南開19春學(xué)期1709、1803、1809、1903攻防技術(shù)基礎(chǔ)在線作業(yè)-0003參考答案

19春學(xué)期（1709、1803、1809、1903）《攻防技術(shù)基礎(chǔ)》在線作業(yè)-0003試卷總分:100得分:0一、單選題（共25道試題,共50分）1.IDAPRO簡稱IDA,是一個交互式（）工具。A.調(diào)試B.匯編C編譯D.反匯編正確答案:D.當(dāng)傳輸層沒有進行安全保護時，會遇到（）安全威脅。A.MITMB.XSSC.SQLD.SSRF正確答案:A.在軟件產(chǎn)品完成開發(fā)并發(fā)布后，往往在功能、安全性、運行穩(wěn)定性等方面不能滿足用戶要求()。，是導(dǎo)致不正確Z()。，是導(dǎo)致不正確Z^果的行為，它可能是有意無意的誤A.管理B.維護C測試D.更新正確答案:B.（）是指軟件設(shè)計者或開發(fā)者犯下的錯誤解、對問題考慮不全面所造成的過失等。A.FaultB.HoleC.WeaknessD.Error正確答案:D.Windows的內(nèi)存可以被分為兩個層面（）。A.虛擬內(nèi)存和邏輯內(nèi)存B.邏輯內(nèi)存和物理內(nèi)存C.物理內(nèi)存和虛擬內(nèi)存D.物理內(nèi)存和邏輯內(nèi)存正確答案:C.以下有關(guān)認證與授權(quán)的說法正確的是（）。A.認證和授權(quán)的功能相同B.授權(quán)是根據(jù)不同用戶的憑證來確定用戶的身份。C授權(quán)是通過認證后確定用戶的權(quán)限有哪些。D.一般來說，單因素認證的安全強度要高于多因素認證。正確答案:C.下面說法錯誤的是（）。A.GET請求的數(shù)據(jù)會附在URL之后。.POST請求的數(shù)據(jù)會附在URL之后。C.POS甘巴提交的數(shù)據(jù)放置在HTTP包的包體中。D.通過GET提交數(shù)據(jù)，用戶名和密碼將明文出現(xiàn)在URL上。正確答案:A.以下選項中哪個不是公開的漏洞庫。（）A.VuldaB.CNVDC.CNNVDD.BugTraq正確答案:A.（）是由于向程序的緩沖區(qū)中輸入的數(shù)據(jù)超過其規(guī)定長度，造成緩沖區(qū)溢出，破壞程序正常的堆棧，使程序執(zhí)行其他指令。A.設(shè)計錯誤漏洞B.訪問驗證漏洞C配置錯誤漏洞D.緩沖區(qū)溢出漏洞正確答案:D.Web瀏覽器（）向Web服務(wù)器這個中間層發(fā)送請求，中間層通過查詢、更新數(shù)據(jù)庫（）來響應(yīng)該請求。A.表布層、存儲層B.會話層、應(yīng)用層C網(wǎng)絡(luò)層、傳輸層D.會話層、存儲層正確答案:A.緩沖區(qū)溢出后執(zhí)行的代碼，會以（）的身份權(quán)限運行。A.系統(tǒng)B用戶C原有程序D.程序正確答案:C.()成立于1999年9月，是工業(yè)和信息化部領(lǐng)導(dǎo)下的國家級網(wǎng)絡(luò)安全應(yīng)急機構(gòu)。A.BugTraqB.CNCERTC.CNNVDD.EDB正確答案:B.()適合檢查因控制流信息非法操作而導(dǎo)致的安全問題，如內(nèi)存訪問越界、常數(shù)傳播等。A.詞法分析B.數(shù)據(jù)流分析C符號執(zhí)行D.模型檢驗正確答案:B.棧的存取采用()的策略。A.先進先出B.后進先出C.后進后出D.先進后出正確答案:D.木馬與病毒的重大區(qū)別是()。A.木馬會自我復(fù)制B.木馬具有隱蔽性C木馬不具感染性D.木馬通過網(wǎng)絡(luò)傳播正確答案:C.下面哪個選項可能是文件包含漏洞的利用方式()。A.'and1=1B.{{1*2}}=2C.search=file:〃/etc/passwdD.vscript>alert(1)</script>正確答案:C.以下哪個選項屬于木馬（）。A.震網(wǎng)病毒B.WannaCryC灰鴿子D.熊貓燒香正確答案:C.以下哪項指令全部屬于算數(shù)運算指令（）A.MOV、ADD、ADCB.PUSHPOP、LOOPC.INCSUBANDD.ADDSBBMUL正確答案:D.前整個滲透測試方提體系中最容易被忽略、最不被重視、最易受人誤解的一環(huán)是（）。A.前期交互B.漏洞分析C.信息搜集D.威脅建模正確答案:C.（）解決的是如何組織軟件的開發(fā)過程，但是它沒有解決如何在軟件開發(fā)過程中防止安全缺陷的出現(xiàn)。A.軟件開發(fā)生命周期B.安全威脅模型C安全設(shè)計D.安全編程正確答案:A.以下說法錯誤的是（）A.靜態(tài)分析可以比較全面地考慮執(zhí)行路徑，漏報率比動態(tài)分析低。B.動態(tài)分析由于獲取了具體的運行信息，因此報告的漏洞更為準(zhǔn)確，誤報率較低。C將動態(tài)分析和靜態(tài)分析結(jié)合起來對二進制進行分析，這種技術(shù)比單純的動態(tài)和靜態(tài)分析更加簡單，比較有代表性的是BitBlaze。D.TEMU是BitBlaze的動態(tài)分析模塊，其實質(zhì)是一個虛擬機。正確答案:C22.下面描述錯誤的（）。A.＜head＞定義了文檔的信息B.vlink＞定義了HTML文檔中的元數(shù)據(jù)C.vscript＞定義了客戶端的腳本文件D.vbase＞定義了頁面鏈接標(biāo)簽的默認鏈接地址正確答案:B.轟動全球的震網(wǎng)病毒是（）。A.木馬B.蠕蟲病毒C后門D.寄生型病毒正確答案:B.想要查找URL中包含nankai的搜索指令的是（）。A.site:nankaiB.inurl:nankaiC.intitle:nankaiD.ipnankai正確答案:B25.在軟件開發(fā)的設(shè)計階段，通過（）原則，預(yù)先從設(shè)計和架構(gòu)角度消除安全缺陷，將成為軟件安全開發(fā)的關(guān)鍵。A.安全編程B.安全測試C應(yīng)用安全設(shè)計D.安全開發(fā)正確答案:C二、判斷題（共25道試題,共50分）.反射型XSS屬于持久型。A對B錯正確答案:B.滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法。A對B錯正確答案:A.數(shù)據(jù)流分析適合檢查因控制流信息非法操作而導(dǎo)致的安全問題，如內(nèi)存訪問越界、常數(shù)傳播等。A對B錯正確答案:A.最小權(quán)限原則是為軟件授予其所需要的最少權(quán)限。A對B錯正確答案:A.當(dāng)程序啟動將執(zhí)行文件加載到內(nèi)存時，操作系統(tǒng)通過內(nèi)核模塊提供的ASL網(wǎng)能，在原來映像基址的基礎(chǔ)上加上一個隨機數(shù)作為新的映像基址。A對B錯正確答案:A.堆溢出是緩沖區(qū)溢出中最簡單的一種。A對B錯正確答案:B.由于堆與棧結(jié)構(gòu)的不同，堆溢出不同于棧溢出。相比于棧溢出，堆溢出的實現(xiàn)難度要小一點而且往往要求進程在內(nèi)存中具備特定的組織結(jié)構(gòu)。A對B錯正確答案:B.在計算機術(shù)語中，會話沒有特殊的含義。A對B錯正確答案:B.SQL中DDL主要指令有SELECTCREATE^UPDATEA對

B錯正確答案:B10.按照軟件工程開發(fā)出來的軟件一定不存在安全漏洞。A對B錯正確答案:B，可以用11.軟件靜態(tài)安全檢測技術(shù)是針對未處于運行狀態(tài)的軟件所開展的安全分析測試技術(shù)于對軟件源代碼和可執(zhí)行代碼的檢測。，可以用A對B錯正確答案:A12.Metasploit是一個開源的滲透測試框架軟件碼開發(fā)平臺。12.Metasploit是一個開源的滲透測試框架軟件碼開發(fā)平臺。A對B錯正確答案:A，也是一個逐步發(fā)展成熟的漏洞研究與滲透代13.有些軟件的漏洞存在于某些動態(tài)鏈接庫中而在下一次這些動態(tài)鏈接庫被重新裝載到內(nèi)存中A13.有些軟件的漏洞存在于某些動態(tài)鏈接庫中而在下一次這些動態(tài)鏈接庫被重新裝載到內(nèi)存中A對B錯正確答案:B，這些動態(tài)鏈接庫在進程運行時被動態(tài)加載，其在內(nèi)存中的棧幀地址是不變的。，因14.Opt-InMode模式下DEP對所有系統(tǒng)進程和特別定義的進程啟用。A對B錯正確答案:B.黑箱測試的時候，滲透者完全處于對系統(tǒng)一無所知的狀態(tài)。A對B錯正確答案:A.本地利用漏洞是指攻擊者可以直接通過網(wǎng)絡(luò)發(fā)起攻擊并利用的軟件漏洞。A對B錯正確答案:B.如果返回地址被覆蓋，當(dāng)覆蓋后的地址是一個無效地址，則程序運行失敗。如果覆蓋返回地址的是惡意程序的入口地址，則源程序?qū)⑥D(zhuǎn)向去執(zhí)行惡意程序。A對B錯正確答案:A.一個可執(zhí)行文件只包含有二進制的機器代碼。A對B錯正確答案:B19.SQL是二十世紀(jì)七十年代由舊M創(chuàng)建的，于1994年作為國際標(biāo)準(zhǔn)納入ANSLA對B錯正確答案:B.錯誤、缺陷、弱點和故障都等同于漏洞。A對B錯正確答案:B.more、less命令可以分頁顯示文本文件內(nèi)容。A對B錯正確答案:A.單純地依靠靜態(tài)分析技術(shù)或者單純依靠動態(tài)分析技術(shù)對二進制程序進行安全性分析很難達到理想的效果。A對B錯正確答案:A.C標(biāo)準(zhǔn)庫中和字符串操作