1+x網(wǎng)絡(luò)安全評估模擬習(xí)題含答案一、單選題（共66題，每題1分，共66分）1.下面說法正確的是？A、使用防止sql注入的函數(shù)也可以防御xssB、htmlspecialchars()可以完全杜絕xss攻擊C、只需要在輸入處過濾xss就可以了D、在輸入和輸出處都要過濾xss攻擊正確答案：D2.路由器是工作在以下哪一層的設(shè)備？A、網(wǎng)絡(luò)層B、傳輸層C、物理層D、鏈路層正確答案：A3.Apache解析漏洞中，相關(guān)配置是？A、AddHandlerB、HttpdinitC、ApacheHandlerD、Phpinit正確答案：A4.防火墻通常被比喻為網(wǎng)絡(luò)安全的大門，但它不能？A、鑒別什么樣的數(shù)據(jù)包可以進出企業(yè)內(nèi)部網(wǎng)B、阻止基IP包頭的攻擊C、阻止病毒入侵D、阻止非信任地址的訪問正確答案：C5.HUB是工作在以下哪一層的設(shè)備？A、物理層B、鏈路層C、網(wǎng)絡(luò)層D、傳輸層正確答案：A6.下面關(guān)于htmlspecialchars()說法錯誤的是？A、該函數(shù)可用于過濾xssB、該函數(shù)用于轉(zhuǎn)譯字符（在后面加上反斜線）C、該函數(shù)用于對一些字符進行xss實體編碼正確答案：B7.著名的nmap軟件工具不能實現(xiàn)下列哪一項功能?A、操作系統(tǒng)類型探測B、安全漏洞掃描C、端口掃描D、whois查詢正確答案：D8.在使用Burp的Intruder模塊時，需要注意的是？A、字典大小不能超過1MB、字典路徑不能含有中文C、線程數(shù)量不能超過20D、payload數(shù)量不能超過2個正確答案：B9.下列關(guān)于水平越權(quán)的說法中，不正確的是？A、水平越權(quán)是不同級別之間或不同角色之間的越權(quán)B、可能會造成大批量數(shù)據(jù)泄露C、可能會造成用戶信息被惡意篡改D、同級別（權(quán)限）的用戶或同一角色不同的用戶之間，可以越權(quán)訪問、修改或者刪除的非法操作正確答案：A10.Cookie的屬性中，Value是指什么？A、過期時間B、關(guān)聯(lián)Cookie時間C、Cookie的名字D、Cookie的值正確答案：D11.SqlMap一般調(diào)用其文件夾內(nèi)哪一類文件來繞過WAF檢測（）。A、Nano腳本B、Scripts腳本C、Tamper腳本D、Nmap腳本正確答案：C12.將MAC地址轉(zhuǎn)換為IP地址的協(xié)議是以下哪種協(xié)議？A、ARPB、RARPC、IPD、NTP正確答案：B13.（）利用以太網(wǎng)的特點，將設(shè)備網(wǎng)卡設(shè)置為“混雜模式”，從而能夠接受到整個以太網(wǎng)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)信息？A、木馬程序B、緩沖區(qū)溢出攻擊木馬C、拒絕服務(wù)攻擊D、嗅探程序正確答案：D14.AWVS是一款什么用途的滲透測試工具（）。A、漏洞掃描B、SQL注入C、XSS攻擊D、暴力破解正確答案：A15.關(guān)于PHP文件包含利用方法，錯誤的是（）A、利用php://input偽協(xié)議需開啟allow_url_include配置B、文件包含漏洞常可以配合文件上傳漏洞共同利用C、遠程文件包含需服務(wù)器開啟allow_url_fopen配置D、利用文件包含漏洞需被包含文件為.php格式正確答案：D16.路由器是工作在以下哪一層的設(shè)備？A、物理層B、鏈路層C、網(wǎng)絡(luò)層D、傳輸層正確答案：C17.入侵檢測系統(tǒng)的第一步是？A、信息收集B、數(shù)據(jù)包過濾C、信號分析D、數(shù)據(jù)包檢查正確答案：A18.XSS跨站腳本攻擊劫持用戶會話的原理是？A、竊取目標cookieB、使目標使用自己構(gòu)造的cookie登錄C、修改頁面，使目標登錄到假網(wǎng)站D、讓目標誤認為攻擊者是他要訪問的服務(wù)器正確答案：A19.Nmap用來隱蔽掃描的命令是以下哪一選項？A、-sFB、-sXC、-sND、-sS正確答案：C20.盜取Cookie是用做什么？A、劫持用戶會話B、固定用戶會話C、釣魚D、預(yù)測用戶下一步的會話憑證正確答案：A21.下列哪一項不是黑客在入侵踩點（信息搜集）階段使用到的技術(shù)？A、主機及系統(tǒng)信息收集B、IP及域名信息收集C、公開信息的合理利用及分析D、使用sqlmap驗證SQL注入漏洞是否存在正確答案：D22.下列哪一個不屬于信息安全三要素CIA？A、機密性B、可用性C、完整性D、個人電腦安全正確答案：D23.ARP協(xié)議封裝格式最后4字節(jié)是以下哪個選項？A、目標IP地址B、源MACC、硬件類型D、協(xié)議類型正確答案：A24.下列哪一個是web容器A、IISB、JSPC、UDPD、MD5正確答案：A25.XSS不能來干什么？A、釣魚B、劫持用戶會話C、DDOSD、注入數(shù)據(jù)庫正確答案：D26.alert()函數(shù)是用來干什么的？A、彈窗B、打開新頁面C、關(guān)閉當前頁面D、重新打開頁面正確答案：A27.IP協(xié)議工作在TCP/IP模型的哪一層？A、物理層B、鏈路層C、網(wǎng)絡(luò)層D、傳輸層正確答案：C28.TCP協(xié)議建立連接需要幾次握手？A、2B、3C、4D、5正確答案：B29.關(guān)于HTML事件的敘述，錯誤的是A、onkeypress當按下鍵盤執(zhí)行腳本B、onkeyup松開鍵盤執(zhí)行腳本C、onclick鼠標點擊執(zhí)行腳本D、onerror當錯誤執(zhí)行腳本正確答案：A30.故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行，后果嚴重的，將受到什么處罰？A、拘留B、警告C、罰款D、處五年以下有期徒刑或者拘役正確答案：D31.下列哪個選項不屬于命令執(zhí)行漏洞的危害？A、反彈shellB、由命令執(zhí)行漏洞就能發(fā)現(xiàn)sql注入漏洞C、控制服務(wù)器D、繼承Web服務(wù)程序的權(quán)限去執(zhí)行系統(tǒng)命令或讀寫文件正確答案：B32.TCP協(xié)議頭部前16位是以下哪個選項的定義？A、目的端口B、源端口C、序列號D、窗口大小正確答案：B答案解析：1-16位為源端口，17-32位為目的端口。33.XSS跨站腳本攻擊可以插入什么代碼？A、JAVAB、JavascriptC、PHPD、ASP正確答案：B34.PHP語言中，單引號和雙引號區(qū)別A、單引號會將內(nèi)部字符進行過濾，雙引號不會將內(nèi)部惡意字符過濾B、單引號會將內(nèi)部變量解析后輸出，雙引號會將字符原義輸出C、單引號會將字符原義輸出，雙引號會將內(nèi)部變量解析后輸出D、單引號不會將內(nèi)部惡意字符過濾，雙引號會將內(nèi)部字符進行過濾正確答案：C35.中國菜刀是一款經(jīng)典的webshell管理工具，其傳參方式是（）。A、GET方式B、明文方式C、COOKIE方式D、POST方式正確答案：D36.以下哪種防火墻不能檢測sql注入攻擊（）A、WAF(WebApplicationFirewall)B、下一代防火墻C、IPTABLESD、高層檢測防火墻正確答案：C37.關(guān)于命令執(zhí)行漏洞，以下說法錯誤的是？A、沒有對用戶輸入進行過濾或過濾不嚴可能會導(dǎo)致此漏洞B、命令執(zhí)行漏洞只發(fā)生在PHP的環(huán)境中C、命令執(zhí)行漏洞是指攻擊者可以隨意執(zhí)行系統(tǒng)命令D、該漏洞可導(dǎo)致黑客控制整個網(wǎng)站甚至控制服務(wù)器正確答案：B38.需要進行數(shù)據(jù)庫交互的是哪種xss漏洞？A、儲存型xssB、反射型xssC、DOM型xss正確答案：A39.HTTP協(xié)議建立在以下哪一個協(xié)議的基礎(chǔ)上A、UDPB、TCPC、SSLD、FTP正確答案：B40.在windows的命令提示符中，用以查看當前登錄的用戶命令是以下哪一個？A、tasklistB、quserC、netuserD、netstart正確答案：B41.DOM中不存在下面那種節(jié)點A、元素節(jié)點B、文本節(jié)點C、屬性節(jié)點D、邏輯節(jié)點正確答案：D42.Linux系統(tǒng)中，查看當前最后一次執(zhí)行的命令的返回狀態(tài)，使用以下哪個命令？A、$@B、$*C、$?D、$!正確答案：C43.以下哪種方法不能執(zhí)行命令（）A、system('whoami')B、system(whoami)C、eval('system(whoami)')D、system('eval(whoami)')正確答案：D44.B類IP地址，有多少位主機號？A、8B、16C、24D、31正確答案：B45.下列不是網(wǎng)站存在XSS漏洞的原因是（）A、網(wǎng)站存在可供用戶輸入的交互模式B、網(wǎng)站未對用戶下的敏感操作進行二次校驗C、網(wǎng)站對用戶輸入的數(shù)據(jù)未作過濾D、網(wǎng)站對輸出的數(shù)據(jù)未做處理正確答案：B46.協(xié)議的三要素不包括哪項？A、語法B、時序（同步）C、語義D、標點正確答案：D47.會話劫持最重要的是哪一步？A、使用拿到的標識登錄B、誘使用戶登錄C、獲得用戶的會話標識（如sessionid）正確答案：C48.盜取Cookie是用做什么？A、用于登錄B、DDOSC、釣魚D、會話固定正確答案：A49.下面哪個函數(shù)不能起到xss過濾作用？A、str_replace()B、htmlspecialchars()C、addslashes()D、preg_replace()正確答案：C50.以下說法錯誤的是？A、中間人攻擊與竊取cookie的攻擊原理相同B、會話劫持可以使攻擊者偽裝成目標登錄C、httponly可以讓xss漏洞也拿不走用戶cookie正確答案：A51.服務(wù)器的響應(yīng)頭中，一般不會包含哪一個字段A、Set-CookieB、Content-TypeC、CookieD、Connection正確答案：C52.下面哪種處理文件上傳的方式不夠妥當（）。A、通過黑名單驗證上傳的文件后綴名稱B、設(shè)置上傳目錄不可解析C、重命名上傳的文件名稱D、使用單獨的服務(wù)器存放上傳的文件正確答案：A答案解析：黑名單是威脅易繞過的53.寬字符SQL注入，主要利用的是哪種漏洞來實現(xiàn)的（）。A、GBK和UTF-8編碼不統(tǒng)一B、GBK長字符和短字符編碼不統(tǒng)一C、UTF-8長字符和短字符編碼不統(tǒng)一D、GBK和UTF-8編碼不一致正確答案：A54.電信詐騙的特點不包括下列哪個？A、形式集團化，反偵查能力非常強B、詐騙手段翻新速度很快C、犯罪活動的蔓延性比較大，發(fā)展很迅速D、微信正確答案：D55.PHP語言中==和===區(qū)別A、==會判斷值和類型，===只會判斷類型B、==只會判斷類型，===只會判斷值C、==只會判斷值，===會判斷值和類型D、==只會進行判斷值，===只會判斷類型正確答案：C56.郵件攻擊類型不包括下列哪一個？A、水坑攻擊B、仿冒企業(yè)郵件C、勒索病毒D、商業(yè)郵件詐騙正確答案：A57.#iptables–AINPUT–mu32--u32‘6&FF=0x11’–jDROP的作用是：（）。A、在輸入鏈,IP包中的協(xié)議字段為17則丟棄B、在轉(zhuǎn)發(fā)鏈,IP包中的協(xié)議字段為17則丟棄C、在轉(zhuǎn)發(fā)鏈,IP包中的協(xié)議字段為11則丟棄D、在輸入鏈,IP包中的協(xié)議字段為11則丟棄正確答案：A58.httponly屬性起到的作用是（）A、僅允許HTTPS協(xié)議讀取cookieB、防御XSS攻擊C、對HTTP數(shù)據(jù)包加密D、禁止除HTTP/HTTPS以外的協(xié)議讀取cookie正確答案：D59.setcookie()函數(shù)在不設(shè)置時間情況下，Cookie默認保存多長時間A、瀏覽器關(guān)閉cookie失效B、1小時C、12小時D、24小時正確答案：A60.Windows操作系統(tǒng)中查看ARP緩存表的命令是（）。A、arp-aB、arp-dC、arp-sD、arp-n正確答案：A61.TCP/IP模型分幾層？A、4B、5C、6D、7正確答案：A62.RSA屬于？A、秘密密鑰密碼算法B、公用密鑰密碼算法C、保密密鑰密碼算法D、對稱密鑰密碼算法正確答案：B63.下面關(guān)于UDP的描述哪個是正確的？A、面向連接，可靠的傳輸B、面向無連接，不可靠的傳輸C、傳輸也需要握手過程D、能確保到達目的的正確答案：B64.Burpsuite代理HTTP流量時作為什么角色A、TCP中繼B、代理服務(wù)器C、路由器D、網(wǎng)關(guān)正確答案：B65.下列哪一個不屬于電信詐騙？A、DDOS攻擊B、冒充國家相關(guān)工作人員調(diào)查唬人C、虛構(gòu)退稅D、假稱退還養(yǎng)老金、撫恤金正確答案：A66.以下哪種協(xié)議可用于承載TCP協(xié)議？A、IPB、ICMPC、UDPD、HTTP正確答案：A二、多選題（共28題，每題1分，共28分）1.Wireshark通過哪個面板展示數(shù)據(jù)包信息？A、PacketDetailsB、PacketBytesC、捕獲過濾器D、顯示過濾器正確答案：AB2.郵件安全防護策略包含下列哪幾個：A、識別風險B、響應(yīng)事件C、防護郵件D、監(jiān)測攻擊正確答案：ABCD3.在HTTP響應(yīng)的MIME消息體中，可以同時包含的數(shù)據(jù)類型是（）A、圖片數(shù)據(jù)B、音頻數(shù)據(jù)C、文本數(shù)據(jù)D、視頻數(shù)據(jù)正確答案：ABCD4.屬于xss跨站漏洞危害的是（）?。A、網(wǎng)站掛馬B、釣魚欺騙C、sql數(shù)據(jù)泄露D、身份盜用正確答案：ABD5.HTTP協(xié)議請求中不會存在哪個字段A、Set-cookieB、Last-modifiedC、LocationD、User-Agent正確答案：ABC6.任何個人和組織有權(quán)對危害網(wǎng)絡(luò)安全的行為向等部門舉報。A、電信B、公安C、網(wǎng)信D、工信正確答案：ABC7.下列哪個描述的是防范虛構(gòu)事實的詐騙：A、切不可貪圖便宜，與市價相差較大的網(wǎng)絡(luò)商品，不要相信。B、通過子女所在學(xué)校、單位、同學(xué)、朋友聯(lián)系，進行核實，確認情況的真實性。C、接到親人被綁架、受傷住院、被扣留拘禁等電話或短信時，一定要冷靜應(yīng)對，弄清情況，請及時報警D、對于好友QQ、微信、手機發(fā)送過來涉及到借錢、匯款等信息，一定要電話聯(lián)系到本人進行確認正確答案：BC8.上網(wǎng)安全中的兩種公共設(shè)備謹慎用，指的是：A、計算機安全B、公共手機充電樁C、物聯(lián)網(wǎng)（IoT）設(shè)備成為薄弱環(huán)節(jié)D、公共WIFI正確答案：BD9.下列哪個描述是針對防范冒充身份詐騙的：A、確認真?zhèn)渭皩Ψ缴矸菡鎸嵭訠、確認身份要多問幾個私密問題C、主動答應(yīng)對方要求D、不要主動猜測對方是誰正確答案：ABD10.邏輯漏洞中，兩種繞過授權(quán)驗證方法為?A、方向越權(quán)B、水平越權(quán)C、垂直越權(quán)D、交叉越權(quán)正確答案：BC11.Metasploit框架中的模塊都包含哪些模塊類型（）。A、PayloadsB、PostC、ExploitsD、AUXE、NopsF、Encoders正確答案：ABCDEF12.關(guān)于命令執(zhí)行漏洞的成因，以下說法正確的是？A、使用了PHP中的system，exec，shell_exec等函數(shù)B、沒有配置防火墻C、調(diào)用第三方組件存在代碼執(zhí)行漏洞D、代碼層過濾不嚴格正確答案：ACD13.網(wǎng)絡(luò)運營者收集使用個人信息，應(yīng)當遵循______________的原則，公開收集使用規(guī)則，明示收集使用信息的目的方式和范圍，并經(jīng)被收集者同意。A、合法B、正當C、真實D、必要正確答案：ABD14.信息安全范疇包括下列哪幾個：A、通信安全B、信息本身的安全C、計算機安全D、物聯(lián)網(wǎng)（IoT）設(shè)備成為薄弱環(huán)節(jié)正確答案：ABC15.文件包含漏洞的危害有哪些？A、控制網(wǎng)站B、服務(wù)器費用增加C、執(zhí)行任意腳本代碼D、控制整臺服務(wù)器正確答案：ACD16.計算機網(wǎng)絡(luò)主要實現(xiàn)哪些功能？A、提高可靠性B、資源共享C、協(xié)同工作D、通信正確答案：ABCD17.下面那些層未在TCP/IP中定義？A、傳輸層B、網(wǎng)絡(luò)C、表示層D、會話層正確答案：CD18.任何個人和組織應(yīng)當對其使用網(wǎng)絡(luò)的行為負責，不得設(shè)立用于（）違法犯罪活動的網(wǎng)站通訊群組，不得利用網(wǎng)絡(luò)發(fā)布涉及實施詐騙，制作或者銷售違禁物品管制物品以及其他違法犯罪活動的信息。A、傳授犯罪方法B、實施詐騙C、制作或者銷售違禁物品D、制作或者銷售管制物品正確答案：ABCD19.apache+Linux日志默認路徑是?A、/etc/httpd/logs/access_logB、/var/log/httpd/access_logC、%SystemDrive%\inetpub\logs\LogFilesD、/usr/local/nginx/logs正確答案：AB20.如何防范命令執(zhí)行漏洞，以下說法正確的是？A、進入執(zhí)行命令函數(shù)/方法之前，變量一定要做好過濾對敏感字符進行轉(zhuǎn)義B、對于PHP語言來說，不能完全控制的危險函數(shù)最好不要使用過濾不嚴或被繞過C、一定要使用系統(tǒng)執(zhí)行命令D、在使用動態(tài)函數(shù)之后，確保使用函數(shù)是指定函數(shù)之一；正確答案：ABD21.根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，任何個人和組織（）。A、不得從事非法侵入他人網(wǎng)絡(luò)干擾他人網(wǎng)絡(luò)正常功能等危害網(wǎng)絡(luò)安全的活動B、不得提供專門用于從事侵入網(wǎng)絡(luò)干擾網(wǎng)絡(luò)正常功能等危害網(wǎng)絡(luò)安全活動的程序C、明知他人從事危害網(wǎng)絡(luò)安全的活動的，不得為其提供技術(shù)支持D、明知他人從事危害網(wǎng)絡(luò)安全的活動的，可以為其進行廣告推廣正確答案：ABC22.選擇關(guān)于Cookie正確的選項A、Cookie是同協(xié)議、同域名、同端口的B、修改Cookie只能用一個同名Cookie將其覆蓋C、瀏覽器可以將持續(xù)時間為負數(shù)的Cookie保存為文件D、同父域的兩個子域名可以通過設(shè)置共享Cookie正確答案：AD23.下面哪個代碼是不安全的,可能存在sql注入漏洞（）正確答案：birth答案解析：scorefromtbl_studentwherenamelike'%$name$%'</select>);([B、]>Stmt=connection.prepareStatement("select*fromarticleswhereuid=?");stmt.setInt(124.以下關(guān)于PHP文件包含函數(shù)的說法中，正確的是？A、使用include()，只有代碼執(zhí)行到此函數(shù)時才將文件包含進來，發(fā)生錯誤時只警告并繼續(xù)執(zhí)行。B、require_once()功能和require()一樣，區(qū)別在于當重復(fù)調(diào)用同一文件時，程序只調(diào)用一次。C、inclue_once()和include()完全一樣D、使用require()，只要程序執(zhí)行，立即調(diào)用此函數(shù)包含文件，發(fā)生錯誤時，會輸出錯誤信息并立即終止程序。正確答案：ABD25.下列哪幾條屬于防電信詐騙十條中的守則：A、凡是索要短信驗證碼的全是騙子B、釣魚網(wǎng)站要提防C、手機短信內(nèi)的鏈接都別點D、閉口不談卡號和密碼正確答案：BCD26.php://filter/read=convert.base64-encode/resource=../../../../../etc/passwd假設(shè)某PHP頁面存在文件包含漏洞，上述Payload可以獲得哪些信息A、Linux系統(tǒng)中所有的用戶名B、Windows系統(tǒng)中所有的用戶名C、系統(tǒng)中各個用戶的權(quán)限以及可執(zhí)行文件所在目錄D、用戶密碼正確答案：AC27.下面哪些應(yīng)用使用了UDP協(xié)議承載？A、SMTPB、DNSC、TFTPD、SNMP正確答案：BCD28.使用00截斷進行文件上傳時，上傳未成功可能的原因是（）A、使用POST方式提交%00，但并未轉(zhuǎn)碼B、使用GET方式提交%00，但重復(fù)轉(zhuǎn)碼C、使用GET方式提交，未刪除httpbody中POST內(nèi)容D、網(wǎng)頁設(shè)置了上傳白名單，在白名單前進行了截斷E、使用GET方法提交，但未修改方