1+X網(wǎng)絡安全模擬練習題與答案

1+X網(wǎng)絡安全模擬練習題與答案1、IEEE802.1x協(xié)議主要用來()？A、網(wǎng)絡訪問控制B、流量優(yōu)先級控制C、虛擬局域網(wǎng)管理D、生成樹管理答案：A2、XSS不能用來干什么()？A、預測會話憑證B、劫持用戶會話C、固定會話D、獲取用戶cookie答案：A3、IIS短文件名可以猜測幾位字符()A、3B、6C、9D、不限制答案：B4、下列哪個是Nginx解析漏洞會解析為php的文件()A、php.xxxB、A.xx/.phpC、A.phpl\.xssD、A.php.xss答案：B5、下列哪個是APT組織海蓮花主要的攻擊手法：()A、DOSB、SYNC、CCD、水坑攻擊答案：D6、防止盜用IP行為是利用防火墻的功能()A、防御攻擊的功能B、訪問控制功能C、IP地址和MAC地址綁定功能D、URL過濾功能答案：C7、盜取Cookie是用做什么()？A、用于登錄B、DDOSC、釣魚D、會話固定答案：A8、使用菜刀連接一句話木馬發(fā)生錯誤時，下列檢查方法最不適合的是()A、馬上重傳一句話木馬B、通過在瀏覽器訪問，看是否被成功解析C、查看是否填入了正確的密碼D、在菜刀中查看是否選擇了正確的腳本語言答案：B9、關閉windows系統(tǒng)默認共享的方法不包括()A、利用netshare命令B、利用計算機管理器C、本地安全策略管理器D、利用服務管理器答案：C10、在滲透測試過程中，“確定滲透測試的范圍和目標”事項，應在()階段完成。A、前期交互B、信息收集C、威脅建模D、滲透攻擊答案：A11、在HTTP狀態(tài)碼中表示重定向的是()A、200B、302C、403D、500答案：B12、在Kali操作系統(tǒng)中，既屬于“信息收集工具”，又屬于“漏洞分析工具”的是()。A、MimikatzB、NmapC、Aircrack-ngD、Clang答案：B13、關于JAVA三大框架，說法正確的是()？A、三大框架是Struts+Hibernate+PHPB、Hibernate主要是數(shù)據(jù)持久化到數(shù)據(jù)庫C、Struts不是開源軟件D、Spring缺點是解決不了在J2EE開發(fā)中常見的的問題答案：B14、下面哪個函數(shù)不能起到xss過濾作用()？A、str_replaceB、preg_replaceC、addslashesD、htmlspecialchars答案：C15、下列哪一個選項不屬于XSS跨站腳本漏洞危害()？A、釣魚欺騙B、身份盜用C、SQL數(shù)據(jù)泄露D、網(wǎng)站掛馬答案：C16、Iptables防火墻清除規(guī)則命令是()。A、iptables-FB、iptables-PC、iptables-AD、iptables-D答案：A17、Nginx目錄遍歷的相關配置是()？A、autoindexonB、fpminitC、nginx-phpD、php-fpm答案：A18、下列對XSS的解釋最準確的是()A、引誘用戶點擊虛擬網(wǎng)絡連接的一種攻擊方法B、構(gòu)造精妙的關系數(shù)據(jù)庫的結(jié)構(gòu)化查詢語言對數(shù)據(jù)庫進行非法訪問C、一種很強大的木馬攻擊手段D、將惡意代碼嵌入到用戶瀏覽器的Web頁面中，從而達到惡意的目的答案：D19、DOM中不存在下面那種節(jié)點()A、元素節(jié)點B、文本節(jié)點C、屬性節(jié)點D、邏輯節(jié)點答案：D20、數(shù)據(jù)庫安全的第一道保障是()？A、操作系統(tǒng)的安全B、數(shù)據(jù)庫管理系統(tǒng)層次C、網(wǎng)絡系統(tǒng)的安全D、數(shù)據(jù)庫管理員答案：C21、IIS命令執(zhí)行中，我們通常用來測試命令執(zhí)行的payload執(zhí)行結(jié)果是()？A、反彈shellB、彈出計算器C、shutdownD、開啟遠程桌面連接答案：B22、在使用Linux的VIM編輯器的命令模式中，我們使用什么鍵可以上移光標()A、hB、jC、kD、l答案：C23、__get()魔術方法在什么時候執(zhí)行？()A、當程序試圖寫入一個不存在或者不可見的成員變量時B、當程序試圖調(diào)用一個未定義或不可見的成員變量時C、類被當成字符串時D、調(diào)用函數(shù)的方式調(diào)用一個對象時答案：B24、typecho反序列化漏洞中，__get()函數(shù)中調(diào)用了哪個函數(shù)()？A、_applyFilterB、getC、__getD、call_user_func答案：B25、關于apache安全配置說法錯誤的是()A、單獨建立用戶,以低權限運行保證服務器安全B、開啟殺毒軟件防護C、網(wǎng)站目錄禁止寫入權限D(zhuǎn)、禁止目錄執(zhí)行腳本程序答案：B26、關于命令執(zhí)行漏洞，以下說法錯誤的是()？A、該漏洞可導致黑客控制整個網(wǎng)站甚至控制服務器B、命令執(zhí)行漏洞只發(fā)生在PHP的環(huán)境中C、沒有對用戶輸入進行過濾或過濾不嚴可能會導致此漏洞D、命令執(zhí)行漏洞是指攻擊者可以隨意執(zhí)行系統(tǒng)命令答案：B27、在滲透測試過程中，“確定滲透測試的范圍和目標”事項，應在()階段完成。A、前期交互B、信息收集C、威脅建模D、滲透攻擊答案：A28、在用瀏覽器查看網(wǎng)頁時出現(xiàn)404錯誤可能的原因是()？A、頁面源代碼錯誤B、文件不存在C、與數(shù)據(jù)庫連接錯誤D、權限不足答案：B29、Structs框架默認的表達式語言是()。A、正則表達式B、OGNLC、PythonD、以上選項均不正確答案：B30、Windows服務器操作系統(tǒng)安全設置加固方法說法錯誤的()A、設置復雜的口令B、清理系統(tǒng)垃圾文件C、系統(tǒng)打上補丁D、配置ip策略防火墻答案：B31、ICMP泛洪利用了()。A、ARP命令的功能B、traceroute命令的功能C、ping命令的功能D、route命令的功能答案：C32、下列措施中不能增強DNS安全的是()。A、使用最新的BIND工具B、雙反向查找C、更改DNS的端口號D、不要讓HINFO記錄被外界看到答案：C33、系統(tǒng)信息命令systeminfo說法錯誤的是()A、可以查看系統(tǒng)用戶B、系統(tǒng)的補丁情況C、操作系統(tǒng)類型D、操作系統(tǒng)的位數(shù)答案：A34、以下哪項不是常用防御CSRF的方法()A、驗證HTTPReferer字段B、token驗證C、HTTP頭自定義屬性D、User-Agent驗證答案：D35、攻擊者截獲并記錄了從A到B的數(shù)據(jù)，然后又從早些時候所截獲的數(shù)據(jù)中提取出信息重新發(fā)往B稱為？()A、中間人攻擊B、口令猜測器和字典攻擊C、強力攻擊D、回放攻擊答案：D36、DOM中不存在下面那種節(jié)點()A、元素節(jié)點B、文本節(jié)點C、屬性節(jié)點D、邏輯節(jié)點答案：D37、MSSQL的默認端口是()A、3389B、1521C、3306D、1433答案：D38、關閉默認共享C$的命令是()A、netshareC$/delB、netshareC$/closeC、netuseC$/delD、netuserC$/del答案：A39、利用Firefox瀏覽器的()插件，可基于URL的參數(shù)在一個或多個代理之間進行切換。A、HackbarB、FlagfoxC、FoxyProxyD、User-Agent答案：C40、orderby是()？A、分組語句B、排序語句C、子查詢語句D、條件語句答案：B41、__toString()魔術方法在什么時候執(zhí)行()？A、執(zhí)行serialize時B、當對象復制完成時C、類被當成字符串時D、當程序試圖寫入一個不存在或者不可見的成員變量時答案：C42、Python導入模塊方式錯誤的是()？A、import**B、from**import**C、import**as**D、import**from**答案：D43、下面說法正確的是()？A、只需要在輸入處過濾xss就可以了B、htmlspecialchars可以完全杜絕xss攻擊C、在輸入和輸出處都要過濾xss攻擊D、使用防止sql注入的函數(shù)也可以防御xss答案：C44、下面對Apache解析漏洞說法正確的是()？A、僅用于Apache2.XB、僅用于Apache1.XC、與版本無關，與配置文件有關D、僅在Apache答案：C45、XSS跨站腳本攻擊劫持用戶會話的原理是()？A、竊取目標cookieB、使目標使用自己構(gòu)造的cookie登錄C、修改頁面，使目標登錄到假網(wǎng)站D、讓目標誤認為攻擊者是他要訪問的服務器答案：A46、什么是序列化()？A、將程序的運行結(jié)果轉(zhuǎn)換為可存儲或傳輸?shù)男问降倪^程B、將對象的狀態(tài)信息轉(zhuǎn)換為可存儲或傳輸?shù)男问降倪^程C、將程序的變量信息轉(zhuǎn)換為可存儲或傳輸?shù)男问降倪^程D、將程序的函數(shù)信息轉(zhuǎn)換為可存儲或傳輸?shù)男问降倪^程答案：B47、KaliLinux滲透系統(tǒng)中的Hydra軟件功能主要是()。A、網(wǎng)絡監(jiān)聽B、漏洞掃描C、暴力破解D、信息收集答案：C48、若$a=“aa”;$aa=“bb”;則echo$$a輸出的結(jié)果是()？A、aaB、bbC、$aaD、$$a答案：B49、使用token防御的方法在什么情況可以被繞過()？A、存在一個xss漏洞B、沒有做字符集限制C、開啟了3389端口D、遠程服務器上運行著IIS服務器答案：A50、Linux的crontab文件用于()A、保存用戶名密碼B、記錄用戶最后的登錄時間C、執(zhí)行計劃任務D、記錄管理員的操作答案：C51、"（單選題）下面O:8:"Threezh1":1:{s:4:"text";s:16:"echo"Threezh1";";}說法錯誤的是()？。"A、O代表這是一個數(shù)組B、8代表對象名稱的長度C、1代表成員個數(shù)D、大括號中分別是：屬性名類型、長度、名稱值類型、長度、值答案：A52、通過修改HTTPheaders中的哪個鍵值可以偽造來源網(wǎng)址()A、X-Forwarded-ForB、RefererC、User-AgentD、Accept答案：B53、關于exit()與die()的說法正確的是()？A、當exit函數(shù)執(zhí)行會停止執(zhí)行下面的腳本，而die無法做到B、當die函數(shù)執(zhí)行會停止執(zhí)行下面的腳本，而exit無法做到C、使用die函數(shù)的地方也可以使用exit函數(shù)替換D、die函數(shù)和exit函數(shù)完全不同答案：C54、郵件攻擊類型不包括下列哪一個()？A、勒索病毒B、商業(yè)郵件詐騙C、水坑攻擊D、仿冒企業(yè)郵件答案：C55、DVWA-CSRF-High的防御方法是()？A、在表單頁面添加了隨機token，然后后端驗證改tokenB、使用云wafC、檢查referer頭中是否有站點ip地址D、過濾了大量字符答案：A56、下列哪個超全局變量可以繞過magic_quotes_gpc過濾()A、$_SERVERB、$_SESSIONC、$_COOKIED、$_POST答案：A57、寬字節(jié)注入利用漏洞原理主要是基于()A、漢字編碼中gbk和uft-8的不統(tǒng)一B、數(shù)據(jù)庫對輸入長度控制不嚴引起C、URL提交請求中的特殊符號引起D、URL提交請求中的大小寫沒有過濾引起答案：A58、在網(wǎng)絡安全等級保護中，網(wǎng)絡信息系統(tǒng)可劃分為()安全保護等級。A、2B、3C、4D、5答案：D59、下面哪個函數(shù)不能起到xss過濾作用()？A、str_replaceB、preg_replaceC、addslashesD、htmlspecialchars答案：C60、IP地址長度為多少位二進制()A、16B、32C、48D、64答案：B61、下列哪個函數(shù)不能導致命令執(zhí)行漏洞()。A、systemB、issetC、evalD、exec答案：B62、HTTP的“無連接”指的是()？A、采用UDP協(xié)議B、HTTP沒有記錄連接的狀態(tài)信息C、服務器不記錄任何信息D、服務器拒絕長連接答案：B63、下列哪一個不屬于信息安全三要素CIA()？A、機密性B、可用性C、完整性D、個人電腦安全答案：D64、下面哪種提示比較安全()？A、用戶不存在B、用戶名/密碼錯誤C、密碼錯誤D、用戶未注冊答案：B65、下面哪個函數(shù)使用PHP連接MySQL數(shù)據(jù)庫()？A、mysql_connectB、mysql_queryC、mysql_closeD、以上都不對答案：A66、下列哪一種網(wǎng)絡欺騙技術是實施交換式（基于交換機的網(wǎng)絡環(huán)境）嗅探攻擊的前提()。A、IP欺騙B、DNS欺騙C、ARP欺騙D、路由欺騙答案：C67、IPSecVPN提供AH和()兩種安全機制。A、ESPB、加密C、鑒別D、認證答案：A68、利用以下哪個語句可以快速判斷注入的列數(shù)()?A、select1,2,3,4,5frominforamation_schemaB、orderby數(shù)字C、通過unionselectnull，增加null的數(shù)量逐個去試D、orderby列名答案：C69、在ModSecurity中，將匹配對象轉(zhuǎn)換為小寫的是()。A、@rxlowercaseB、t:lowercaseC、t:noneD、t:urldecoce答案：B70、PHP-fpm通過那個變量執(zhí)行.php文件()A、fastCGItypeB、PHP_VALUEC、PHP_ADMIN_VALUED、SCRIPT_FILENAME答案：D71、常用于過濾SQL注入的函數(shù)()A、htmlspecialcharsB、addslashesC、intvalD、empty答案：B72、Iptables防火墻設置默認規(guī)則的命令是()。A、iptables-FB、iptables-PC、iptables-AD、iptables-D答案：B73、Iptables防火墻包括()和iptables外殼程序。A、NetfilterB、FirewalldC、Iptables表D、鏈答案：A74、下列哪個語句在Python中是非法的()？A、x=y=z=1B、x=y=z+1C、x,y=y,xD、x+=y答案：B75、netview/domain說法正確的是()A、查詢有幾個域B、查詢有幾個工作組C、查詢又幾個工作組D、查詢當前域下的用戶答案：A76、利用以下哪個語句可以快速判斷注入的列數(shù)()?A、select1,2,3,4,5frominforamation_schemaB、orderby數(shù)字C、通過unionselectnull，增加null的數(shù)量逐個去試D、orderby列名答案：C77、Burpsuite代理HTTP流量時作為什么角色()A、TCP中繼B、代理服務器C、路由器D、網(wǎng)關答案：B78、在centos中，用戶root的默認工作路徑是()A、/rootB、/home/rootC、/usrD、/usr/root答案：A79、以下哪一選項是搜索網(wǎng)段地址（比如C段）的語法關鍵字()？A、hostnameB、portC、netD、city答案：C80、以下可以利用apache解析漏洞的payload是()？A、1.php.aaaB、1.php.zipC、2.php/aaaD、2.aaa.php答案：A81、離線憑證收集工具有的是()A、SaminsideB、御劍掃描器C、CainD、Sqlmap答案：AC82、屬于支付邏輯缺陷的是()。A、API濫用B、驗證碼爆破C、短信轟炸D、無限充值答案：ABCD83、WAF繞過方法包括()A、改變大小寫B(tài)、改變編碼C、替換字符串D、字符串變形答案：ABCD84、常見的網(wǎng)絡滲透測試方法有？()。A、黑盒測試B、白盒測試C、模糊測試D、灰盒測試答案：ABD85、通過google搜索引擎可能查找到以下哪些信息？()A、登錄后臺B、特定種類文件C、漏洞頁面D、錯誤信息答案：ABCD86、以下哪些選項可歸屬于信息收集的方式？()A、DNS、子域名、C段B、郵箱C、WEB指紋D、社工庫E、釣魚攻擊答案：ABCDE87、安全的令牌應該在何時失效？()A、長時間過后B、關閉瀏覽器C、多次提交過后D、用戶點擊注銷后答案：ABCD88、請從以下說法中，選擇正確選項？()A、apache日志默認在/etc/httpd/logs/access_log或index.php?page=/var/log/httpd/access_logB、window2003+iis6.0日志文件默認放在C:\WINDOWS\system32\LogfilesC、iis7日志文件默認在%SystemDrive%\inetpub\logs\LogFilesD、iis7配置文件默認目錄C:\Windows\System32\inetsrv\config\applicationHost.config答案：ABCD89、ipc入侵說法正確的是()A、IPC是共享命名管道的資源B、ipc入侵存在Linux系統(tǒng)中C、ipc入侵密碼是空口令D、ipc入侵不能植入木馬答案：AC90、對于SQL注入攻擊的防御，可以采取哪些措施()A、不要使用管理員權限的數(shù)據(jù)庫連接，為每個應用使用單獨的權限有限的數(shù)據(jù)庫連接B、不要把機密信息直接存放，加密或者hash掉密碼和敏感的信息C、不要使用動態(tài)拼裝sql，可以使用參數(shù)化的sql或者直接使用存儲過程進行數(shù)據(jù)查詢存取D、對表單里的數(shù)據(jù)進行驗證與過濾，在實際開發(fā)過程中可以單獨列一個驗證函數(shù)，該函數(shù)把每個要過濾的關鍵詞如select，1=1等都列出來，然后每個表單提交時都調(diào)用這個函數(shù)答案：ABCD91、關于內(nèi)網(wǎng)說法正確的是()A、內(nèi)網(wǎng)是一個只有組織工作人員才能訪問的專用網(wǎng)絡B、組織內(nèi)部IT系統(tǒng)提供的大量信息和服務是公眾無法從互聯(lián)網(wǎng)獲得的C、最簡單的形式是使用局域網(wǎng)和廣域網(wǎng)的技術建立內(nèi)網(wǎng)D、可以自己接入外網(wǎng)，不需要路由器答案：ABC92、上傳不符合windows文件命名規(guī)則的文件名的有()。A、test.asp空格B、test.asp.C、test.php:1.jpgD、test.php答案：ABC93、在進行Php代碼審計時，尋找代碼執(zhí)行漏洞主要尋找代碼中是否使用了相關函數(shù)，包括的函數(shù)名稱有()A、assertB、call_user_funcC、call_user_func_arrayD、eval答案：ABCD94、IPSecVPN的兩種安全機制是()。A、AHB、IKEC、ESPD、Hash答案：BC95、企業(yè)安全建設包含哪些維度？()A、人員B、系統(tǒng)C、技術D、管理答案：ACD96、ModSecurity規(guī)則結(jié)構(gòu)包括()。A、CommandB、OPERATORC、ACTIONSD、VARIABLES答案：ABCD97、包含日志文件getshell時，如何讓日志文件插入PHP代碼？()A、使用burpsuit抓包訪問B、curl訪問不存在的urlC、先getshell,再插入代碼D、以上說法都對答案：AB98、關于命令執(zhí)行漏洞的成因，以下說法正確的是？()A、代碼層過濾不嚴格B、調(diào)用第三方組件存在代碼執(zhí)行漏洞C、沒有配置防火墻D、使用了PHP中的system，exec，shell_exec等函數(shù)答案：ABD99、開啟php安全模式的說法正確的是()A、禁止執(zhí)行危險函數(shù)B、apache配置文件里設置C、能夠防御SQL注入攻擊D、防止Webshel