PAGEPAGE1信息安全測試員（高級）職業技能鑒定備考試題庫-上（單選題匯總）一、單選題1.關鍵信息基礎設施的安全技術措施部署應遵循：（）A、同步規劃，同步建設，同步使用B、三分技術，七分管理C、意識決定安全D、同步運行答案：A2.關于sql注入說法正確的是A、sql注入攻擊是攻擊者直接對web數據庫的攻擊B、sql注入攻擊除了可以讓攻擊者繞過認證外，危害不大C、加固服務器可能會造成sql注入漏洞D、sql注入攻擊，可以造成整個數據庫全部泄露答案：D3.以下哪項是防范跨站腳本攻擊(XSS)的有效措施？()A、輸入驗證和過濾B、使用HTTPS加密連接C、實施訪問控制機制D、禁用JavaScript答案：A4.sqlinjection、Xpathinjection屬于（）攻擊A、腳本注入B、跨站攻擊C、XSSD、蠕蟲答案：A5.基于TCP/IP協議集的Internet體系結構保證了系統的()。A、可靠性B、安全性C、開放性D、可用性答案：C6.關于Mysql安全，以下做法不正確是A、設置sy1用戶，并賦予mysql庫user表的存取數據B、盡量避免以root權限運行mysqlC、刪除匿名賬號D、安裝完畢后，為root賬號設置口令答案：A7.進行滲透測試的第一個環節是()A、口令破解B、利用TCP/IP協議的攻擊C、源路由選擇D、各種形式的信息收集答案：D8.區分局域網和廣域網的依據是()。A、網絡用戶B、傳輸協議C、聯網設備D、聯網范圍答案：D9.要獲取數據庫中后臺管理員賬密，正確的順序是（）A、數據庫名、表名、字段名、字段內容B、數據庫版本、當前數據庫物理路徑、文件名、字段內容C、數據庫名、字段名、表名、字段內容D、數據庫版本、數據編碼、表名、當前數據庫名答案：A10.非對稱密碼體制中，加密過程和解密過程共使用()個密鑰。A、1B、2C、3D、4答案：B11.SQL注入攻擊可通過何種方式進行防護（）A、購買硬件防火墻，并只開放特定端口B、安裝最新的系統補丁C、將密碼設置為12位的特別復雜密碼D、使用web應用防火墻進行防護。答案：D12.密碼學的目的是()。A、研究數據加密B、研究數據解密C、研究數據保密D、研究信息安全答案：C13.()技術主要是指對計算機及網絡系統的環境、場地、設備和通信線路等采取的安全技術措施。A、物理安全B、應用安全C、網絡安全D、數據安全答案：A14.指導企業按照網絡安全等級保護要求進行網絡系統建設的文件是()A、網絡安全等級保護定級指南B、網絡安全等級保護基本要求C、網絡安全等級保護實施指南D、網絡安全等級保護安全設計技術要求答案：C15.互聯網Internet的最早起源于()。A、IntranetB、ARPAnetC、OSID、WLAN答案：B16.以下哪項不是常用防御CSRF的方法()A、驗證HTTPReferer字段B、token驗證C、HTTP頭自定義屬性D、User-Agent驗證答案：D17.下面不屬于PKI組成部分的是()。A、證書主體B、使用證書的應用和系統C、證書權威機構D、AS答案：D18.下面關于Metasploit說法錯誤的是（）A、Metasploit是一個開源的滲透測試開源軟件B、Metasploit項目是網絡搜索引擎C、可以進行敏感信息搜集、內網拓展等一系列的攻擊測試D、Metasploit最初版本是基于c語言答案：D19.以下哪個是常用webshell管理工具（）A、cunetixWVS8.0B、HydraC、中國蟻劍D、Nmap答案：C20.防御XSS漏洞的核心思想為()A、禁止用戶輸入B、輸入過濾，輸出編碼C、不要點擊未知鏈接D、不使用超鏈接答案：B21.IPv4地址是()位二進制數。A、32B、4C、24D、48答案：A22.以下哪個是PHP反序列化函數A、serialize()B、unserialize()C、unlink()D、addslashes()答案：C23.下列對SQL注入說法正確的是()A、SQL注入可以對web數據庫攻擊B、SQL注入可以通過加固服務器賬號來防御C、不可以獲取數據庫信息D、沒有任何危害答案：A24.nmap的-sV是什么操作（）A、TCP全連接掃描B、FIN掃描C、版本掃描D、全面掃描答案：C25.以下防范措施不能防范SQL注入攻擊的是A、配置IISB、在WEB應用程序中，將管理員賬號鏈接數據庫C、去掉數據庫不需要的函數、存儲過程D、檢查輸入參數答案：B26.就交換技術而言，以太網采用的是()。A、分組交換技術B、電路交換技術C、報文交換技術D、混合交換技術答案：A27.防止網頁用戶訪問時候被冒名所欺騙的方法是A、對信息源進行身份驗證B、進行數據加密C、對訪問網絡流量進行過濾和保護D、采用防火墻答案：A28.BurpSuite是用于攻擊（）的集成平臺A、web應用程序B、客戶端C、服務器D、瀏覽器答案：A29.溢出攻擊的核心是()。A、修改堆棧記錄中進程的返回地址B、利用ShellcodeC、提升用戶進程權限D、捕捉程序漏洞答案：A30.HTTPS是一種安全的HTTP協議，它使用SSL來保證信息安全，使用（）來發送和接受報文A、TCP的443端口B、UDP的443端口C、TCP的80端口D、UDP的80端口答案：A31.數據安全能力成熟度模型共有多少個過程域。A、40個B、20個C、30個D、27個答案：C32.想要知道服務器支持哪些請求方法，需要用到的方法是()A、OPTIONSB、HEADC、PUTD、TRACE答案：A33.很多網站在登錄時都要求用戶輸入以圖片形式顯示的一個字符串，其作用是A、阻止沒有鍵盤的用戶登錄B、欺騙非法用戶C、防止用戶利用程序自動登錄D、限制登錄次數答案：C34.某Web網站向CA申請了數字證書，用戶登錄該網站時候，通過驗證（），可以確認該數字證書的有效性。A、CA簽名B、網站簽名C、會話秘鑰D、ES密碼答案：A35.網絡運營者未要求用戶提供真實身份信息，情節嚴重，做什么處罰？（)A、責令整改B、吊銷營業執照C、罰款5千以下D、不用處罰答案：B36.在Web應用程序滲透測試期間，以下哪個步驟通常是最后一步？()A、漏洞掃描B、滲透測試報告撰寫C、弱密碼檢測D、系統安全審計答案：B37.常見的惡意代碼類型有：特洛伊木馬、蠕蟲、病毒、后門、Rootkit、僵尸程序、廣告軟件。2017年5月爆發的惡意代碼WannaCry勒索軟件屬于()A、特洛伊木馬B、蠕蟲C、后門D、Rootkit答案：B38.張三正在玩游戲，突然彈出一個窗口，提示：特大優惠!1元可購買1000元游戲幣!點擊鏈接后，在此網站輸入銀行卡賬號和密碼，網上支付后發現自己銀行卡里的錢都沒了。結合本實例，對發生問題的原因描述正確的是()?A、游戲充值B、用錢買游戲幣C、受到了釣魚攻擊，透露了自己的銀行卡號、密碼等私密信息導致銀行卡被盜刷D、沒使用網銀進行交易答案：C39.下列哪個工具可以進行Web程序指紋識別（）A、nmapB、OpenVASC、御劍D、whatweb答案：D40.WindowsNT提供的分布式安全環境又被稱為()。A、域(Domain)B、工作組C、對等網D、安全網答案：A41.滲透測試中，黑盒測試和白盒測試的區別是什么()？A、黑盒測試不需要事先了解系統的內部信息B、白盒測試不需要知道系統的外部信息C、黑盒測試需要攻擊者與系統管理員合作D、白盒測試只涉及網絡層面的攻擊答案：A42.有一個網咖，將所有的計算機連接成網絡，這網絡屬于()。A、廣域網B、城域網C、局域網D、吧網答案：C43.惡意代碼是指為達到惡意目的而專門設計的程序或代碼。以下惡意代碼中，屬于腳本病毒的是（）。A、Worm.Sasser.FB、Trojan.Huigezi.aC、Harm.formatC.fD、Script.Redlof答案：D44.《網絡安全法》的立法方針是：（）A、積極利用、科學發展、依法管理、確保安全B、確保個人信息安全C、確保網絡使用者安全D、確保企業信息安全答案：A45.關于社工庫說法正確是?()A、互聯網泄露的信息匯聚成教據庫B、政府部門自愿公開的數據庫C、甲方企業自愿公開的數據庫D、高校自愿公開的數據庫答案：A46.防止用戶被冒名所欺騙的方法是：（）。A、對信息源發方進行身份驗證B、進行數據加密C、對訪問網絡的流量進行過濾和保護D、采用防火墻答案：A47.信息安全領域中的隱寫術指的是A、在一些文件中隱藏額外的信息B、將文件隱藏C、防止數據寫入文件D、一種權限控制技術答案：A48.一個web網站的數據庫中的最小加密單位是（）A、數據庫B、表C、記錄D、字段答案：D49.下列那個屬于微軟的漏洞公告編號（）A、MB17-010B、KB17-010C、MS17-010D、GB17-010答案：C50.以下關于愛國主義與擁護祖國統一具有一致性的正確說法是（）。A、它是對全體中華兒女提出的基本要求B、它主要是對生活在大陸的中國公民的基本要求C、它是對一切生活在中國的人提出的基本要求D、它對海外僑胞不作要求答案：A51.ARP的工作過程中，ARP響應報文是()發送。A、單播B、多播C、廣播D、任播答案：A52.下面有關無線局域網描述中錯誤的是()。A、無線局域網是依靠無線電波進行傳輸的B、建筑物無法阻擋無線電波，對無線局域網通訊沒有影響C、家用的無線局域網設備常用無線路由器D、家庭無線局域網最好設置訪問密碼答案：B53.過濾SQL注入可以使用的函數A、ddslashesB、htmlspecialcharsC、strip_tagsD、trim答案：A54.假如你在網上買完機票，卻收到航班延誤的電話通知，需要在某鏈接上重新購買機票，你會怎么做()A、對方能清楚知道我的信息，可以相信B、航班延誤很正常，去鏈接購買新機票C、剛買完就通知我了，肯定是客服，點開鏈接輸入賬號密碼看看新機票D、不相信，并去核實自己的航班情況答案：D55.家庭網絡一般選擇()設備進行網絡交換通信。A、交換機B、集線器C、路由器D、電話答案：C56.在滲透測試時，哪個漏洞不可以直接獲取webshellA、SQL注入B、信息泄露C、文件上傳D、文件包含答案：B57.人為的安全威脅包括主動攻擊和被動攻擊，以下屬于主動攻擊的是A、對目標站點進行后門攻擊B、對目標站點進行流量分析C、對目標站點進行信息竊取D、對目標站點進行數據窺探答案：A58.完成路徑選擇功能是在OSI模型的()。A、物理層B、數據鏈路層C、網絡層D、傳輸層答案：C59.在web網站已經被滲透的情況下，黑客發現該后臺操作系統是Linux，那么可以用什么命令去切換目錄A、whoB、psC、topD、cd答案：D60.通常黑客掃描目標機的445端口是為了A、利用NETBIOSSMB服務發起DOS攻擊B、發現并獲得目標機上的文件及打印機共享C、利用SMB服務確認windows系統版本D、利用NETBIOS服務確認windows系統版本答案：B61.下列說法中，錯誤的是（）。A、數據被非授權地增刪、修改或破壞都屬于破壞數據的完整性B、抵賴是一種來自黑客的攻擊C、非授權訪問是指某一資源被某個非授權的人，或以非授權的方式使用D、重放攻擊是指出于非法目的，將所截獲的某次合法的通信數據進行拷貝而重新發送答案：B62.對個人和組織發送的電子信息，提供的軟件說法不正確是（）A、不得設置惡意惡意程序B、不得含有法律禁止發布的信息C、有害信息，運營者應當阻止，防止擴散D、發布的程序，可以隨時停止其服務答案：D63.下面協議中，用于網頁傳輸的協議是()。A、HTTPB、URLC、SMTPD、HTML答案：A64.當訪問web網站某個頁面資源不存在時，將會出現HTTP的狀態碼是A、200B、302C、401D、404答案：D65.一座大樓內的一個計算機網絡系統，屬于()。A、PANB、LANC、MAND、WAN答案：B66.A和B建立了TCP連接，當A收到確認號為100的確認報文段時，表示()。A、報文段99已收到B、報文段100已收到C、末字節序號為99的報文段已收到D、末字節序號為100的報文段已收到答案：A67.（）負責組織及時宣傳落實黨和國家有關網絡信息安全的政策、法規，提高員工的網絡安全意識。A、線網管控中心B、黨群C、監察審計部D、安全監察部答案：B68.不屬于SQL注入漏洞造成的危害的是()A、脫庫B、脅持會話C、獲取服務器系統權限D、修改數據庫內容或者插入內容到數據庫答案：B69.計算機刑事案件可由（）受理。A、案發地市級公安機關公共信息網絡安全監察部門B、案發地市級公安機關治安部門C、案發地當地縣級(區、市)公安機關公共信息網絡安全監察部門D、案發地當地公安派出所答案：A70.文件上傳漏洞成因不包括（）A、服務器配置不當B、開放了文件上傳功能,并進行了限制C、系統特性、驗證或者過濾不嚴格D、web用戶對目標目錄有可寫權限甚至執行權限答案：B71.馬克思指出：“真正的愛情是表現在戀人對他的偶像采取含蓄、謙恭甚至羞澀的態度，而絕不是表現在隨意流露熱情和過早的親昵。”他的意思是說，在戀愛過程中雙方應（）。A、平等履行道德義務B、把個人縱欲作為愛情的目的C、有高尚的情趣和健康的交往方式D、追求脫離現實生活的“純精神”關系答案：C72.查詢數據庫中后臺管理員的賬戶名密碼，正確的順序是()。A、數據庫名、表名、字段名、字段內容B、數據庫版本、當前數據庫物理路徑、文件名、字段內容C、數據庫名、字段名、表名、字段內容D、數據庫版本、數據編碼、表名、當前數據庫名答案：A73.linux系統中/etc/rc5.d的文件夾的作用是()。A、單用戶模式下的開機啟動腳本B、完全命令行模式下的開機啟動腳本C、圖形模式下的啟動腳本D、所有模式下的啟動腳本答案：C74.信息安全領域內最關鍵和最薄弱的環節是()。A、技術B、策略C、管理制度D、人答案：D75.網絡運營者違反本法第47條規定，對法律、行政法規禁止發布或者傳輸的信息未停止傳輸、采取消除等處置措施、保存有關記錄的，情節嚴重，哪些處罰不對？（）A、停業整頓B、關閉網站、吊銷相關業務許可證C、處十萬元以上五十萬元以下罰款D、處十萬元以下罰款答案：D76.依據網絡安全等級保護要求進行建設的主要依據是()A、網絡安全等級保護定級指南B、網絡安全等級保護基本要求C、網絡安全等級保護測評要求D、網絡安全等級保護安全設計技術要求答案：B77.全國人民代表大會及其常委會制定的規范性法律文件叫（）。A、憲法B、法律C、行政法規D、自治法規答案：B78.網絡協議的三要素是語義、語法和()。A、時間B、時序C、保密D、報頭答案：B79.因網絡安全事件，發生（）或者生產安全事故的，應當依照《中華人民共和國突發事件應對法》、《中華人民共和國安全生產法》等有關法律、行政法規的規定處置。A、突發B、事件C、突發事件D、時間答案：C80.SQLMap是一款經典的滲透測試工具，它主要用于()A、XSS探測B、SQL注入C、口令爆力破解D、越權操作答案：B81.DES算法分組長度和密鑰長度分別是（）。A、64位和72位B、72位和64位C、64位和56位D、56位和64位答案：C82.滲透測試的目的是什么()？A、破壞系統和數據B、評估系統的安全性C、監視網絡流量D、提高系統性能答案：B83.當感覺操作系統運行速度明顯減慢，最有可能收到()攻擊。A、特洛伊木馬B、拒絕服務C、欺騙D、中間人攻擊答案：B84.我國自古就有“君子成人之美”、“為善最樂”、“博施濟眾”等廣為流傳的格言，把幫助別人視為自己應做之事，看作自己的快樂。這是社會公德中（）。A、保護環境的要求B、遵紀守法的要求C、愛護公物的要求D、助人為樂的要求答案：D85.ApacheHttpd是一個用于搭建Web服務器的開源軟件。ApacheHttpd配置文件中，負責基本讀取文件控制的是（）。A、httpd.confB、srm.confC、access.confD、mime.conf答案：C86.國家標準GB/Z20986—2007《信息安全技術信息安全事件分類分級指南》將信息安全事件分為（）級。A、5級B、4級C、3級D、2級答案：B87.密碼爆破是什么意思A、忘記密碼，需要使用手機號或郵箱重置B、將目標服務器上的密碼摧毀，留下空密碼C、BOOMD、使用海量的密碼字典去一個個試，找到正確的密碼答案：D88.根據《網絡安全法》的規定，（）負責統籌協調網絡安全工作和相關監督管理工作A、信息部B、中國聯通C、中國電信D、國家網信部門答案：D89.網絡安全等級保護測評的目的是()。A、測評等保對象是否實施了安全措施B、測評等保對象是否按照等級保護基本要求進行了建設C、測評等保對象是否按照相應等級的基本要求進行了安全管理和安全運維D、測評等保對象是否按照等級保護基本要求進行安全檢測答案：C90.為了防御網絡監聽，最常用的方法是（）。A、采用物理傳輸（非網絡）B、信息加密C、無線網D、使用專線傳輸答案：B91.以下對跨站腳本攻擊(XSS)的解釋最準確的一項是A、引誘用戶點擊虛假網絡鏈接的一種攻擊方法B、構造精妙關系數據庫的結構化查詢語言對數據庫進行非法訪問C、一種強大的木馬攻擊手段D、將惡意代碼嵌入到用戶瀏覽的WEB網頁中，從而達到惡意的目的答案：D92.下列關于密碼技術的說法中，錯誤的是()A、密碼學包括密碼編碼學和密碼分析學兩門學科B、對稱密鑰密碼體制也稱為單密鑰密碼體制或傳統密碼體制，基本特征是發送方和接收方共享相同的密鑰，即加密密鑰與解密密鑰相同C、密碼體制的安全既依賴于對密鑰的保密，又依賴于對算法的保密D、對稱加密不易實現數字簽名，限制了它的應用范圍答案：C93.用ipconfig命令查看計算機當前的網絡配置信息等，如需釋放計算機當前獲得的IP地址，則需要使用的命令是（）。A、ipconfigB、ipconfig/allC、ipconfig/renewD、ipconfig/release答案：D94.滲透測試的三大階段是什么？()A、偵查、攻擊、入侵B、掃描、利用、控制C、預備、實施、評估D、信息收集、漏洞分析、漏洞利用答案：D95.steghide工具可以用來（）A、壓縮文件B、將隱藏文件顯示出來C、強行往文件里面寫入數據D、獲取root權限的工具答案：B96.以下哪個不是msf的模塊？（）A、攻擊載荷模塊B、空指令模塊C、譯碼模塊D、后滲透攻擊模塊答案：C97.重大安全事件確認至上報不得超過（）分鐘。A、5B、10C、20D、30答案：C98.Windows操作系統中，使用（）工具可以看到進程運行的選項。A、任務管理器B、注冊表C、tasklist命令D、wmicprocess命令答案：D99.效率最高、最保險的殺毒方式是()。A、手動殺毒B、自動殺毒C、殺毒軟件D、磁盤格式化答案：D100.滲透測試中，以下哪個術語用于描述通過惡意軟件感染目標系統，并在后臺操控它？()A、僵尸網絡B、反向連接C、緩沖區溢出攻擊D、XSS攻擊答案：A101.要完成CSRF攻擊，不需要具備以下哪個條件()A、被攻擊用戶處于登錄狀態B、網站存在用戶輸入框C、網站對用戶敏感操作沒有二次校驗D、惡意地址站點用戶可達答案：B102.常用的抓包軟件有A、snifferB、MSofficeC、fluxayD、netscan答案：A103.黑客在程序中設置了后門，這體現了黑客的（）目的。A、非法獲取系統的訪問權限B、竊取信息C、篡改數據D、利用有關資源答案：A104.在GoogleHacking中，下面哪一個是搜索指定文件類型的語句（）A、intextB、intitleC、siteD、filetype答案：D105.下面關于網站與網頁的說法錯誤的是()。A、網站經常是由多個網頁組成的B、網頁就是網站，網站也就是網頁C、網站中的網頁通常存在跳轉關系D、通過瀏覽器訪問網站，瀏覽的是網頁答案：B106.在階級社會中，法律體現的是（）整體意志。A、全民B、統治階級C、黨D、全社會答案：B107.以下哪一項是滲透測試的主要目的?()A、評估B、糾正C、檢測D、防護答案：A108.進入新時代，我國面臨復雜多變的安全和發展環境，各種可以預見和難以預見的風險因素明顯增多，維護國家安全的任務更加繁重艱巨。在這種情況下，我們必須堅持的國家安全觀是（）。A、新型國家安全觀B、傳統國家安全觀C、總體國家安全觀D、現代國家安全觀答案：C109.下列行為不屬于網絡攻擊的是A、連續不停的ping某臺主機B、發送帶病毒和木馬的電子郵件C、向多個郵箱群發一封電子郵件D、暴力破解服務器密碼答案：C110.如果未經授權的實體得到了數據的訪問權，這屬于破壞了信息的（）。A、可用性B、完整性C、機密性D、可控性答案：C111.以下哪個步驟通常在漏洞利用之前進行？()A、滲透測試報告撰寫B、密碼破解C、操作系統指紋識別D、端口掃描答案：D112.信息安全應急響應，是指一個組織為了應對各種安全意外事件的發生所采取的防范措施，既包括預防性措施，也包括事件發生后的應對措施。應急響應方法和過程并不是唯一的，通常應急響應管理過程為()。A、準備、檢測、遏制、根除、恢復和跟蹤總結B、準備、檢測、遏制、根除、跟蹤總結和恢復C、準備、檢測、遏制、跟蹤總結、恢復和根除D、準備、檢測、遏制、恢復、跟蹤總結和根除答案：A113.網絡竊聽（sniffer）可以捕獲網絡中流過的敏感信息，下列說法錯誤的是A、密碼加密后，不會被竊聽B、cookie字段可以被竊聽C、報文和幀可以竊聽D、高級竊聽者還可以進行arpspoof中間人攻擊答案：A114.最早研究計算機網絡的目的是()。A、直接的個人通信B、共享硬盤空間、打印機等設備C、共享計算資源D、大量的數據交換答案：C115.下列哪些不屬于惡意代碼()A、病毒B、后門C、邏輯炸彈D、爬蟲答案：D116.等級保護的核心思想是()A、對保護對象按等級劃分，按標準進行建設、管理和監督B、按最高標準劃分等級，從嚴要求C、按最低標準劃分等級，降低成本D、依法定級，依法建設答案：A117.安裝補丁和升級屬于（）。A、物理根除B、單機根除C、網絡根除答案：B118.網絡運營是指什么？（）A、網絡的管理者B、網絡的所有者C、網絡的服務者D、以上都對答案：D119.使網絡服務器中充斥著大量要求回復的信息，消耗帶寬，導致網絡或系統停止正常服務，這屬于（）攻擊類型。A、拒絕服務B、文件共享C、BIND漏洞D、遠程過程調用答案：A120.你是單位安全主管，由于微軟剛發布了數個系統漏洞補丁，安全運維人員給出了針對此漏洞修補的四個建議方案，請選擇其中一個最優先方案執行()。A、由于本次發布的漏洞目前尚未出現利用工具，因此不會對系統產生實質性危害B、本次發布的漏洞目前尚未出現利用工具，因此不會對系統產生實質性危害，所以可以先不做處理C、對于服務器等重要設備，立即使用系統更新功能安裝這批補丁，用戶終端計算機由于沒有重要數據，由終端自行升級D、對于重要的服務，應在測試環境中安裝并確認補丁兼容性問題后再正式生產環境中部署答案：D121.以下哪個不屬于等級保護實施過程中涉及的角色()A、用戶B、主管部門C、運營、使用單位D、網絡安全服務機構答案：A122.以下哪種符號在SQL注入攻擊中經常用到？A、$B、1C、D、；答案：D123.任何個人和組織有權對危害網絡安全的行為向網信、電信、（）等部門舉報。收到舉報的部門應當及時依法作出處理；不屬于本部門職責的，應當及時移送有權處理的部門。A、紀檢B、財政C、公安D、法院答案：C124.IDS是？A、入侵檢測系統B、入侵防御系統C、網絡審計系統D、主機掃描系統答案：A125.把一句話木馬如xx.asp;.jpg上傳到服務器后，如果沒有回顯文件路徑，不屬于尋找方法的是（）A、在上傳完后可以通過右鍵復制圖片地址B、通過抓包工具進行抓包，看看有沒有暴露上傳路徑C、根據經驗，嘗試進行猜測（在后臺沒有重命名情況下)D、對目標網站進行端口掃描答案：C126.在幾千年歷史長河中，中國人民始終革故鼎新、自強不息，開發和建設了祖國遼闊秀麗的大好河山，開拓了波濤萬頃的遼闊海疆，開墾了物產豐富的廣袤糧田，治理了桀驁不馴的千百條大江大河，戰勝了數不清的自然災害，建設了星羅棋布的城鎮鄉村，發展了門類齊全的產業，形成了多姿多彩的生活。今天，中國人民擁有的一切，凝聚著中國人的聰明才智，浸透著中國人的辛勤汗水，蘊涵著中國人的巨大犧牲。這些都集中體現了中華民族精神中的（）。A、偉大創造精神B、偉大團結精神C、偉大奮斗精神D、偉大夢想精神答案：C127.哪種處理文件上傳的方式較為安全()。A、JavaScript限制上傳類型B、服務端限制content-type文件類型C、文件頭驗證文件類型D、后綴名白名驗證和隨機文件名稱答案：D128.查看端口的命令是()。A、netstatB、pingC、routeD、tracert答案：A129.滲透測試中，以下哪個術語用于描述在攻擊過程中隱藏跟蹤和覆蓋痕跡？A、反向連接B、隱蔽傳輸協議C、滲透攻擊D、MZ（DemilitarizedZone）答案：B130.HTTP協議中Allow字段主要作用是A、通知客戶端能夠支持協議的版本B、通知服務器能夠支持協議的版本C、通知客戶端能夠支持哪些方法D、通知服務器能夠支持哪些方法答案：D131.用戶收到了一封可以的電子郵件，要求用戶提供銀行賬戶和密碼，這屬于何種攻擊手段A、緩存溢出攻擊B、釣魚攻擊C、暗門攻擊D、dos攻擊答案：B132.數據完整性指的是（）。A、保護網絡中各系統之間交換的數據，防止因數據被截獲而造成泄密B、提供連接實體身份的鑒別C、防止非法實體對用戶的主動攻擊，保證數據接受方收到的信息與發送方發送的信息完全一致D、確保數據數據是由合法實體發出的答案：C133.《網絡安全法》提到網絡安全保障體系和網絡安全標準體系，它們之間的關系是（）？A、并列關系B、網絡安全標準體系是網絡安全保障體系的組成部分C、網絡安全保障體系是網絡安全標準體系的組成部分D、沒關系答案：B134.下列（）不屬于滲透測試的分類A、白盒測試B、黑盒測試C、灰盒測試D、模糊測試答案：D135.如果一臺集線器與6臺計算機相連，該集線器包括多少個沖突域和廣播域()。A、6個廣播域和1個沖突域B、6個廣播域和6個沖突域C、1個廣播域和6個沖突域D、1個廣播域和1個沖突域答案：D136.電子郵件地址的一般格式為()。A、IP地址域名B、用戶名域名C、用戶名D、用戶名IP地址答案：B137.SQLmap中–tables命令實現的效果是（）A、列出所有數據庫名字B、列出所有字段名字C、列出所有表的名字D、列出指定數據庫指定表中的所有字段的名字答案：C138.以下不是局域網特點的是()。A、局域網有一定的地理范圍B、局域網經常為一個單位所有C、局域網內通信速度和廣域網一致D、局域網內更方便共享網絡資源答案：C139.網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄，并推動安全認證和安全（），避免重復認證、檢測。A、機制B、檢測C、結果D、檢測結果互認答案：D140.《網絡安全法》適用于哪些網絡活動：（）A、網絡建設B、網絡運營，網絡維護C、網絡使用D、以上三個都是答案：D141.PKI的主要組成不包括()。A、證書授權CAB、SSLC、注冊授權RAD、證書存儲庫CR答案：B142.20世紀80年代以來，以信息技術為核心的新技術革命有力推動了經濟全球化的快速發展，人類社會越來越成為你中有我、我中有你的命運共同體。中國抓住了這個難得機遇，通過對外開放，主動參與經濟全球化，綜合國力上了一個大臺階。隨著中國特色社會主義進入新時代，中國日益走近世界舞臺中央。在這種情況下弘揚愛國主義精神，必須做到的是（）。A、全面復興中國傳統文化B、重新評價中國近現代史C、堅持立足民族又面向世界D、推動世界經濟、政治、文化一體化答案：C143.下面那項不屬于個人信息？（）A、出生日期B、家庭住址C、個人就診信息D、公司名字答案：D144.ARP報文封裝在()中傳送。A、IP數據報B、UDP報文C、PPP報文D、以太網幀答案：D145.對企業網絡最大的威脅是()。A、黑客攻擊B、外國政府C、競爭對手D、內部員工的惡意攻擊答案：D146.注冊或者瀏覽社交類網站時，不恰當的做法是()?A、盡量不要填寫過于詳細的個人資料B、不要輕易加好友C、充分利用社交網站的安全機制D、充分信任他人答案：D147.防火墻作為一種被廣泛使用的網絡安全防御技術，其自身有一些限制,它不能阻止（）。A、內部威脅和病毒威脅B、外部攻擊C、外部攻擊、外部威脅和病毒威脅D、外部攻擊和外部威脅答案：A148.以下用于在網絡應用層和傳輸層之間提供加密方案的協議是A、PGPB、SSLC、IPSecD、ES答案：B149.以下BurpSuite模塊中，（）模塊最適合用于對網站登錄憑證實施暴力破解。A、ProxyB、RepeaterC、IntruderD、Sequencer答案：C150.計算機病毒的特性不包括()。A、傳染性B、隱蔽性C、破壞性D、自生性答案：D151.TCP和UDP屬于()協議。A、網絡層B、數據鏈路層C、傳輸層D、以上都不是答案：C152.在()屬性對話框中，可以設置幾次無效登錄后就鎖定賬戶。A、賬戶鎖定閾值B、密碼策略C、賬戶鎖定時間D、復位賬戶鎖定計數器答案：A153.在WAF產品中，通常不包括下列()類。A、云WAFB、嵌入式WAFC、軟件WAF類D、硬件WAF類答案：B154.安全工作組須為各部門的網絡安全事件應急工作提供必要的（）保障。A、通信B、人員C、經費D、設備答案：C155.以下關于NAT說法中，錯誤的是A、NAT主要有兩種類型B、NAT路由器至少有一個有效的外部全球地址C、動態NAT的地址池中有多個全球地址用來對內部地址進行映射，但不固定綁定D、端口地址轉換PAT中一個外網地址可以和多個內網地址進行映射，同時在該地址上加上一個由NAT設備指定的TCP/UDP的端口號來進行區分答案：A156.關于黑客的SQL注入攻擊說法錯誤的是A、它的主要原因是程序對用戶輸入缺乏過濾B、一般情況下防火墻對它無法防范C、對它進行防范時要關注操作系統的版本和安全補丁D、注入成功后可以獲取部分權限答案：C157.近期，互聯網上發現一個新的且在互聯網上快速傳播的DDoS僵尸網絡Fodcha，已監測到這種惡意軟件每天有超過100人成為DDoS攻擊的目標。DDoS攻擊一般破壞目標的()。A、可靠性B、可用性C、完整性D、機密性答案：B158.網絡安全等級保護中，通常需要準備一些備品、備件，其主要目的是確保等保對象的()。A、保密性B、完整性C、可用性D、可審計性答案：C159.實施網絡安全等級保護制度的法律依據是()A、網絡安全法B、數據安全法C、個人信息保護法D、國家安全法答案：A160.網絡系統中針對海量數據的加密，通常不采用（）方式A、會話加密B、公鑰加密C、鏈路加密D、端對端加密答案：B161.以下哪一項屬于國家強制性技術規范()A、《信息安全技術網絡安全等級保護基本要求》B、《計算機信息系統安全保護等級劃分準則》C、《信息安全技術網絡安全等級保護定級指南》D、《信息安全技術網絡安全等級保護安全設計技術要求》答案：B162.什么是HTML?()A、HTML指的是超文本標記語言：HyperTextMarkupLanguageB、HTML是一種編程語言C、HTML使用頭部標簽來描述網頁答案：A163.數據生命周期分為幾個階段。A、6個B、5個C、4個D、3個答案：A164.宏病毒可以感染()。A、可執行文件B、引導扇區/分區表C、Word/Excel文檔D、數據庫文件答案：C165.SQL注入出password的字段值為“YWRtaW44ODg=”，這是采用了哪種加密方式（）A、MD5B、ASE64C、AESD、ES答案：B166.無線WIFI()加密方式密碼可被輕易破解?A、WEBB、MD5C、WPA/AESD、WEP答案：D167.在特定區域對網絡通信采取限制等臨時措施須經：（）A、網信辦批準B、公安部決定C、國務院決定或批準D、工信部決定答案：C168.密碼分析學是研究密碼破譯的科學，在密碼分析過程中，破譯密文的關鍵是（）。A、截獲密文B、截獲密文并獲得密鑰C、截獲密文，了解加密算法和解密算法D、截獲密文，獲得密鑰并了解解密算法答案：D169.TCP/IP協議棧中的IP協議對應到OSI七層網絡模型的()。A、物理層B、數據鏈路層C、網絡層D、會話層答案：C170.Mysq數據庫的默認端口號是（）A、3306B、1433C、53D、22答案：A171.信息的表現形式多樣化，包括音訊、語言、文字、圖表、符號等，這主要體現了信息的A、共享性B、時效性C、可轉換性D、依附性答案：C172.使用nmap進行ping掃描時使用的參數（）A、-sPB、-pC、-p0D、-A答案：A173.“四個自信”中更基礎、更廣泛、更深厚的自信是（）。A、道路自信B、理論自信C、制度自信D、文化自信答案：D174.某網站有專人負責定期刷新該網站的信息內容，利用數據挖掘和分析技術刪除無效信息，這是為了保持信息的().A、可傳遞性B、共享性C、可轉換性D、時效性答案：D175.利用什么技術可以解決商家只能看到購買信息，但是不能看到支付信息，而銀行只能看到支付信息，不能看到購買信息的問題。（）A、數字信封B、多密鑰對C、雙重簽名D、公共密鑰答案：C176.以下關于WebShell描述錯誤的是?A、WebShell是一張網頁B、WebShell又被成為網頁后門C、利用上傳的WebShell必須使用WebShell管理工具才行進行任意代碼或命令執行D、WebShell通常由asp、aspx、php、jsp等Web應用程序語言進行開發答案：C177.下列哪個工具不能用于信息搜集（）A、sqlmapB、digC、nmapD、arp-scan答案：A178.以下關于中華民族精神說法錯誤的是（）。A、它的核心是愛國主義B、它的核心是為人民服務C、它是時代精神的依托，時代精神則是它的現實體現D、它的基本內涵是團結統一，愛好和平，勤勞勇敢與自強不息答案：B179.滲透測試中，以下哪項不是滲透測試報告中常見的內容？()A、發現的漏洞描述B、漏洞的影響程度C、滲透測試工具的使用方法D、建議的修復措施答案：C180.WEB欺騙不易被察覺，而又具有較大的危險性，長期保護的方法有A、禁止瀏覽器中的JavaScript功能B、確保瀏覽器的鏈接狀態可見C、時刻關注點擊的URL鏈接在瀏覽器狀態行的正確提示D、改變瀏覽器，使之具有反映真實URL信息的功能答案：D181.滲透測試過程中存在的最大安全風險在于()A、透測試方法陳舊B、測試過程技術實力不過關C、測試試過程產生泄漏D、測試過程對業務產生影響答案：D182.下面哪個不屬于大型網站系統的特點()A、高并發、大流量B、高可用C、海量數據D、用戶分布窄，網絡復雜答案：D183.國家（）部門負責統籌協調網絡安全工作和相關監督管理工作。A、公安部門B、網信部門C、工業和信息化部門D、通訊管理部門答案：B184.共產黨人的最高理想就是在全世界實現共產主義的社會制度。下列選項中，符合馬克思、恩格斯預想的共產主義社會基本特征的是（）。A、享樂成為人們生活的第一需要B、消費資料實行“各盡所能，按勞分配”C、生產力高度發展、物質財富極大豐富D、階級和階級斗爭仍在一定范圍內存在答案：C185.用戶登錄需提供()，以防止固定密碼暴力猜測賬號A、圖片驗證碼B、口令C、證書D、秘鑰答案：A186.等級保護總共分為()個等級A、2級B、3級C、4級D、5級答案：D187.在常用的傳輸媒體中，帶寬最寬、信號傳輸衰減最小、抗干擾能力最強的是()。A、雙絞線B、無線信道C、同軸電纜D、光纖答案：D188.對局域網來說，網絡控制的核心是()。A、工作站B、網卡C、網絡服務器D、網絡互連設備答案：C189.按照《網絡安全法》規定，屬于網絡安全服務機構的有：（）A、微軟B、騰訊C、安全測評機構D、阿里云答案：C190.對發生計算機安全事故和案件的計算機信息系統，如存在安全隱患的，（）應當要求限期整改A、人民法院B、公安機關C、發案單位的主管部門D、以上都可以答案：B191.關于OSPF協議的描述，錯誤的是()。A、對于規模很大的網絡，OSPF通過劃分區域不能提高路由更新收斂速度B、每一個區域OSPF擁有一個32位的區域標識符C、在一個OSPF區域內部的路由器不知道其他區域的網絡拓撲D、在一個區域內的路由器數一般不超過200個答案：A192.網絡運營者應當對收集用戶信息建立什么制度（）A、身份真實性驗證制度B、用戶信息保護制度C、信息匿名化處理制度D、違法信息審查制度答案：B193.計算機網絡中防火墻，在內網和外網之間構建一道保護屏障。以下關于一般防火墻說法錯誤的是（）。A、過濾進、出網絡的數據B、管理進、出網絡的訪問行為C、能有效記錄因特網上的活動D、對網絡攻擊檢測和告警答案：C194.（）是防御方為了改變網絡攻防博弈不對稱局面而引入的一種主動防御技術，本質上是一種沒有任何產品價值的安全資源，其價值體現在被探測、攻擊或者攻陷的時候。A、應急響應策略B、入侵檢測技術C、漏洞檢測技術D、蜜罐技術答案：D195.php://filter/read=convert.base64-encode/resource=./././././etc/passwd，PHP頁面存在文件包含漏洞，上述Payload可以獲得哪些信息A、Linux系統中所有的用戶名B、Windows系統中所有的用戶名C、系統中用戶組信息D、用戶密碼答案：A196.風險處理的衡量標準是()。A、風險減小了B、風險減小到零了C、風險被控制了D、風險被減小到可接受的程度了答案：D197.信息與網絡安全應急處置工作原則是（）。A、統一領導B、分級負責C、協同作戰D、以上都是答案：D198.網頁文件實際上是一種()。A、聲音文件B、圖形文件C、圖像文件D、文本文件答案：D199.被譽為“瑞士軍刀”的工具是（）A、nmapB、SQLMAPC、netcatD、BurpSuite答案：C200.以下()不是殺毒軟件。A、瑞星B、WordC、NortonAntivirusD、金山毒霸答案：B201.下列（）協議采用TCP協議的80號端口。A、HTTPB、TFTPC、RIPD、FTP答案：A202.有一種攻擊是不斷對網絡服務系統進行干擾，改變其正常的作業流程，執行無關程序使系統響應減慢甚至癱瘓。這種攻擊叫做（）。A、重放攻擊B、拒絕服務攻擊C、反射攻擊D、服務攻擊答案：B203.網絡信息安全就是要防止非法攻擊和病毒的傳播，保障電子信息的有效性，從具體的意義上來理解，需要保證以下()。A、保密性、完整性、可用性B、保密性、完整性、可控性C、完整性、可用性、可控性D、保密性、完整性、可用性、可控性、不可否認性答案：D204.目前Metasploit最強大和最具吸引力的核心功能是（）A、威脅建模B、情報搜集C、滲透攻擊D、漏洞分析答案：C205.為保證計算機網絡系統的正常運行，對機房內的三度有明確的要求，其三度是指()。A、溫度、濕度和潔凈度B、照明度、濕度和潔凈度C、照明度、溫度和濕度D、溫度、照明度和潔凈度答案：A206.在訪問WEB站點時候，為了防止第三方截包偷看傳輸內容，可以采取的行動為A、將整個internet劃分成Internet、intranet、可信、受限等不同區域B、在主機瀏覽器中加載自己的證書C、瀏覽站點前索要web站點的證書D、通信中使用SSL技術答案：D207.國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定，在各自職責范圍內負責（）和監督管理工作。A、網絡安全B、設備安全C、信息安全D、網絡安全保護答案：D208.以下哪種方法不屬于僵尸網絡傳播過程中的手段？（）A、主動攻擊漏洞B、電子郵件轟炸C、即時通信軟件D、惡意網站腳本答案：B209.計算機網絡中，所有的計算機都連接到一個中心節點上，一個網絡節點需要傳輸數據，首先傳輸到中心節點上，然后由中心節點轉發到目的節點，這種結構被稱為()。A、總線結構B、環型結構C、星型結構D、網狀結構答案：C210.用戶A通過計算機網絡給用戶B發送消息，稱其同意簽訂協議。隨后，A又表示反悔，不承認發過該消息。為了避免這種情況的發生，應在網絡通信中采用()。A、防火墻技術B、消息認證技術C、數據加密技術D、數字簽名技術答案：D211.1949年，（）發表了題為《保密系統的通信理論》一文，為密碼技術的研究奠定了理論基礎，由此密碼學成了一門科學。A、ShannonB、DiffieC、HellmanD、Shamir答案：A212.已定級備案的系統關鍵數據的保密性、完整性、可用性遭到破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價巨大，運營公司可承受的事件屬于（）事件。A、一級B、二級C、三級D、四級答案：B213.以下哪種技術可用于防范跨站請求偽造攻擊？()A、使用輸入驗證和輸出編碼B、強制訪問控制C、實施反射型XSS過濾D、實施CSRF令牌驗證答案：D214.()不是數字證書的內容。A、公開密鑰B、數字簽名C、證書發行機構的名稱D、私有密鑰答案：D215.PHPCGI遠程代碼執行漏洞使用哪個參數來執行任意代碼()A、-s顯示文件源碼B、-d指定配置項C、-b啟動fastCGI進程D、=-c指定php.ini文件的位置答案：B216.網絡安全等級保護基本要求中的技術要求不包括下列()項。A、安全建設管理B、安全通信網絡C、安全計算環境D、安全管理中心答案：A217.完整的滲透流程為：信息收集、漏洞掃描、()、獲取webshell、權限提升、維持權限等。A、漏洞驗證B、內網滲透C、DD0SD、緩沖區溢出答案：A218.DDoS攻擊破壞了()。A、可用性B、保密性C、完整性D、真實性答案：A219.根據前述安全掃描技術的分類，現在流行的漏洞掃描工具，根據其場合分為兩大類：基于網絡的漏洞掃描器和基于主機的漏洞掃描器，基于主機的漏洞掃描器不具有如下哪個優點A、掃描的漏洞數量多B、價格便宜C、集中化管理D、網絡流量負載小答案：B220.網絡安全等級保護的核心工作是()。A、對網絡信息系統劃分等級，按照相應等級進行安全設計B、對網絡信息系統的保護能力劃分等級C、對網絡信息系統按照相應等級的基本要求實施安全建設和安全運維D、對網絡信息系統按照時間間隔要求實施測評答案：C221.口令破解的最好方法是（）。A、暴力破解B、組合破解C、字典攻擊D、生日攻擊答案：B222.PDR模型與訪問控制的主要區別()。A、PDR把安全對象看作一個整體B、PDR作為系統保護的第一道防線C、PDR采用定性評估與定量評估相結合D、PDR的關鍵因素是人答案：A223.網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構（）或者安全檢測符合要求后，方可銷售或者提供。A、認證設備合格B、安全認證合格C、認證網速合格D、認證產品合格答案：B224.下列哪個不是Meterpreter的技術優勢（）A、純內存工作模式B、平臺通用性C、明文傳輸D、易于擴展答案：C225.根據《網絡安全法》的規定，國家實行網絡安全（）保護制度A、結構B、行政級別C、分層D、等級答案：D226.使用SQLmap對網站的數據庫進行SQL注入時帶上-columns命令實現的效果時()A、列出所有表的名稱B、列出所有數據庫的名稱C、列出指定數據庫指定表中的所有字段的名稱D、列出所有字段名稱答案：D227.使用網絡掃描有哪些功能或獲取()信息A、發現存活主機、IP地址B、發現用戶隱私信息C、發現主機存在的漏洞并利用D、不能發現開啟的服務類型答案：A228.滲透測試中，以下哪個術語用于描述通過電子郵件或其他方式引誘用戶提交敏感信息的攻擊？()A、釣魚攻擊B、XSS攻擊C、SQL注入攻擊D、DoS攻擊答案：A229.小王的手機流量不夠了，經搜索發現周圍有一個未設置密碼的Wifi信號可以使用，遂使用之。請問，小王后續可能會()?A、被盜取手機通訊錄信息B、被黑客通過wifi記錄個人敏感信息C、被社工D、以上都是答案：D230.滲透測試中，以下哪個術語用于描述通過電子郵件或其他方式引誘用戶提交敏感信息的攻擊A、釣魚攻擊B、XSS攻擊C、SQL注入攻擊D、DoS攻擊答案：A231.滲透測試中，以下哪個術語指的是在攻擊之前沒有任何關于目標系統的信息？()A、白盒測試B、灰盒測試C、黑盒測試D、威脅建模答案：C232.下面哪個不是滲透攻擊的階段之一（）A、漏洞分析階段B、報告生成階段C、威脅建模階段D、漏洞復現階段答案：D233.以下哪一項不屬于XSS跨站腳本漏洞的危害（）A、釣魚欺騙B、身份盜用C、SQL數據泄露D、網站掛馬答案：C234.《網絡安全法》規定哪些情況下需要實名：（）A、網絡接入B、域名注冊C、設備入網D、以上都是答案：D235.（）是對信息系統弱點的總稱，是風險分析中最重要的一個環節A、脆弱性B、威脅C、資產D、損失答案：A236.網絡安全法，對于個人信息描述錯誤是：（）A、任何個人和組織不得非法獲取個人信息B、任何個人和組織不得非法出售個人信息C、任何個人和組織可以隨意獲得個人信息D、非法獲取個人信息的機構將進行處罰答案：C237.“一帶一路”建設的核心內容是（）。A、政策溝通、設施聯通、貿易暢通、資金融通、民心相通B、協同發展、競爭有序、安全高效、合作共贏C、政治互信、經濟融合、文化包容D、開放、互利、普惠、平衡答案：A238.在Web應用程序滲透測試中，以下哪個漏洞類型可能導致遠程命令執行？()A、跨站腳本攻擊(XSS)B、文件包含漏洞C、緩沖區溢出攻擊D、XML外部實體注入(XXE)答案：B239.()可以在網上對電子文檔提供發布時間的保護。A、數字簽名B、數字證書C、數字時間戳D、消息摘要答案：C240.防火墻采用的最簡單的技術是（）。A、安裝保護卡B、隔離C、包過濾D、設置進入密碼答案：C241.目前網頁中最常用的兩種圖像文件格式為GIF和()。A、BMPB、TIFC、PSDD、JPG答案：D242.SQLserver的默認DBA賬號是什么A、dministratorB、saC、rootD、SYSTEM答案：B243.下列選項中，防范網絡監聽最有效的方法是()。A、安裝防火墻B、采用無線網絡傳輸C、數據加密D、漏洞掃描答案：C244.常用的web攻擊方法，不包括？A、利用服務器配置漏洞B、惡意代碼上傳下載C、構造惡意輸入（SQL注入攻擊、命令注入攻擊、跨站腳本攻擊）D、業務測試答案：D245.以下哪項不是網信部門統籌有關部門維護關鍵信息基礎設施安全保護的措施:（）A、開展風險評估B、實施安全應急演練C、每三年進行一次風險評估D、提供應急處置技術支持答案：C246.關于網絡應用模型的敘述，錯誤的是()。A、在P2P模型中，結點之間具有對等關系B、在客戶/服務器(C/S)模型中，客戶與客戶之間可以直接通信C、在C/S模型中，主動發起通信的是客戶，被動通信的是服務器D、在向多用戶分發一個文件時，P2P模型通常比C/S模型所需的時間短答案：B247.基于網絡的漏洞掃描器的組成不包括A、漏洞數據庫模塊B、用戶配置控制模塊C、發現漏洞模塊D、當前活動掃描知識庫答案：C248.linux下使用（）命令可以查看二進制文件中的字符串。A、catB、moreC、stringsD、tail答案：C249.對于使用HTTPReferer驗證防御方法，以下哪項無法繞過()A、修改攻擊者頁面文件名為請求服務器地址B、修改攻擊者url路徑中含有請求服務器地址C、Referer字段值為空D、無Referer字段答案：C250.SMTP是基于傳輸層的()協議。A、TCPB、UDPC、既可以是TCP也可以是UDPD、直接使用網絡層協議答案：A251.《網絡安全法》維護了以下哪些利益與權益：（）A、網絡空間主權B、國家安全C、社會公共利益D、以上三個都是答案：D252.網絡病毒與一般病毒相比，()。A、隱蔽性強B、潛伏性強C、破壞性大D、傳播性廣答案：D253.以下哪種技術可用于防范配置文件泄露漏洞？()A、定期更新軟件和補丁B、實施輸入驗證和輸出編碼C、對敏感配置文件進行適當的權限控制D、使用安全的會話管理機制答案：C254.在IP首部的字段中，與分片和重組無關的字段是()。A、校驗和B、標識C、標志D、片偏移量答案：A255.在每天下午5點使用計算機結束時斷開終端的連接屬于()。A、外部終端的物理安全B、通信線的物理安全C、偷聽數據D、網絡地址欺騙答案：A256.日常上網過程中，下列選項，存在安全風險的行為是（）A、將電腦開機密碼設置成15位強密碼B、安裝盜版操作系統C、在微信聊天過程中不點擊任何不明鏈接D、不同網站使用不同的用戶名和口令答案：B257.對網絡系統進行滲透測試，通常是按什么順序來進行的()A、控制階段、偵查階段、入侵階段B、入侵階段、偵查階段、控制階段C、偵查階段、入侵階段、控制階段D、偵查階段、控制階段、入侵階段答案：C258.在Web滲透測試中，以下哪項不是常見的目標之一？()A、獲取管理員權限B、訪問數據庫服務器C、獲取用戶機密數據D、發送垃圾郵件答案：D259.以下哪項不是XSS漏洞利用的場景()A、盜取合法用戶會話信息B、上傳蠕蟲C、執行script代碼D、跳轉到原本不可達的內網地址答案：D260.以下關于跨站腳本的說法，不正確的是A、跨站腳本攻擊常見的cookie竊取方式B、跨站攻擊是指入侵者在遠程web頁面的HTML代碼中插入具有惡意目的的數據，用戶認為該頁面是可信賴的，但是當瀏覽器下載該頁面，嵌入其中的腳本將被解釋執行C、輸入檢查，是指對用戶的輸入進行檢查，檢查用戶的輸入是否符合一定規則D、可利用腳本插入實現攻擊的漏洞都叫做XSS答案：D261.使用菜刀鏈接一句話木馬發生錯誤時，下列檢查方法最不合適的是A、馬上重傳一句話木馬B、通過瀏覽器再訪問，查看是否被成功解析C、查看是否填入了正確的密碼D、在菜刀中查看是否選擇了正確的腳本語言答案：A262.（）是一種通過不斷對網絡服務系統進行干擾，影響其正常的作業流程，使系統響應減慢甚至癱瘓的攻擊方式。A、暴力攻擊B、拒絕服務攻擊C、重放攻擊D、欺騙攻擊答案：B263.終端服務是windows操作系統自帶的，可以通過圖形界面遠程操縱服務器。在默認的情況下，終端服務的端口號是()。A、25B、3389C、80D、1399答案：B264.向有限的空間輸入超長的字符串是（）攻擊手段。A、緩沖區溢出B、網絡監聽C、拒絕服務D、IP欺騙答案：A265.ARP屬于()協議。A、網絡層B、數據鏈路層C、傳輸層D、以上都不是答案：A266.addslashes()函數不能過濾下列哪些字符A、NULLB、/C、\D、“答案：B267.在計算機病毒檢測手段中，校驗和法的優點是()。A、不會誤報B、能識別病毒名稱C、能檢測出隱蔽性病毒D、能發現未知病毒答案：D268.在Web應用程序中，以下哪種漏洞可以導致會話劫持？()A、跨站腳本攻擊(XSS)B、跨站請求偽造(CSRF)C、SQL注入D、配置錯誤答案：B269.nc工具可以監聽的端口數最大是（）個A、65536B、100C、256D、9898答案：A270.病毒和木馬的根本區別是A、病毒是一種可以獨立存在的惡意程序，只在執行時才會起破壞作用，木馬是分成服務端和控制端兩部分的程序，只在控制端發出命令后才起破壞作用B、病毒是一種可以獨立存在的惡意程序，只在傳播時才會起破壞作用，木馬是分成服務端和控制端兩部分的程序，只在控制端發出命令后才起破壞作用C、病毒是一種可以跨網絡運行的惡意程序，只要存在就會起破壞作用，木馬是駐留在被入侵者計算機上的惡意程序，一旦駐留成功就有破壞作用D、病毒是一種自我隱藏的惡意程序，木馬是不需要自我隱藏的惡意程序答案：A271.公民個人強化環境意識，更加主動地學習綠色發展理念，更加自覺地珍愛自然、親近自然，從自身做起，從日常養成做起，節約一滴水、一度電，多種一棵樹，少丟一次垃圾，增加一次綠色低碳出行，杜絕各種奢侈消費，以高度的自覺投身美麗中國建設。這些都體現了（）。A、建立良好人際關系的要求B、進行創造性實踐活動的要求C、科學地對待人生境遇的要求D、大力推進生態文明建設的要求答案：D272.MetasploitFramework中，可以使用（）來枚舉本地局域網中的所有活躍主機。A、dir_scannerB、empty_udpC、arp_sweepD、arp_neighbo答案：C273.IPv6地址中，正確的回環地址是()。A、::1B、1：1：1：1：1：1：1：1C、.D、.答案：A274.防火墻一般都具有網絡地址轉換功能（NAT），NAT允許多臺計算機使用一個（）連接網絡。A、Web瀏覽器B、IP地址C、代理服務器D、服務器名答案：B275.一句話木馬，如:<%evalrequest(pass)%>中，pass代表什么A、一句話木馬的連接密碼B、一句話木馬連接成功后的提示C、一個不可變的標志符號D、毫無意義的一個單詞答案：A276.在Web滲透測試中，以下哪個工具常用于發現目標網站的隱藏目錄和文件？A、DirbB、MetasploitC、NmapD、Wireshark答案：A277.如果有一個http響應中返回的狀態碼是404，那么說明（）A、這個頁面可以正常訪問B、頁面不存在C、沒有權限訪問該頁面D、服務器發生錯誤答案：B278.如果檢測到FTP服務沒有限制匿名登錄，那么我們應該用（）賬戶入侵FTP服務A、dminB、AnonymousC、guestD、niming答案：B279.在云計算服務安全責任分配中，客戶僅需要承擔自身數據安全、客戶端安全等相關責任；云服務商承擔其他安全責任，這最有可能是（）模式。A、SaaSB、PaaSC、IaasD、不明確答案：A280.ICMP報文是被封裝在()中而傳輸的。A、IP數據報B、TCP報文C、UDP報文D、以上都不是答案：A281.已知上級目錄下的db目錄包含敏感文件db.rar，以下哪個請求可以下載到該文件（）A、?download=db.rarB、?download=./db/db.rarC、?download=db/db.rarD、?download=./db/db.rar答案：B282.Linux系統下UID為0的用戶擁有管理員權限，該用戶的用戶名默認為()A、rootB、adminC、administratorD、system答案：A283.SQLmap中–columns命令實現的效果是（）A、列出所有數據庫名字B、列出所有字段名字C、列出所有表的名字D、列出指定數據庫指定表中的所有字段的名字答案：B284.從安全屬性對各種網絡攻擊進行分類，截獲攻擊是針對（）的攻擊。A、機密性B、可用性C、完整性D、真實性答案：A285.通過非直接技術的攻擊手法稱為()攻擊手法。A、會話劫持B、社會工程學C、特權提升D、應用層攻擊答案：B286.HTTPS常用的默認端口是()A、110B、443C、80D、8080答案：B287.設置復雜的口令，并安全管理和使用口令，其最終目的是（）。A、攻擊者不能非法獲得口令B、規范用戶操作行為C、增加攻擊者破解口令的難度D、防止攻擊者非法獲得訪問和操作權限答案：D288.在web網站的后臺linux系統中，某文件的訪問權限信息是“-rwxr--r--”，以下對該文件的說明中，正確的是A、文件所有者有讀寫和執行權限，其他用戶沒有讀寫執行權限B、文件所有者有讀寫和執行權限，其他用戶只有讀權限C、文件所有者和其他用戶都有讀寫和執行權限D、文件所有者和其他用戶都只有讀和寫權限答案：B289.某Web網站向CA申請了數字證書，用戶登錄該網站時候，通過驗證CA簽名，可以確認該數字證書的有效性。從而()A、向網站確認自己的身份B、獲取訪問網站的權限C、和網站進行雙向認證D、驗證該網站的真偽答案：D290.以下哪項不是滲透測試報告的典型部分?()A、已識別的漏洞列表B、在測試期間收集的所有敏感數據C、發現的每個問題的風險評級D、確定問題的緩解指導答案：B291.對網絡系統進行滲透測試，通常是按什么順序來進行的：()A、控制階段、偵查階段、入侵階段B、入侵階段、偵查階段、控制階段C、偵查階段、入侵階段、控制階段D、偵查階段、控制階段、入侵階段答案：C292.甲方和乙方采用公鑰密碼體制對數據文件進行加密傳送，甲方用乙方的公鑰加密數據文件，乙方使用()對數據文件進行解密。A、甲的公鑰B、甲的私鑰C、乙的公鑰D、乙的私鑰答案：D293.消息摘要可用于驗證網絡傳輸收到的消息是否是原始的、未被篡改的消息原文。產生消息摘要可采用的算法是()。A、哈希B、DESC、PIND、RSA答案：A294.用每一種病毒體含有的特征代碼對被檢測的對象進行掃描，如果發現特征代碼，就表明了檢測到該特征代碼所代表的的病毒，這種病毒的檢測方法稱為()。A、比較法B、特征代碼法C、行為監測法D、軟件模擬法答案：B295.（）負責在突發網絡安全事件時的應急處置調度指揮工作。A、線網管控中心B、黨群C、監察審計部D、安全監察部答案：A296.強制性國家標準的編號前綴是()。A、GB/TB、MBC、GBD、GB/Z答案：C297.Nmap探測中-Pn參數表述作用A、進行ICMP主機探測B、不進行ICMP主機探測C、進行主機存活探測D、不進行主機存活探測答案：D298.Windows主機推薦使用()格式A、NTFSB、FAT32C、FATD、LINUX答案：A299.以下哪個法律規定了我國實行網絡安全等級保護制度()A、網絡安全法B、國家安全法C、保密法D、國家等級保護法答案：A300.BurpSuite是用于攻擊（）的集成平臺。A、WEB應用程序B、小程序C、APPD、數據庫答案：A301.下列不是網站存在XSS漏洞的原因是()A、網站存在可供用戶輸入的交互模式B、網站對用戶輸入的數據未作過濾C、網站未對用戶下的敏感操作進行二次校驗D、網站對輸出的數據未做處理答案：A302.滲透測試工具arp-scan的功能是()A、主機發現B、暴力破解C、加密解密D、發現漏洞答案：A303.VirtualPrivateNetwork的加密手段為（）。A、具有加密功能的防火墻B、具有加密功能的路由器C、VirtualPrivateNetwork內的各臺主機對各自的信息進行相應的加密D、單獨的加密設備答案：C304.關于反射型XSS的描述，敘述正確的是A、反射型XSS也稱作持久型跨站腳本B、反射型XSS主要用于將惡意腳本附加到URL地址參數中C、反射型XSS具有很大危害，可以攻擊到平臺大量用戶D、反射型XSS漏洞原理與存儲型XSS一致答案：B305.信息通過網絡進行傳輸的過程中,存在著被篡改的風險,為了解決這一安全隱患通常采用的安全防護技術是()。A、信息隱藏技術B、數據加密技術C、消息認證技術D、數據備份技術答案：C306.metasploit框架中列出所有滲透攻擊模塊的命令是()A、showpayloadsB、msfencode-lC、msfencode-aD、showexploits答案：D307.等級保護對象定級，以下哪個說法是正確的()A、機構領導決定保護對象等級B、機構根據相關標準和流程對保護對象進行定級C、公安部門決定保護對象等級D、主管部門決定保護對象等級答案：B308.以下哪部法律是我國保障網絡安全的基本法()A、《國家安全法》B、《保密法》C、《治安管理處罰法》D、《中華人民共和國網絡安全法》答案：D309.黑客利用IP地址進行攻擊的方法有：（）。A、IP欺騙B、解密C、竊取口令D、發送病毒答案：A310.在Web滲透測試中，以下哪個工具常用于掃描目標網站的漏洞并生成報告？A、NessusB、MetasploitC、NmapD、Wireshark答案：A311.如果目標服務器開啟的SSH服務，我們應該使用什么方式去登錄A、只能使用用戶名密碼登錄B、只能使用證書登錄C、根據服務器設置，可以使用賬號密碼登錄D、使用反彈Shell登錄答案：C312.計算機感染病毒后，癥狀可能有()。A、計算機運行速度變慢B、文件長度變長C、不能執行某些文件D、以上都對答案：D313.為保障網絡安全，防止外部網對內部網的侵犯，多在內部網絡與外部網絡之間設置（）。A、密碼認證B、入侵檢測C、數字簽名D、防火墻答案：D314.等級保護定級對象不包括下列()項。A、基礎信息網絡B、信息系統C、工業控制系統D、核心服務器答案：D315.注入語句：http://xxx.xxx.xxx/abc.asp?p=YYanddb_name()>0不僅可以判斷服務器后臺數據庫是否為SQLServer,還可以得到（）A、當前鏈接數據庫的用戶數量B、當前鏈接數據庫的用戶名C、當前正在使用的用戶口令D、當前正在使用的數據庫名答案：D316.社會主義核心價值體系是社會主義意識形態的本質體現，主要包括四個方面的基本內容：馬克思主義指導思想、中國特色社會主義共同理想、以愛國主義為核心的民族精神和以改革創新為核心的時代精神、社會主義榮辱觀。其中，社會主義榮辱觀解決的是（）。A、舉什么旗的問題B、遵循什么樣的行為規范的問題C、走什么路、實現什么樣的目標的問題D、應當具備什么樣的精神狀態和精神面貌的問題答案：B317.作為安全人員我們應該（）A、遵紀守法堅守道德底線B、打法律的插邊球C、提高自己技術水平讓別人抓不到證據D、入侵網站后不干擾其正常業務即可答案：A318.mysql-hhost-uuser-ppassword命令的含義如下，哪些是正確的A、-h后host為對方主機名或者ip地址B、-u后為數據庫用戶名C、-p后為密碼D、以上都對答案：D319.MySQL數據庫（5.5以上版本）中哪個系統數據庫保存著MySQL服務器所維護的所有其他數據庫的信息？（）A、sysB、performance_schemaC、mysqlD、information_schema答案：D320.在遠程管理Linux服務器時，以下（）方式采用加密的數據傳輸A、rshB、telnetC、sshD、rlogin答案：C321.下列網絡攻擊方式中，（）實施的攻擊不是網絡釣魚的常用手段。A、利用社會工程學B、利用虛假的電子商務網站C、利用假冒網上銀行、網上證券網站D、利用蜜罐答案：D322.WAF是()有什么作用？A、web掃描B、web應用防護系統C、web流量清洗D、web流量檢測答案：B323.最早的計算機網絡與傳統的通信網絡最大的區別是()。A、計算機網絡帶寬和速度大大提高B、計算機網絡采用了分組交換技術C、計算機網絡采用了電路交換技術D、計算機網絡的可靠性大大提高答案：B324.高級持續性威脅APT攻擊利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式，它是一種以()目的為前提的特定攻擊A、公共安全B、商業或者政治C、安全測試D、入侵檢測答案：B325.在Web滲透測試中，以下哪項不是常見的目錄遍歷攻擊的目標？()A、獲取敏感文件B、執行任意命令C、訪問未授權資源D、修改配置文件答案：B326.下面()是對信息完整性的正確闡述。A、信息不被篡改、假冒和偽造B、信息內容不被指定以外的人所獲悉C、信息在傳遞過程中不被中轉D、信息不被他人所接收答案：A327.滲透測試工具netdiscover的功能是()A、加密解密B、暴力破解C、主機發現D、發現漏洞答案：C328.滲透測試人員通過對目標主機進行端口掃描可直接獲得()。A、目標主機的操作系統信息B、目標主機的登錄口令C、目標主機的硬件設備信息D、目標主機端口的狀態信息答案：D329.判斷出網站的CMS對滲透的意義是以下哪一種?()A、方便聯系作者獲取相關漏洞信息B、查找網上已曝光的程序漏洞，若開源則通過對目標的源碼進行代碼審計C、學習CMS網站代碼開發D、下載最新版的CMS源碼，并進行審計答案：B330.關于命令執行漏洞與代碼執行漏洞，描述正確的是()A、命令執行漏洞與代碼執行漏洞一樣B、命令執行漏洞與代碼執行漏洞毫無關聯C、命令執行漏洞直接調用操作系統命令，也可叫做OS命令執行D、代碼執行漏洞是靠操作系統命令調用腳本代碼命令答案：C331.以下屬于早期靜態頁面遇到安全問題A、暗鏈B、惡意代碼注入C、SQL注入D、反射型XSS答案：A332.GB/T31168《信息安全技術云計算服務安全能力要求》中，不屬于對服務關閉和數據遷移的要求的是（）。A、在客戶與其服務合約到期時，