1+x網絡安全評估模擬習題含答案一、單選題（共66題，每題1分，共66分）1.下面說法正確的是？A、使用防止sql注入的函數也可以防御xssB、htmlspecialchars()可以完全杜絕xss攻擊C、只需要在輸入處過濾xss就可以了D、在輸入和輸出處都要過濾xss攻擊正確答案：D2.路由器是工作在以下哪一層的設備？A、網絡層B、傳輸層C、物理層D、鏈路層正確答案：A3.Apache解析漏洞中，相關配置是？A、AddHandlerB、HttpdinitC、ApacheHandlerD、Phpinit正確答案：A4.防火墻通常被比喻為網絡安全的大門，但它不能？A、鑒別什么樣的數據包可以進出企業內部網B、阻止基IP包頭的攻擊C、阻止病毒入侵D、阻止非信任地址的訪問正確答案：C5.HUB是工作在以下哪一層的設備？A、物理層B、鏈路層C、網絡層D、傳輸層正確答案：A6.下面關于htmlspecialchars()說法錯誤的是？A、該函數可用于過濾xssB、該函數用于轉譯字符（在后面加上反斜線）C、該函數用于對一些字符進行xss實體編碼正確答案：B7.著名的nmap軟件工具不能實現下列哪一項功能?A、操作系統類型探測B、安全漏洞掃描C、端口掃描D、whois查詢正確答案：D8.在使用Burp的Intruder模塊時，需要注意的是？A、字典大小不能超過1MB、字典路徑不能含有中文C、線程數量不能超過20D、payload數量不能超過2個正確答案：B9.下列關于水平越權的說法中，不正確的是？A、水平越權是不同級別之間或不同角色之間的越權B、可能會造成大批量數據泄露C、可能會造成用戶信息被惡意篡改D、同級別（權限）的用戶或同一角色不同的用戶之間，可以越權訪問、修改或者刪除的非法操作正確答案：A10.Cookie的屬性中，Value是指什么？A、過期時間B、關聯Cookie時間C、Cookie的名字D、Cookie的值正確答案：D11.SqlMap一般調用其文件夾內哪一類文件來繞過WAF檢測（）。A、Nano腳本B、Scripts腳本C、Tamper腳本D、Nmap腳本正確答案：C12.將MAC地址轉換為IP地址的協議是以下哪種協議？A、ARPB、RARPC、IPD、NTP正確答案：B13.（）利用以太網的特點，將設備網卡設置為“混雜模式”，從而能夠接受到整個以太網內的網絡數據信息？A、木馬程序B、緩沖區溢出攻擊木馬C、拒絕服務攻擊D、嗅探程序正確答案：D14.AWVS是一款什么用途的滲透測試工具（）。A、漏洞掃描B、SQL注入C、XSS攻擊D、暴力破解正確答案：A15.關于PHP文件包含利用方法，錯誤的是（）A、利用php://input偽協議需開啟allow_url_include配置B、文件包含漏洞常可以配合文件上傳漏洞共同利用C、遠程文件包含需服務器開啟allow_url_fopen配置D、利用文件包含漏洞需被包含文件為.php格式正確答案：D16.路由器是工作在以下哪一層的設備？A、物理層B、鏈路層C、網絡層D、傳輸層正確答案：C17.入侵檢測系統的第一步是？A、信息收集B、數據包過濾C、信號分析D、數據包檢查正確答案：A18.XSS跨站腳本攻擊劫持用戶會話的原理是？A、竊取目標cookieB、使目標使用自己構造的cookie登錄C、修改頁面，使目標登錄到假網站D、讓目標誤認為攻擊者是他要訪問的服務器正確答案：A19.Nmap用來隱蔽掃描的命令是以下哪一選項？A、-sFB、-sXC、-sND、-sS正確答案：C20.盜取Cookie是用做什么？A、劫持用戶會話B、固定用戶會話C、釣魚D、預測用戶下一步的會話憑證正確答案：A21.下列哪一項不是黑客在入侵踩點（信息搜集）階段使用到的技術？A、主機及系統信息收集B、IP及域名信息收集C、公開信息的合理利用及分析D、使用sqlmap驗證SQL注入漏洞是否存在正確答案：D22.下列哪一個不屬于信息安全三要素CIA？A、機密性B、可用性C、完整性D、個人電腦安全正確答案：D23.ARP協議封裝格式最后4字節是以下哪個選項？A、目標IP地址B、源MACC、硬件類型D、協議類型正確答案：A24.下列哪一個是web容器A、IISB、JSPC、UDPD、MD5正確答案：A25.XSS不能來干什么？A、釣魚B、劫持用戶會話C、DDOSD、注入數據庫正確答案：D26.alert()函數是用來干什么的？A、彈窗B、打開新頁面C、關閉當前頁面D、重新打開頁面正確答案：A27.IP協議工作在TCP/IP模型的哪一層？A、物理層B、鏈路層C、網絡層D、傳輸層正確答案：C28.TCP協議建立連接需要幾次握手？A、2B、3C、4D、5正確答案：B29.關于HTML事件的敘述，錯誤的是A、onkeypress當按下鍵盤執行腳本B、onkeyup松開鍵盤執行腳本C、onclick鼠標點擊執行腳本D、onerror當錯誤執行腳本正確答案：A30.故意制作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行，后果嚴重的，將受到什么處罰？A、拘留B、警告C、罰款D、處五年以下有期徒刑或者拘役正確答案：D31.下列哪個選項不屬于命令執行漏洞的危害？A、反彈shellB、由命令執行漏洞就能發現sql注入漏洞C、控制服務器D、繼承Web服務程序的權限去執行系統命令或讀寫文件正確答案：B32.TCP協議頭部前16位是以下哪個選項的定義？A、目的端口B、源端口C、序列號D、窗口大小正確答案：B答案解析：1-16位為源端口，17-32位為目的端口。33.XSS跨站腳本攻擊可以插入什么代碼？A、JAVAB、JavascriptC、PHPD、ASP正確答案：B34.PHP語言中，單引號和雙引號區別A、單引號會將內部字符進行過濾，雙引號不會將內部惡意字符過濾B、單引號會將內部變量解析后輸出，雙引號會將字符原義輸出C、單引號會將字符原義輸出，雙引號會將內部變量解析后輸出D、單引號不會將內部惡意字符過濾，雙引號會將內部字符進行過濾正確答案：C35.中國菜刀是一款經典的webshell管理工具，其傳參方式是（）。A、GET方式B、明文方式C、COOKIE方式D、POST方式正確答案：D36.以下哪種防火墻不能檢測sql注入攻擊（）A、WAF(WebApplicationFirewall)B、下一代防火墻C、IPTABLESD、高層檢測防火墻正確答案：C37.關于命令執行漏洞，以下說法錯誤的是？A、沒有對用戶輸入進行過濾或過濾不嚴可能會導致此漏洞B、命令執行漏洞只發生在PHP的環境中C、命令執行漏洞是指攻擊者可以隨意執行系統命令D、該漏洞可導致黑客控制整個網站甚至控制服務器正確答案：B38.需要進行數據庫交互的是哪種xss漏洞？A、儲存型xssB、反射型xssC、DOM型xss正確答案：A39.HTTP協議建立在以下哪一個協議的基礎上A、UDPB、TCPC、SSLD、FTP正確答案：B40.在windows的命令提示符中，用以查看當前登錄的用戶命令是以下哪一個？A、tasklistB、quserC、netuserD、netstart正確答案：B41.DOM中不存在下面那種節點A、元素節點B、文本節點C、屬性節點D、邏輯節點正確答案：D42.Linux系統中，查看當前最后一次執行的命令的返回狀態，使用以下哪個命令？A、$@B、$*C、$?D、$!正確答案：C43.以下哪種方法不能執行命令（）A、system('whoami')B、system(whoami)C、eval('system(whoami)')D、system('eval(whoami)')正確答案：D44.B類IP地址，有多少位主機號？A、8B、16C、24D、31正確答案：B45.下列不是網站存在XSS漏洞的原因是（）A、網站存在可供用戶輸入的交互模式B、網站未對用戶下的敏感操作進行二次校驗C、網站對用戶輸入的數據未作過濾D、網站對輸出的數據未做處理正確答案：B46.協議的三要素不包括哪項？A、語法B、時序（同步）C、語義D、標點正確答案：D47.會話劫持最重要的是哪一步？A、使用拿到的標識登錄B、誘使用戶登錄C、獲得用戶的會話標識（如sessionid）正確答案：C48.盜取Cookie是用做什么？A、用于登錄B、DDOSC、釣魚D、會話固定正確答案：A49.下面哪個函數不能起到xss過濾作用？A、str_replace()B、htmlspecialchars()C、addslashes()D、preg_replace()正確答案：C50.以下說法錯誤的是？A、中間人攻擊與竊取cookie的攻擊原理相同B、會話劫持可以使攻擊者偽裝成目標登錄C、httponly可以讓xss漏洞也拿不走用戶cookie正確答案：A51.服務器的響應頭中，一般不會包含哪一個字段A、Set-CookieB、Content-TypeC、CookieD、Connection正確答案：C52.下面哪種處理文件上傳的方式不夠妥當（）。A、通過黑名單驗證上傳的文件后綴名稱B、設置上傳目錄不可解析C、重命名上傳的文件名稱D、使用單獨的服務器存放上傳的文件正確答案：A答案解析：黑名單是威脅易繞過的53.寬字符SQL注入，主要利用的是哪種漏洞來實現的（）。A、GBK和UTF-8編碼不統一B、GBK長字符和短字符編碼不統一C、UTF-8長字符和短字符編碼不統一D、GBK和UTF-8編碼不一致正確答案：A54.電信詐騙的特點不包括下列哪個？A、形式集團化，反偵查能力非常強B、詐騙手段翻新速度很快C、犯罪活動的蔓延性比較大，發展很迅速D、微信正確答案：D55.PHP語言中==和===區別A、==會判斷值和類型，===只會判斷類型B、==只會判斷類型，===只會判斷值C、==只會判斷值，===會判斷值和類型D、==只會進行判斷值，===只會判斷類型正確答案：C56.郵件攻擊類型不包括下列哪一個？A、水坑攻擊B、仿冒企業郵件C、勒索病毒D、商業郵件詐騙正確答案：A57.#iptables–AINPUT–mu32--u32‘6&FF=0x11’–jDROP的作用是：（）。A、在輸入鏈,IP包中的協議字段為17則丟棄B、在轉發鏈,IP包中的協議字段為17則丟棄C、在轉發鏈,IP包中的協議字段為11則丟棄D、在輸入鏈,IP包中的協議字段為11則丟棄正確答案：A58.httponly屬性起到的作用是（）A、僅允許HTTPS協議讀取cookieB、防御XSS攻擊C、對HTTP數據包加密D、禁止除HTTP/HTTPS以外的協議讀取cookie正確答案：D59.setcookie()函數在不設置時間情況下，Cookie默認保存多長時間A、瀏覽器關閉cookie失效B、1小時C、12小時D、24小時正確答案：A60.Windows操作系統中查看ARP緩存表的命令是（）。A、arp-aB、arp-dC、arp-sD、arp-n正確答案：A61.TCP/IP模型分幾層？A、4B、5C、6D、7正確答案：A62.RSA屬于？A、秘密密鑰密碼算法B、公用密鑰密碼算法C、保密密鑰密碼算法D、對稱密鑰密碼算法正確答案：B63.下面關于UDP的描述哪個是正確的？A、面向連接，可靠的傳輸B、面向無連接，不可靠的傳輸C、傳輸也需要握手過程D、能確保到達目的的正確答案：B64.Burpsuite代理HTTP流量時作為什么角色A、TCP中繼B、代理服務器C、路由器D、網關正確答案：B65.下列哪一個不屬于電信詐騙？A、DDOS攻擊B、冒充國家相關工作人員調查唬人C、虛構退稅D、假稱退還養老金、撫恤金正確答案：A66.以下哪種協議可用于承載TCP協議？A、IPB、ICMPC、UDPD、HTTP正確答案：A二、多選題（共28題，每題1分，共28分）1.Wireshark通過哪個面板展示數據包信息？A、PacketDetailsB、PacketBytesC、捕獲過濾器D、顯示過濾器正確答案：AB2.郵件安全防護策略包含下列哪幾個：A、識別風險B、響應事件C、防護郵件D、監測攻擊正確答案：ABCD3.在HTTP響應的MIME消息體中，可以同時包含的數據類型是（）A、圖片數據B、音頻數據C、文本數據D、視頻數據正確答案：ABCD4.屬于xss跨站漏洞危害的是（）?。A、網站掛馬B、釣魚欺騙C、sql數據泄露D、身份盜用正確答案：ABD5.HTTP協議請求中不會存在哪個字段A、Set-cookieB、Last-modifiedC、LocationD、User-Agent正確答案：ABC6.任何個人和組織有權對危害網絡安全的行為向等部門舉報。A、電信B、公安C、網信D、工信正確答案：ABC7.下列哪個描述的是防范虛構事實的詐騙：A、切不可貪圖便宜，與市價相差較大的網絡商品，不要相信。B、通過子女所在學校、單位、同學、朋友聯系，進行核實，確認情況的真實性。C、接到親人被綁架、受傷住院、被扣留拘禁等電話或短信時，一定要冷靜應對，弄清情況，請及時報警D、對于好友QQ、微信、手機發送過來涉及到借錢、匯款等信息，一定要電話聯系到本人進行確認正確答案：BC8.上網安全中的兩種公共設備謹慎用，指的是：A、計算機安全B、公共手機充電樁C、物聯網（IoT）設備成為薄弱環節D、公共WIFI正確答案：BD9.下列哪個描述是針對防范冒充身份詐騙的：A、確認真偽及對方身份真實性B、確認身份要多問幾個私密問題C、主動答應對方要求D、不要主動猜測對方是誰正確答案：ABD10.邏輯漏洞中，兩種繞過授權驗證方法為?A、方向越權B、水平越權C、垂直越權D、交叉越權正確答案：BC11.Metasploit框架中的模塊都包含哪些模塊類型（）。A、PayloadsB、PostC、ExploitsD、AUXE、NopsF、Encoders正確答案：ABCDEF12.關于命令執行漏洞的成因，以下說法正確的是？A、使用了PHP中的system，exec，shell_exec等函數B、沒有配置防火墻C、調用第三方組件存在代碼執行漏洞D、代碼層過濾不嚴格正確答案：ACD13.網絡運營者收集使用個人信息，應當遵循______________的原則，公開收集使用規則，明示收集使用信息的目的方式和范圍，并經被收集者同意。A、合法B、正當C、真實D、必要正確答案：ABD14.信息安全范疇包括下列哪幾個：A、通信安全B、信息本身的安全C、計算機安全D、物聯網（IoT）設備成為薄弱環節正確答案：ABC15.文件包含漏洞的危害有哪些？A、控制網站B、服務器費用增加C、執行任意腳本代碼D、控制整臺服務器正確答案：ACD16.計算機網絡主要實現哪些功能？A、提高可靠性B、資源共享C、協同工作D、通信正確答案：ABCD17.下面那些層未在TCP/IP中定義？A、傳輸層B、網絡C、表示層D、會話層正確答案：CD18.任何個人和組織應當對其使用網絡的行為負責，不得設立用于（）違法犯罪活動的網站通訊群組，不得利用網絡發布涉及實施詐騙，制作或者銷售違禁物品管制物品以及其他違法犯罪活動的信息。A、傳授犯罪方法B、實施詐騙C、制作或者銷售違禁物品D、制作或者銷售管制物品正確答案：ABCD19.apache+Linux日志默認路徑是?A、/etc/httpd/logs/access_logB、/var/log/httpd/access_logC、%SystemDrive%\inetpub\logs\LogFilesD、/usr/local/nginx/logs正確答案：AB20.如何防范命令執行漏洞，以下說法正確的是？A、進入執行命令函數/方法之前，變量一定要做好過濾對敏感字符進行轉義B、對于PHP語言來說，不能完全控制的危險函數最好不要使用過濾不嚴或被繞過C、一定要使用系統執行命令D、在使用動態函數之后，確保使用函數是指定函數之一；正確答案：ABD21.根據《網絡安全法》的規定，任何個人和組織（）。A、不得從事非法侵入他人網絡干擾他人網絡正常功能等危害網絡安全的活動B、不得提供專門用于從事侵入網絡干擾網絡正常功能等危害網絡安全活動的程序C、明知他人從事危害網絡安全的活動的，不得為其提供技術支持D、明知他人從事危害網絡安全的活動的，可以為其進行廣告推廣正確答案：ABC22.選擇關于Cookie正確的選項A、Cookie是同協議、同域名、同端口的B、修改Cookie只能用一個同名Cookie將其覆蓋C、瀏覽器可以將持續時間為負數的Cookie保存為文件D、同父域的兩個子域名可以通過設置共享Cookie正確答案：AD23.下面哪個代碼是不安全的,可能存在sql注入漏洞（）正確答案：birth答案解析：scorefromtbl_studentwherenamelike'%$name$%'</select>);([B、]>Stmt=connection.prepareStatement("select*fromarticleswhereuid=?");stmt.setInt(124.以下關于PHP文件包含函數的說法中，正確的是？A、使用include()，只有代碼執行到此函數時才將文件包含進來，發生錯誤時只警告并繼續執行。B、require_once()功能和require()一樣，區別在于當重復調用同一文件時，程序只調用一次。C、inclue_once()和include()完全一樣D、使用require()，只要程序執行，立即調用此函數包含文件，發生錯誤時，會輸出錯誤信息并立即終止程序。正確答案：ABD25.下列哪幾條屬于防電信詐騙十條中的守則：A、凡是索要短信驗證碼的全是騙子B、釣魚網站要提防C、手機短信內的鏈接都別點D、閉口不談卡號和密碼正確答案：BCD26.php://filter/read=convert.base64-encode/resource=../../../../../etc/passwd假設某PHP頁面存在文件包含漏洞，上述Payload可以獲得哪些信息A、Linux系統中所有的用戶名B、Windows系統中所有的用戶名C、系統中各個用戶的權限以及可執行文件所在目錄D、用戶密碼正確答案：AC27.下面哪些應用使用了UDP協議承載？A、SMTPB、DNSC、TFTPD、SNMP正確答案：BCD28.使用00截斷進行文件上傳時，上傳未成功可能的原因是（）A、使用POST方式提交%00，但并未轉碼B、使用GET方式提交%00，但重復轉碼C、使用GET方式提交，未刪除httpbody中POST內容D、網頁設置了上傳白名單，在白名單前進行了截斷E、使用GET方法提交，但未修改方