1+x網(wǎng)絡(luò)安全評(píng)估習(xí)題庫(kù)及答案

1+x網(wǎng)絡(luò)安全評(píng)估習(xí)題庫(kù)及答案一、單選題（共20題，每題1分，共20分）1、下面說法正確的是？A、https也可以防御xssB、有一定安全意識(shí)的人可以防御一些反射型xssC、一般現(xiàn)在的瀏覽器不帶xss防御功能D、xss攻擊只能進(jìn)行會(huì)話劫持正確答案：B2、下面哪種處理文件上傳的方式不夠妥當(dāng)（）。A、通過黑名單驗(yàn)證上傳的文件后綴名稱B、設(shè)置上傳目錄不可解析C、重命名上傳的文件名稱D、使用單獨(dú)的服務(wù)器存放上傳的文件正確答案：A答案解析：黑名單是威脅易繞過的3、在windows的命令提示符中，用以查看當(dāng)前登錄的用戶命令是以下哪一個(gè)？A、netstartB、quserC、tasklistD、netuser正確答案：B4、關(guān)于HTML事件的敘述，錯(cuò)誤的是A、onerror當(dāng)錯(cuò)誤執(zhí)行腳本B、onkeypress當(dāng)按下鍵盤執(zhí)行腳本C、onclick鼠標(biāo)點(diǎn)擊執(zhí)行腳本D、onkeyup松開鍵盤執(zhí)行腳本正確答案：B5、MD5文摘算法得出的文摘大小是？A、128位B、160位C、128字節(jié)D、160字節(jié)正確答案：A6、Apache解析漏洞中，相關(guān)配置是？A、AddHandlerB、HttpdinitC、ApacheHandlerD、Phpinit正確答案：A7、服務(wù)器的響應(yīng)頭中，一般不會(huì)包含哪一個(gè)字段A、Set-CookieB、Content-TypeC、CookieD、Connection正確答案：C8、關(guān)于PHP文件包含利用方法，錯(cuò)誤的是（）A、利用文件包含漏洞需被包含文件為.php格式B、文件包含漏洞常可以配合文件上傳漏洞共同利用C、遠(yuǎn)程文件包含需服務(wù)器開啟allow_url_fopen配置D、利用php://input偽協(xié)議需開啟allow_url_include配置正確答案：A9、《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定（），及時(shí)處置系統(tǒng)漏洞計(jì)算機(jī)病毒網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)。A、網(wǎng)絡(luò)安全事件應(yīng)急演練方案B、網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案C、網(wǎng)絡(luò)安全事件補(bǔ)救措施D、網(wǎng)站安全規(guī)章制度正確答案：B10、下面說法正確的是？A、在輸入和輸出處都要過濾xss攻擊B、使用防止sql注入的函數(shù)也可以防御xssC、htmlspecialchars()可以完全杜絕xss攻擊D、只需要在輸入處過濾xss就可以了正確答案：A11、下面哪個(gè)函數(shù)不能起到xss過濾作用？A、addslashes()B、preg_replace()C、str_replace()D、htmlspecialchars()正確答案：A12、電信詐騙的特點(diǎn)不包括下列哪個(gè)？A、形式集團(tuán)化，反偵查能力非常強(qiáng)B、犯罪活動(dòng)的蔓延性比較大，發(fā)展很迅速C、微信D、詐騙手段翻新速度很快正確答案：C13、Burp的Intruder模塊中，哪種模式只使用一個(gè)payload，每次替換所有位置？A、SniperB、BatteringramC、PitchforkD、Clusterbomb正確答案：B14、HTTPBASIC認(rèn)證中，使用了哪一種加密方法A、Base32B、Base64C、Md5D、AES正確答案：B15、會(huì)話固定的原理是？A、截取目標(biāo)登錄憑證B、讓目標(biāo)誤以為攻擊者是服務(wù)器C、預(yù)測(cè)對(duì)方登錄可能用到的憑證D、讓目標(biāo)使用自己構(gòu)造好的憑證登錄正確答案：D16、以下哪個(gè)語(yǔ)句可以獲取cookie？A、html.cookieB、javacript.cookieC、document.cookieD、inner.cookie正確答案：C17、下列哪一個(gè)不屬于信息安全三要素CIA？A、機(jī)密性B、可用性C、完整性D、個(gè)人電腦安全正確答案：D18、關(guān)于存儲(chǔ)型XSS，敘述錯(cuò)誤的是？A、存儲(chǔ)型XSS又稱作持久型XSSB、此類XSS不需要用戶單擊特定URL就能執(zhí)行腳本C、惡意腳本是事先被攻擊者上傳至數(shù)據(jù)庫(kù)或服務(wù)器中的D、攻擊用戶cookie必須通過存儲(chǔ)型XSS漏洞實(shí)現(xiàn)正確答案：D19、alert()函數(shù)是用來(lái)干什么的？A、重新打開頁(yè)面B、打開新頁(yè)面C、彈窗D、關(guān)閉當(dāng)前頁(yè)面正確答案：C20、防御XSS漏洞的核心思想為（）A、輸入過濾、輸出編碼B、不要點(diǎn)擊未知鏈接C、減少使用數(shù)據(jù)庫(kù)D、禁止用戶輸入正確答案：A二、多選題（共50題，每題1分，共50分）1、使用00截?cái)噙M(jìn)行文件上傳時(shí)，上傳未成功可能的原因是（）A、使用POST方式提交%00，但并未轉(zhuǎn)碼B、使用GET方式提交%00，但重復(fù)轉(zhuǎn)碼C、使用GET方式提交，未刪除httpbody中POST內(nèi)容D、網(wǎng)頁(yè)設(shè)置了上傳白名單，在白名單前進(jìn)行了截?cái)郋、使用GET方法提交，但未修改方法名稱為‘GET’正確答案：ABCD2、以下哪些是繞過IP地址過濾的方法（）A、。B、xip.ioC、@D、進(jìn)制轉(zhuǎn)換E、短地址正確答案：ABCDE3、請(qǐng)從以下說法中，選擇正確選項(xiàng)？A、apache日志默認(rèn)在/etc/httpd/logs/access_log或index.php?page=/var/log/httpd/access_logB、window2003+iis6.0日志文件默認(rèn)放在C:\WINDOWS\system32\LogfilesC、iis7日志文件默認(rèn)在%SystemDrive%\inetpub\logs\LogFilesD、iis7配置文件默認(rèn)目錄C:\Windows\System32\inetsrv\config\applicationHost.config正確答案：ABCD4、Nmap滲透測(cè)試工具的主要功能有（）。A、端口掃描B、XSS攻擊C、CSRF攻擊D、漏洞掃描正確答案：AD5、下面哪些應(yīng)用使用了UDP協(xié)議承載？A、SMTPB、DNSC、TFTPD、SNMP正確答案：BCD6、IP地址目前有哪幾種版本?A、IPV5B、IPV4C、IPV6D、IPV8正確答案：BC7、包含日志文件getshell時(shí)，如何讓日志文件插入PHP代碼？A、使用burpsuit抓包訪問B、curl訪問不存在的urlC、先getshell,再插入代碼D、以上說法都對(duì)正確答案：AB8、上網(wǎng)安全中的兩種公共設(shè)備謹(jǐn)慎用，指的是：A、公共WIFIB、計(jì)算機(jī)安全C、公共手機(jī)充電樁D、物聯(lián)網(wǎng)（IoT）設(shè)備成為薄弱環(huán)節(jié)正確答案：AC9、文件包含漏洞的危害有哪些？A、執(zhí)行任意腳本代碼B、控制整臺(tái)服務(wù)器C、控制網(wǎng)站D、服務(wù)器費(fèi)用增加正確答案：ABC10、以下關(guān)于PHP文件包含函數(shù)的說法中，正確的是？A、使用require()，只要程序執(zhí)行，立即調(diào)用此函數(shù)包含文件，發(fā)生錯(cuò)誤時(shí)，會(huì)輸出錯(cuò)誤信息并立即終止程序。B、使用include()，只有代碼執(zhí)行到此函數(shù)時(shí)才將文件包含進(jìn)來(lái)，發(fā)生錯(cuò)誤時(shí)只警告并繼續(xù)執(zhí)行。C、require_once()功能和require()一樣，區(qū)別在于當(dāng)重復(fù)調(diào)用同一文件時(shí)，程序只調(diào)用一次。D、inclue_once()和include()完全一樣正確答案：ABC11、HTTP協(xié)議請(qǐng)求中不會(huì)存在哪個(gè)字段A、Set-cookieB、Last-modifiedC、LocationD、User-Agent正確答案：ABC12、國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行哪些安全保護(hù)義務(wù)：A、制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任B、采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施C、采取監(jiān)測(cè)記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月D、采取數(shù)據(jù)分類重要數(shù)據(jù)備份和加密等措施E、向社會(huì)發(fā)布網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)警，發(fā)布避免減輕危害的措施F、法律行政法規(guī)規(guī)定的其他義務(wù)正確答案：ABCDF13、KaliLinux滲透系統(tǒng)中的哪些軟件具有密碼破解功能（）。A、WiresharkB、SnifferC、JohnD、Hydra正確答案：CD14、下面那些層未在TCP/IP中定義？A、傳輸層B、網(wǎng)絡(luò)C、表示層D、會(huì)話層正確答案：CD15、以下方法中可能存在命令執(zhí)行漏洞的有A、Voidpassthru(string$command[,int&$return_var])B、Stringexec(string$command[,array&$output[,int&$return_var]])C、Stringescapeshellarg(string$arg)D、Stringshell_exec(string$cmd)正確答案：ABD16、Wireshark通過哪個(gè)面板展示數(shù)據(jù)包信息？A、PacketDetailsB、PacketBytesC、捕獲過濾器D、顯示過濾器正確答案：AB17、文件包含漏洞的危害有哪些？A、服務(wù)器費(fèi)用增加B、執(zhí)行任意腳本代碼C、控制網(wǎng)站D、控制整臺(tái)服務(wù)器正確答案：BCD18、防止口令暴力破解的配置包括（）。A、登錄失敗鎖定B、口令輸入方式C、口令長(zhǎng)度配置D、口令復(fù)雜度配置正確答案：ACD19、辦公安全威脅包括下列哪幾個(gè)：A、人員弱點(diǎn)B、公用打印機(jī)C、攝像頭D、移動(dòng)存儲(chǔ)設(shè)備正確答案：ACD20、信息安全范疇包括下列哪幾個(gè)：A、計(jì)算機(jī)安全B、物聯(lián)網(wǎng)（IoT）設(shè)備成為薄弱環(huán)節(jié)C、信息本身的安全D、通信安全正確答案：ACD21、查看/etc/passwd文件內(nèi)容，發(fā)現(xiàn)其中一行信息為“root:x:0:0:root:/root:/bin/bash”，以下哪些說法是正確的？A、該行是root用戶的相關(guān)信息B、第2個(gè)字段的代表root用戶的密碼為“x”C、該用戶的主目錄為/bin/bashD、該用戶的主目錄為/root正確答案：AD22、apache+Linux日志默認(rèn)路徑是?A、/etc/httpd/logs/access_logB、/var/log/httpd/access_logC、%SystemDrive%\inetpub\logs\LogFilesD、/usr/local/nginx/logs正確答案：AB23、網(wǎng)絡(luò)運(yùn)營(yíng)者收集使用個(gè)人信息，應(yīng)當(dāng)遵循______________的原則，公開收集使用規(guī)則，明示收集使用信息的目的方式和范圍，并經(jīng)被收集者同意。A、必要B、合法C、真實(shí)D、正當(dāng)正確答案：ABD24、下面對(duì)TCP協(xié)議描述，哪種不正確？A、面向連接B、面向無(wú)連接C、可靠的傳輸D、不可靠的傳輸正確答案：BD答案解析：TCP協(xié)議是面向連接、可靠的傳輸。25、以下哪幾個(gè)特點(diǎn)符合NginxA、良好的并發(fā)性B、比Apache更高的穩(wěn)定性C、低系統(tǒng)資源占用D、高系統(tǒng)資源占用正確答案：ABC26、任何個(gè)人和組織應(yīng)當(dāng)對(duì)其使用網(wǎng)絡(luò)的行為負(fù)責(zé)，不得設(shè)立用于（）違法犯罪活動(dòng)的網(wǎng)站通訊群組，不得利用網(wǎng)絡(luò)發(fā)布涉及實(shí)施詐騙，制作或者銷售違禁物品管制物品以及其他違法犯罪活動(dòng)的信息。A、制作或者銷售管制物品B、制作或者銷售違禁物品C、實(shí)施詐騙D、傳授犯罪方法正確答案：ABCD27、計(jì)算機(jī)網(wǎng)絡(luò)主要實(shí)現(xiàn)哪些功能？A、協(xié)同工作B、通信C、資源共享D、提高可靠性正確答案：ABCD28、下面關(guān)于TCP協(xié)議描述，錯(cuò)誤的是？A、工作在網(wǎng)絡(luò)層B、有重傳機(jī)制C、有流量控制機(jī)制D、斷開需要3次握手正確答案：AD29、Nmap軟件是一款滲透測(cè)試常用的開源軟件，它的主要功能有（）。A、漏洞掃描B、端口掃描C、拓?fù)浒l(fā)現(xiàn)D、主機(jī)掃描正確答案：ABCD30、Burpsuite中有以下這些組件A、ProxyB、RepeaterC、TargetD、Scanner正確答案：ABCD31、信息安全常識(shí)包含下列哪幾個(gè)：A、郵件安全B、物理安全C、密碼安全D、化工安全正確答案：ABC32、關(guān)于命令執(zhí)行漏洞的成因，以下說法正確的是？A、代碼層過濾不嚴(yán)格B、調(diào)用第三方組件存在代碼執(zhí)行漏洞C、使用了PHP中的system，exec，shell_exec等函數(shù)D、沒有配置防火墻正確答案：ABC33、邏輯漏洞一般出現(xiàn)在哪些地方？A、沒有舊密碼或身份驗(yàn)證的任意密碼修改B、交易支付金額C、越權(quán)訪問D、密碼找回正確答案：ABCD34、下列哪個(gè)描述的是防范虛構(gòu)事實(shí)的詐騙：A、接到親人被綁架、受傷住院、被扣留拘禁等電話或短信時(shí)，一定要冷靜應(yīng)對(duì)，弄清情況，請(qǐng)及時(shí)報(bào)警B、切不可貪圖便宜，與市價(jià)相差較大的網(wǎng)絡(luò)商品，不要相信。C、通過子女所在學(xué)校、單位、同學(xué)、朋友聯(lián)系，進(jìn)行核實(shí)，確認(rèn)情況的真實(shí)性。D、對(duì)于好友QQ、微信、手機(jī)發(fā)送過來(lái)涉及到借錢、匯款等信息，一定要電話聯(lián)系到本人進(jìn)行確認(rèn)正確答案：AC35、選擇關(guān)于Cookie正確的選項(xiàng)A、Cookie是同協(xié)議、同域名、同端口的B、修改Cookie只能用一個(gè)同名Cookie將其覆蓋C、瀏覽器可以將持續(xù)時(shí)間為負(fù)數(shù)的Cookie保存為文件D、同父域的兩個(gè)子域名可以通過設(shè)置共享Cookie正確答案：AD36、邏輯漏洞中，兩種繞過授權(quán)驗(yàn)證方法為?A、水平越權(quán)B、交叉越權(quán)C、垂直越權(quán)D、方向越權(quán)正確答案：AC37、根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，任何個(gè)人和組織（）。A、不得從事非法侵入他人網(wǎng)絡(luò)干擾他人網(wǎng)絡(luò)正常功能等危害網(wǎng)絡(luò)安全的活動(dòng)B、不得提供專門用于從事侵入網(wǎng)絡(luò)干擾網(wǎng)絡(luò)正常功能等危害網(wǎng)絡(luò)安全活動(dòng)的程序C、明知他人從事危害網(wǎng)絡(luò)安全的活動(dòng)的，不得為其提供技術(shù)支持D、明知他人從事危害網(wǎng)絡(luò)安全的活動(dòng)的，可以為其進(jìn)行廣告推廣正確答案：ABC38、下列哪個(gè)描述是針對(duì)防范冒充身份詐騙的：A、不要主動(dòng)猜測(cè)對(duì)方是誰(shuí)B、主動(dòng)答應(yīng)對(duì)方要求C、確認(rèn)真?zhèn)渭皩?duì)方身份真實(shí)性D、確認(rèn)身份要多問幾個(gè)私密問題正確答案：ACD39、上網(wǎng)安全中提到的三種鏈接別亂點(diǎn)，指的是：A、公用打印機(jī)B、網(wǎng)上測(cè)試類C、來(lái)歷不明的二維碼D、手機(jī)短信中的鏈接正確答案：BCD40、滲透測(cè)試報(bào)告一般具有的品質(zhì)有（）。A、包含漏洞對(duì)企業(yè)資產(chǎn)的影響B(tài)、給出漏洞修補(bǔ)意見C、簡(jiǎn)單明了，直擊要害D、通俗易懂正確答案：ABCD41、下列哪幾條屬于防電信詐騙十條中的守則：A、釣魚網(wǎng)站要提防B、手機(jī)短信內(nèi)的鏈接都別點(diǎn)C、閉口不談卡號(hào)和密碼D、凡是索要短信驗(yàn)證碼的全是騙子正確答案：ABC42、關(guān)于Linux目錄文件系統(tǒng)的文件夾，以下哪些說法是正確的？A、/var/目錄僅用于存放系統(tǒng)產(chǎn)生的日志文件B、/etc/目錄用于存放系統(tǒng)配置文件C、/tmp/目錄用于存放系統(tǒng)的臨時(shí)文件D、/bin/目錄主要存放平時(shí)常用的命令正確答案：BCD43、在HTTP響應(yīng)的MIME消息體中，可以同時(shí)包含的數(shù)據(jù)類型是（）A、圖片數(shù)據(jù)B、文本數(shù)據(jù)C、視頻數(shù)據(jù)D、音頻數(shù)據(jù)正確答案：ABCD44、php://filter/read=convert.base64-encode/resource=../../../../../etc/passwd假設(shè)某PHP頁(yè)面存在文件包含漏洞，上述Payload可以獲得哪些信息A、Linux系統(tǒng)中所有的用戶名B、Windows系統(tǒng)中所有的用戶名C、系統(tǒng)中各個(gè)用戶的權(quán)限以及可執(zhí)行文件所在目錄D、用戶密碼正確答案：AC45、屬于xss跨站漏洞危害的是（）?。A、釣魚欺騙B、網(wǎng)站掛馬C、身份盜用D、sql數(shù)據(jù)泄露正確答案：ABC46、郵件安全防護(hù)策略包含下列哪幾個(gè)：A、監(jiān)測(cè)攻擊B、識(shí)別風(fēng)險(xiǎn)C、防護(hù)郵件D、響應(yīng)事件正確答案：ABCD47、以下哪些是常用的XSS繞過編碼（）A、URL編碼B、JS編碼C、HTML實(shí)體編碼D、復(fù)合編碼正確答案：ABCD48、程序員在防止上傳漏洞時(shí)，可以采取哪些措施？A、客戶端檢測(cè)B、服務(wù)器端驗(yàn)證C、實(shí)名認(rèn)證D、cookie檢測(cè)正確答案：AB49、Wireshark統(tǒng)計(jì)工具有何作用？A、對(duì)URL信息進(jìn)行統(tǒng)計(jì)，可能發(fā)現(xiàn)SQL注入信息B、若數(shù)據(jù)鏈路層廣播包過多，可能發(fā)生的廣播風(fēng)暴C、對(duì)URL信息進(jìn)行統(tǒng)計(jì)，可能發(fā)現(xiàn)攻擊者上傳的木馬D、可以發(fā)現(xiàn)短時(shí)間內(nèi)的流量增加正確答案：ABCD50、從覆蓋范圍上劃分網(wǎng)絡(luò)，有以下哪幾種？A、局域網(wǎng)B、無(wú)線網(wǎng)C、廣域網(wǎng)D、城域網(wǎng)正確答案：ACD三、判斷題（共30題，每題1分，共30分）1、社會(huì)工程攻擊中常用到人性漏洞進(jìn)行攻擊，主要是利用了以下幾個(gè)心理：喜歡驚喜、畏懼權(quán)威、成為“有用”人才、害怕失去、懶惰心理、自尊心、專業(yè)知識(shí)不全等。A、正確B、錯(cuò)誤正確答案：A2、部署網(wǎng)站時(shí)端口的設(shè)置與網(wǎng)頁(yè)能否顯示密切相關(guān)A、正確B、錯(cuò)誤正確答案：A3、Nmap是一款開放源代碼的網(wǎng)絡(luò)探測(cè)和安全審核的工具，它的設(shè)計(jì)目標(biāo)是快速地掃描大型網(wǎng)絡(luò)，不能用它掃描單個(gè)主機(jī)。A、正確B、錯(cuò)誤正確答案：B4、XSS跨站腳本漏洞主要影響的是客戶端瀏覽用戶A、正確B、錯(cuò)誤正確答案：A5、瀏覽器手動(dòng)選擇代理后，關(guān)閉burp仍然能夠正常上網(wǎng)A、正確B、錯(cuò)誤正確答案：B6、IPV4地址長(zhǎng)度是32位。A、正確B、錯(cuò)誤正確答案：A7、謹(jǐn)慎授予權(quán)限：謹(jǐn)慎授予應(yīng)用“發(fā)送短信”、“讀取短信”、“查看通訊錄”、“讀取定位信息”等權(quán)限。A、正確B、錯(cuò)誤正確答案：A8、IP包頭首部長(zhǎng)度為8字節(jié)。A、正確B、錯(cuò)誤正確答案：B9、任何個(gè)人和組織有權(quán)對(duì)危害網(wǎng)絡(luò)安全的行為向網(wǎng)信電信公安等部門舉報(bào)A、正確B、錯(cuò)誤正確答案：A10、社會(huì)工程攻擊周期的四個(gè)階段是：信息收集、建立信任關(guān)系、操縱目標(biāo)、退出。A、正確B、錯(cuò)誤正確答案：A11、被掃描的主機(jī)是不會(huì)主動(dòng)聯(lián)系掃描主機(jī)的，所以被動(dòng)掃描只能通過截獲網(wǎng)絡(luò)上散落的數(shù)據(jù)包進(jìn)行判斷。A、正確B、錯(cuò)誤正確答案：A12、一個(gè)高級(jí)用戶可以