B、16C、24D、31正確答案：B88、Linux防火墻的主要功能是：（）。A、入侵檢測B、記錄IP數(shù)據(jù)包C、嗅探IP數(shù)據(jù)包D、進行訪問控制正確答案：D89、使用下面哪個函數(shù)過濾xss是最好的？A、str_replace()B、htmlspecialchars()C、p