1+x網絡安全評估習題庫及答案一、單選題（共20題，每題1分，共20分）1、下面說法正確的是？A、https也可以防御xssB、有一定安全意識的人可以防御一些反射型xssC、一般現在的瀏覽器不帶xss防御功能D、xss攻擊只能進行會話劫持正確答案：B2、下面哪種處理文件上傳的方式不夠妥當（）。A、通過黑名單驗證上傳的文件后綴名稱B、設置上傳目錄不可解析C、重命名上傳的文件名稱D、使用單獨的服務器存放上傳的文件正確答案：A答案解析：黑名單是威脅易繞過的3、在windows的命令提示符中，用以查看當前登錄的用戶命令是以下哪一個？A、netstartB、quserC、tasklistD、netuser正確答案：B4、關于HTML事件的敘述，錯誤的是A、onerror當錯誤執行腳本B、onkeypress當按下鍵盤執行腳本C、onclick鼠標點擊執行腳本D、onkeyup松開鍵盤執行腳本正確答案：B5、MD5文摘算法得出的文摘大小是？A、128位B、160位C、128字節D、160字節正確答案：A6、Apache解析漏洞中，相關配置是？A、AddHandlerB、HttpdinitC、ApacheHandlerD、Phpinit正確答案：A7、服務器的響應頭中，一般不會包含哪一個字段A、Set-CookieB、Content-TypeC、CookieD、Connection正確答案：C8、關于PHP文件包含利用方法，錯誤的是（）A、利用文件包含漏洞需被包含文件為.php格式B、文件包含漏洞常可以配合文件上傳漏洞共同利用C、遠程文件包含需服務器開啟allow_url_fopen配置D、利用php://input偽協議需開啟allow_url_include配置正確答案：A9、《網絡安全法》規定，網絡運營者應當制定（），及時處置系統漏洞計算機病毒網絡攻擊網絡侵入等安全風險。A、網絡安全事件應急演練方案B、網絡安全事件應急預案C、網絡安全事件補救措施D、網站安全規章制度正確答案：B10、下面說法正確的是？A、在輸入和輸出處都要過濾xss攻擊B、使用防止sql注入的函數也可以防御xssC、htmlspecialchars()可以完全杜絕xss攻擊D、只需要在輸入處過濾xss就可以了正確答案：A11、下面哪個函數不能起到xss過濾作用？A、addslashes()B、preg_replace()C、str_replace()D、htmlspecialchars()正確答案：A12、電信詐騙的特點不包括下列哪個？A、形式集團化，反偵查能力非常強B、犯罪活動的蔓延性比較大，發展很迅速C、微信D、詐騙手段翻新速度很快正確答案：C13、Burp的Intruder模塊中，哪種模式只使用一個payload，每次替換所有位置？A、SniperB、BatteringramC、PitchforkD、Clusterbomb正確答案：B14、HTTPBASIC認證中，使用了哪一種加密方法A、Base32B、Base64C、Md5D、AES正確答案：B15、會話固定的原理是？A、截取目標登錄憑證B、讓目標誤以為攻擊者是服務器C、預測對方登錄可能用到的憑證D、讓目標使用自己構造好的憑證登錄正確答案：D16、以下哪個語句可以獲取cookie？A、html.cookieB、javacript.cookieC、document.cookieD、inner.cookie正確答案：C17、下列哪一個不屬于信息安全三要素CIA？A、機密性B、可用性C、完整性D、個人電腦安全正確答案：D18、關于存儲型XSS，敘述錯誤的是？A、存儲型XSS又稱作持久型XSSB、此類XSS不需要用戶單擊特定URL就能執行腳本C、惡意腳本是事先被攻擊者上傳至數據庫或服務器中的D、攻擊用戶cookie必須通過存儲型XSS漏洞實現正確答案：D19、alert()函數是用來干什么的？A、重新打開頁面B、打開新頁面C、彈窗D、關閉當前頁面正確答案：C20、防御XSS漏洞的核心思想為（）A、輸入過濾、輸出編碼B、不要點擊未知鏈接C、減少使用數據庫D、禁止用戶輸入正確答案：A二、多選題（共50題，每題1分，共50分）1、使用00截斷進行文件上傳時，上傳未成功可能的原因是（）A、使用POST方式提交%00，但并未轉碼B、使用GET方式提交%00，但重復轉碼C、使用GET方式提交，未刪除httpbody中POST內容D、網頁設置了上傳白名單，在白名單前進行了截斷E、使用GET方法提交，但未修改方法名稱為‘GET’正確答案：ABCD2、以下哪些是繞過IP地址過濾的方法（）A、。B、xip.ioC、@D、進制轉換E、短地址正確答案：ABCDE3、請從以下說法中，選擇正確選項？A、apache日志默認在/etc/httpd/logs/access_log或index.php?page=/var/log/httpd/access_logB、window2003+iis6.0日志文件默認放在C:\WINDOWS\system32\LogfilesC、iis7日志文件默認在%SystemDrive%\inetpub\logs\LogFilesD、iis7配置文件默認目錄C:\Windows\System32\inetsrv\config\applicationHost.config正確答案：ABCD4、Nmap滲透測試工具的主要功能有（）。A、端口掃描B、XSS攻擊C、CSRF攻擊D、漏洞掃描正確答案：AD5、下面哪些應用使用了UDP協議承載？A、SMTPB、DNSC、TFTPD、SNMP正確答案：BCD6、IP地址目前有哪幾種版本?A、IPV5B、IPV4C、IPV6D、IPV8正確答案：BC7、包含日志文件getshell時，如何讓日志文件插入PHP代碼？A、使用burpsuit抓包訪問B、curl訪問不存在的urlC、先getshell,再插入代碼D、以上說法都對正確答案：AB8、上網安全中的兩種公共設備謹慎用，指的是：A、公共WIFIB、計算機安全C、公共手機充電樁D、物聯網（IoT）設備成為薄弱環節正確答案：AC9、文件包含漏洞的危害有哪些？A、執行任意腳本代碼B、控制整臺服務器C、控制網站D、服務器費用增加正確答案：ABC10、以下關于PHP文件包含函數的說法中，正確的是？A、使用require()，只要程序執行，立即調用此函數包含文件，發生錯誤時，會輸出錯誤信息并立即終止程序。B、使用include()，只有代碼執行到此函數時才將文件包含進來，發生錯誤時只警告并繼續執行。C、require_once()功能和require()一樣，區別在于當重復調用同一文件時，程序只調用一次。D、inclue_once()和include()完全一樣正確答案：ABC11、HTTP協議請求中不會存在哪個字段A、Set-cookieB、Last-modifiedC、LocationD、User-Agent正確答案：ABC12、國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行哪些安全保護義務：A、制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任B、采取防范計算機病毒和網絡攻擊網絡侵入等危害網絡安全行為的技術措施C、采取監測記錄網絡運行狀態網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月D、采取數據分類重要數據備份和加密等措施E、向社會發布網絡安全風險預警，發布避免減輕危害的措施F、法律行政法規規定的其他義務正確答案：ABCDF13、KaliLinux滲透系統中的哪些軟件具有密碼破解功能（）。A、WiresharkB、SnifferC、JohnD、Hydra正確答案：CD14、下面那些層未在TCP/IP中定義？A、傳輸層B、網絡C、表示層D、會話層正確答案：CD15、以下方法中可能存在命令執行漏洞的有A、Voidpassthru(string$command[,int&$return_var])B、Stringexec(string$command[,array&$output[,int&$return_var]])C、Stringescapeshellarg(string$arg)D、Stringshell_exec(string$cmd)正確答案：ABD16、Wireshark通過哪個面板展示數據包信息？A、PacketDetailsB、PacketBytesC、捕獲過濾器D、顯示過濾器正確答案：AB17、文件包含漏洞的危害有哪些？A、服務器費用增加B、執行任意腳本代碼C、控制網站D、控制整臺服務器正確答案：BCD18、防止口令暴力破解的配置包括（）。A、登錄失敗鎖定B、口令輸入方式C、口令長度配置D、口令復雜度配置正確答案：ACD19、辦公安全威脅包括下列哪幾個：A、人員弱點B、公用打印機C、攝像頭D、移動存儲設備正確答案：ACD20、信息安全范疇包括下列哪幾個：A、計算機安全B、物聯網（IoT）設備成為薄弱環節C、信息本身的安全D、通信安全正確答案：ACD21、查看/etc/passwd文件內容，發現其中一行信息為“root:x:0:0:root:/root:/bin/bash”，以下哪些說法是正確的？A、該行是root用戶的相關信息B、第2個字段的代表root用戶的密碼為“x”C、該用戶的主目錄為/bin/bashD、該用戶的主目錄為/root正確答案：AD22、apache+Linux日志默認路徑是?A、/etc/httpd/logs/access_logB、/var/log/httpd/access_logC、%SystemDrive%\inetpub\logs\LogFilesD、/usr/local/nginx/logs正確答案：AB23、網絡運營者收集使用個人信息，應當遵循______________的原則，公開收集使用規則，明示收集使用信息的目的方式和范圍，并經被收集者同意。A、必要B、合法C、真實D、正當正確答案：ABD24、下面對TCP協議描述，哪種不正確？A、面向連接B、面向無連接C、可靠的傳輸D、不可靠的傳輸正確答案：BD答案解析：TCP協議是面向連接、可靠的傳輸。25、以下哪幾個特點符合NginxA、良好的并發性B、比Apache更高的穩定性C、低系統資源占用D、高系統資源占用正確答案：ABC26、任何個人和組織應當對其使用網絡的行為負責，不得設立用于（）違法犯罪活動的網站通訊群組，不得利用網絡發布涉及實施詐騙，制作或者銷售違禁物品管制物品以及其他違法犯罪活動的信息。A、制作或者銷售管制物品B、制作或者銷售違禁物品C、實施詐騙D、傳授犯罪方法正確答案：ABCD27、計算機網絡主要實現哪些功能？A、協同工作B、通信C、資源共享D、提高可靠性正確答案：ABCD28、下面關于TCP協議描述，錯誤的是？A、工作在網絡層B、有重傳機制C、有流量控制機制D、斷開需要3次握手正確答案：AD29、Nmap軟件是一款滲透測試常用的開源軟件，它的主要功能有（）。A、漏洞掃描B、端口掃描C、拓撲發現D、主機掃描正確答案：ABCD30、Burpsuite中有以下這些組件A、ProxyB、RepeaterC、TargetD、Scanner正確答案：ABCD31、信息安全常識包含下列哪幾個：A、郵件安全B、物理安全C、密碼安全D、化工安全正確答案：ABC32、關于命令執行漏洞的成因，以下說法正確的是？A、代碼層過濾不嚴格B、調用第三方組件存在代碼執行漏洞C、使用了PHP中的system，exec，shell_exec等函數D、沒有配置防火墻正確答案：ABC33、邏輯漏洞一般出現在哪些地方？A、沒有舊密碼或身份驗證的任意密碼修改B、交易支付金額C、越權訪問D、密碼找回正確答案：ABCD34、下列哪個描述的是防范虛構事實的詐騙：A、接到親人被綁架、受傷住院、被扣留拘禁等電話或短信時，一定要冷靜應對，弄清情況，請及時報警B、切不可貪圖便宜，與市價相差較大的網絡商品，不要相信。C、通過子女所在學校、單位、同學、朋友聯系，進行核實，確認情況的真實性。D、對于好友QQ、微信、手機發送過來涉及到借錢、匯款等信息，一定要電話聯系到本人進行確認正確答案：AC35、選擇關于Cookie正確的選項A、Cookie是同協議、同域名、同端口的B、修改Cookie只能用一個同名Cookie將其覆蓋C、瀏覽器可以將持續時間為負數的Cookie保存為文件D、同父域的兩個子域名可以通過設置共享Cookie正確答案：AD36、邏輯漏洞中，兩種繞過授權驗證方法為?A、水平越權B、交叉越權C、垂直越權D、方向越權正確答案：AC37、根據《網絡安全法》的規定，任何個人和組織（）。A、不得從事非法侵入他人網絡干擾他人網絡正常功能等危害網絡安全的活動B、不得提供專門用于從事侵入網絡干擾網絡正常功能等危害網絡安全活動的程序C、明知他人從事危害網絡安全的活動的，不得為其提供技術支持D、明知他人從事危害網絡安全的活動的，可以為其進行廣告推廣正確答案：ABC38、下列哪個描述是針對防范冒充身份詐騙的：A、不要主動猜測對方是誰B、主動答應對方要求C、確認真偽及對方身份真實性D、確認身份要多問幾個私密問題正確答案：ACD39、上網安全中提到的三種鏈接別亂點，指的是：A、公用打印機B、網上測試類C、來歷不明的二維碼D、手機短信中的鏈接正確答案：BCD40、滲透測試報告一般具有的品質有（）。A、包含漏洞對企業資產的影響B、給出漏洞修補意見C、簡單明了，直擊要害D、通俗易懂正確答案：ABCD41、下列哪幾條屬于防電信詐騙十條中的守則：A、釣魚網站要提防B、手機短信內的鏈接都別點C、閉口不談卡號和密碼D、凡是索要短信驗證碼的全是騙子正確答案：ABC42、關于Linux目錄文件系統的文件夾，以下哪些說法是正確的？A、/var/目錄僅用于存放系統產生的日志文件B、/etc/目錄用于存放系統配置文件C、/tmp/目錄用于存放系統的臨時文件D、/bin/目錄主要存放平時常用的命令正確答案：BCD43、在HTTP響應的MIME消息體中，可以同時包含的數據類型是（）A、圖片數據B、文本數據C、視頻數據D、音頻數據正確答案：ABCD44、php://filter/read=convert.base64-encode/resource=../../../../../etc/passwd假設某PHP頁面存在文件包含漏洞，上述Payload可以獲得哪些信息A、Linux系統中所有的用戶名B、Windows系統中所有的用戶名C、系統中各個用戶的權限以及可執行文件所在目錄D、用戶密碼正確答案：AC45、屬于xss跨站漏洞危害的是（）?。A、釣魚欺騙B、網站掛馬C、身份盜用D、sql數據泄露正確答案：ABC46、郵件安全防護策略包含下列哪幾個：A、監測攻擊B、識別風險C、防護郵件D、響應事件正確答案：ABCD47、以下哪些是常用的XSS繞過編碼（）A、URL編碼B、JS編碼C、HTML實體編碼D、復合編碼正確答案：ABCD48、程序員在防止上傳漏洞時，可以采取哪些措施？A、客戶端檢測B、服務器端驗證C、實名認證D、cookie檢測正確答案：AB49、Wireshark統計工具有何作用？A、對URL信息進行統計，可能發現SQL注入信息B、若數據鏈路層廣播包過多，可能發生的廣播風暴C、對URL信息進行統計，可能發現攻擊者上傳的木馬D、可以發現短時間內的流量增加正確答案：ABCD50、從覆蓋范圍上劃分網絡，有以下哪幾種？A、局域網B、無線網C、廣域網D、城域網正確答案：ACD三、判斷題（共30題，每題1分，共30分）1、社會工程攻擊中常用到人性漏洞進行攻擊，主要是利用了以下幾個心理：喜歡驚喜、畏懼權威、成為“有用”人才、害怕失去、懶惰心理、自尊心、專業知識不全等。A、正確B、錯誤正確答案：A2、部署網站時端口的設置與網頁能否顯示密切相關A、正確B、錯誤正確答案：A3、Nmap是一款開放源代碼的網絡探測和安全審核的工具，它的設計目標是快速地掃描大型網絡，不能用它掃描單個主機。A、正確B、錯誤正確答案：B4、XSS跨站腳本漏洞主要影響的是客戶端瀏覽用戶A、正確B、錯誤正確答案：A5、瀏覽器手動選擇代理后，關閉burp仍然能夠正常上網A、正確B、錯誤正確答案：B6、IPV4地址長度是32位。A、正確B、錯誤正確答案：A7、謹慎授予權限：謹慎授予應用“發送短信”、“讀取短信”、“查看通訊錄”、“讀取定位信息”等權限。A、正確B、錯誤正確答案：A8、IP包頭首部長度為8字節。A、正確B、錯誤正確答案：B9、任何個人和組織有權對危害網絡安全的行為向網信電信公安等部門舉報A、正確B、錯誤正確答案：A10、社會工程攻擊周期的四個階段是：信息收集、建立信任關系、操縱目標、退出。A、正確B、錯誤正確答案：A11、被掃描的主機是不會主動聯系掃描主機的，所以被動掃描只能通過截獲網絡上散落的數據包進行判斷。A、正確B、錯誤正確答案：A12、一個高級用戶可以