網(wǎng)絡(luò)安全1+X模擬習(xí)題+答案

網(wǎng)絡(luò)安全1+X模擬習(xí)題+答案一、單選題（共80題，每題1分，共80分）1、常用于過濾SQL注入的函數(shù)()A、empty()B、htmlspecialchars()C、addslashes()D、intval()正確答案：C2、Cookie的屬性中，Domain是指什么()？A、過期時間B、關(guān)聯(lián)Cookie的域名C、Cookie的名稱D、Cookie的值正確答案：B3、Nginx用來識別文件后綴的文件是()？A、mima.confB、handler.typesC、handler.confD、mime.types正確答案：D4、SQLi兩大基本類別是()A、字符型、數(shù)字型B、盲注、數(shù)字型注入C、有回顯注入、盲注D、報錯注入、延時注入正確答案：A5、__get()魔術(shù)方法在什么時候執(zhí)行？()A、當(dāng)程序試圖寫入一個不存在或者不可見的成員變量時B、類被當(dāng)成字符串時C、調(diào)用函數(shù)的方式調(diào)用一個對象時D、當(dāng)程序試圖調(diào)用一個未定義或不可見的成員變量時正確答案：D6、Cookie的屬性中，Value是指什么()？A、過期時間B、關(guān)聯(lián)Cookie時間C、Cookie的名字D、Cookie的值正確答案：D7、以下哪一選項是搜索網(wǎng)段地址（比如C段）的語法關(guān)鍵字()？A、hostnameB、portC、netD、city正確答案：C8、在MAC中，誰來檢查主體訪問客體的規(guī)則()？A、管理員B、用戶C、安全策略D、客體正確答案：C9、Apache解析漏洞中，相關(guān)配置是()？A、AddHandlerB、HttpdinitC、ApacheHandlerD、Phpinit正確答案：A10、CSRF是什么()？A、跨站請求偽造B、跨站腳本攻擊C、注入攻擊手法D、信息收集工具正確答案：A11、關(guān)于RPC說法錯誤的是()A、遠程過程調(diào)用時一種進程間通信機制B、RPC機制使用其他IPC機制C、不是windows默認(rèn)啟動進程D、RPC一般綁定在135端口上正確答案：C12、htaccess文件文件解析說法錯誤的()。A、htaccess叫分布式配置文件B、屬于IIS服務(wù)器配置相關(guān)指令C、屬于Apache服務(wù)器配置相關(guān)指令D、htaccess主要的作用有:URL重寫、自定義錯誤頁面、MIME類型配置以及訪問權(quán)限控制等正確答案：B13、ARP協(xié)議主要作用是()A、將IP地址解析成MAC地址B、將域名解析成IPC、將IP解析成域名D、將MAC解析成IP正確答案：A14、下面哪個函數(shù)可以起到過濾作用()？A、addslashes()B、find()C、preg_replace()D、replace()正確答案：C15、SQL注入過程中為了繞過WAF檢測或過濾規(guī)則，有時需要將敏感函數(shù)進行同功能替換，SQL盲注中sleep()函數(shù)經(jīng)常會用哪個函數(shù)進行替代()。A、Bensleep（）B、Substring（）C、Substr（）D、Benchmark（）正確答案：D16、文件解析漏洞一般結(jié)合什么漏洞一起使用()？A、CMSB、文件上傳C、命令執(zhí)行D、xss正確答案：B17、點擊Proxy組件中的哪個按鈕將攔截下來的包丟棄()A、ActionB、ForwardC、DropD、Command正確答案：C18、XSS跨站腳本攻擊劫持用戶會話的原理是()？A、讓目標(biāo)誤認(rèn)為攻擊者是他要訪問的服務(wù)器B、修改頁面，使目標(biāo)登錄到假網(wǎng)站C、使目標(biāo)使用自己構(gòu)造的cookie登錄D、竊取目標(biāo)cookie正確答案：D19、Nmap命令中的參數(shù)“-sS”表示()。A、TCPconnect掃描B、TCPSYN掃描C、ping掃描D、UDP掃描正確答案：B20、typecho反序列化漏洞中，__get()函數(shù)嘗試獲取哪個變量()？A、nameB、categoryC、screenNameD、author正確答案：C21、以下哪個方法結(jié)合token可以完全防御CSRF()？A、二次驗證B、各種wafC、防火墻D、過濾器正確答案：A22、入侵檢測系統(tǒng)與入侵防御系統(tǒng)的最大區(qū)別是()A、入侵防御系統(tǒng)可阻止入侵行為B、入侵防御系統(tǒng)效率高C、入侵檢測系統(tǒng)可阻止入侵行為D、入侵檢測系統(tǒng)比入侵防御系統(tǒng)功能強大正確答案：A23、下列哪條是產(chǎn)生文件包含漏洞的原因()？A、管理員管理不善B、用戶輸入惡意代碼C、服務(wù)器漏洞D、文件來源過濾不嚴(yán)并且用戶可用正確答案：D24、以下哪項不是數(shù)據(jù)庫面臨的安全問題()?A、未授權(quán)訪問B、XSSC、SQL注入D、信息泄露正確答案：B25、下面有關(guān)csrf的描述，說法錯誤的是()。A、CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網(wǎng)站B、XSS是實現(xiàn)CSRF的諸多途徑中的一條C、在客戶端頁面增加偽隨機數(shù)可以阻擋CSRFD、過濾用戶輸入的內(nèi)容也可以阻擋CSRF正確答案：D26、下列措施中不能增強DNS安全的是()。A、使用最新的BIND工具B、雙反向查找C、更改DNS的端口號D、不要讓HINFO記錄被外界看到正確答案：C27、若a='abcd'，若想將a變?yōu)?ebcd'，則下列語句正確的是()？A、a.replace(‘a(chǎn)’,‘e’)B、a[0]=’e’C、a[1]=‘e’D、a=‘e’+a[1:]正確答案：D28、Memcache是一套分布式的高速緩存系統(tǒng)，對于一些大型的、需要頻繁訪問數(shù)據(jù)庫的網(wǎng)站訪問速度提升效果十分顯著，其默認(rèn)通信端口號是()。A、1433B、11211C、9200D、873正確答案：B29、PHP結(jié)合Apache的方式不存在的是()。A、ModelB、CGI方式C、FastCGID、API正確答案：D30、SQL查詢不包括()？A、聯(lián)合查詢B、參數(shù)查詢C、子查詢D、傳遞查詢正確答案：B31、將尖括號（<）進行轉(zhuǎn)義的函數(shù)()A、trimB、htmlspecialcharsC、addslashesD、strip_tags正確答案：B32、若一個用戶同時屬于多個用戶組，則其權(quán)限適用原則不包括()？A、最大權(quán)限原則B、文件權(quán)限超越文件夾權(quán)限原則C、拒絕權(quán)限超越其他所有權(quán)限的原則D、最小權(quán)限原則FTP正確答案：D33、IEEE802.1x協(xié)議主要用來()？A、網(wǎng)絡(luò)訪問控制B、生成樹管理C、虛擬局域網(wǎng)管理D、流量優(yōu)先級控制正確答案：A34、防御XSS漏洞的核心思想為()A、要點擊未知鏈接B、禁止用戶輸入C、減少使用數(shù)據(jù)庫D、輸入過濾，輸出編碼正確答案：D35、uname命令不能看到()A、Linux的主機名B、Linux的內(nèi)核編譯號C、Linux的發(fā)行版本號D、Linux的內(nèi)核發(fā)行號正確答案：C36、盜取Cookie是用做什么()？A、劫持用戶會話B、固定用戶會話C、釣魚D、預(yù)測用戶下一步的會話憑證正確答案：A37、PHP-CGI本質(zhì)是一個()A、服務(wù)應(yīng)用APIB、fastCGIC、腳本語言D、fpm正確答案：A38、下面哪個命令查看Linux當(dāng)前的工作路徑()A、dirB、idC、lsD、pwd正確答案：D39、DOM中不存在下面那種節(jié)點()A、元素節(jié)點B、文本節(jié)點C、屬性節(jié)點D、邏輯節(jié)點正確答案：D40、下列哪一種網(wǎng)絡(luò)欺騙技術(shù)是實施交換式（基于交換機的網(wǎng)絡(luò)環(huán)境）嗅探攻擊的前提()。A、IP欺騙B、DNS欺騙C、ARP欺騙D、路由欺騙正確答案：C41、以下哪一項不是web目錄掃描的常用方法()？A、目錄爆破B、搜索引擎C、尋找robots.txt文件。D、漏洞掃描正確答案：D42、密碼使用場景不包括下列哪個()？A、隱私類B、唯一性C、通訊類D、財產(chǎn)類正確答案：B43、在用瀏覽器查看網(wǎng)頁時出現(xiàn)404錯誤可能的原因是()？A、文件不存在B、與數(shù)據(jù)庫連接錯誤C、權(quán)限不足D、頁面源代碼錯誤正確答案：A44、IPSecVPN提供的()安全機制，不支持?jǐn)?shù)據(jù)加密。A、傳輸模式B、隧道模式C、AHD、ESP正確答案：C45、Burp的Intruder模塊中，哪種模式只使用一個payload，每次替換所有位置()？A、SniperB、BatteringramC、PitchforkD、Clusterbomb正確答案：B46、以下關(guān)于python模塊說法錯誤的是()？A、任何一個普通的xx.py文件可以作為模塊導(dǎo)入B、運行時會從制定的目錄搜索導(dǎo)入的模塊，如果沒有，會報錯異常C、模塊文件的擴展名不一定是D、一個xx.py就是一個模塊正確答案：B47、下面關(guān)于htmlspecialchars()說法錯誤的是？A、該函數(shù)可用于過濾xssB、該函數(shù)用于對一些字符進行xss實體編碼C、該函數(shù)用于轉(zhuǎn)譯字符（在后面加上反斜線）D、該函數(shù)用于防止瀏覽器將其用作HTML元素正確答案：C48、以下哪個語句可以獲取cookie()？A、inner.cookieB、document.cookieC、javacript.cookieD、html.cookie正確答案：B49、在使用Linux的VIM編輯器的命令模式中，我們使用什么鍵可以下移光標(biāo)()A、jB、lC、kD、h正確答案：A50、IPSecVPN工作在()層。A、5B、3C、4D、2正確答案：B51、Iptables防火墻有()個內(nèi)置表。A、5B、6C、3D、4正確答案：D52、HTTP協(xié)議建立在以下哪一個協(xié)議的基礎(chǔ)上()A、UDPB、TCPC、SSLD、FTP正確答案：B53、將用戶user123修改為管理員權(quán)限命令是()A、netuselocalgroupadministratorsuser123/addB、netlocalgroupadministratorsuser123/addC、netlocalgroupadministratoruser123/addD、netuserlocalgroupadministratorsuser123/add正確答案：B54、下列對XSS的解釋最準(zhǔn)確的是()A、將惡意代碼嵌入到用戶瀏覽器的Web頁面中，從而達到惡意的目的B、一種很強大的木馬攻擊手段C、構(gòu)造精妙的關(guān)系數(shù)據(jù)庫的結(jié)構(gòu)化查詢語言對數(shù)據(jù)庫進行非法訪問D、引誘用戶點擊虛擬網(wǎng)絡(luò)連接的一種攻擊方法正確答案：A55、“Wannacry”病毒主要攻擊Windows系統(tǒng)中的哪個端口()？A、80B、139C、445D、443正確答案：C56、在GoogleHacking中，下面哪一個是搜索指定文件類型的語句()A、siteB、filetypeC、intextD、intitle正確答案：B57、在利用mssql數(shù)據(jù)庫滲透操作系統(tǒng)時，通常會使用哪個存儲過程）()？A、xp_logeventB、sp_addmessageC、sp_addlinkedserverD、xp_cmdshell正確答案：D58、在Mysql數(shù)據(jù)庫中，下列哪個庫保存了Mysql所有的信息()A、testB、information_schemaC、performance_schemaD、mysql正確答案：B59、對社工庫的描述正確的是()A、社工庫是社會倉庫，用于存放社會應(yīng)急救援物質(zhì)B、社工庫是將先前泄露的信息匯集、整合而成的數(shù)據(jù)庫C、社工庫是記錄社會人員取得工程師證書的數(shù)據(jù)庫D、以上說法均不正確正確答案：B60、盜取Cookie是為了做什么()？A、劫持用戶會話B、DDOSC、釣魚D、SQL注入正確答案：A61、下列關(guān)于水平越權(quán)的說法中，不正確的是()？A、可能會造成用戶信息被惡意篡改B、可能會造成大批量數(shù)據(jù)泄露C、同級別（權(quán)限）的用戶或同一角色不同的用戶之間，可以越權(quán)訪問、修改或者刪除的非法操作D、水平越權(quán)是不同級別之間或不同角色之間的越權(quán)正確答案：D62、Burpsuite代理HTTP流量時作為什么角色()A、TCP中繼B、代理服務(wù)器C、路由器D、網(wǎng)關(guān)正確答案：B63、Linux服務(wù)器安全加固說法錯誤的()A、ssh訪問策略B、安裝NginxC、系統(tǒng)服務(wù)優(yōu)化D、防火墻配置正確答案：B64、DVWA-CSRF-High的防御方法是()？A、在表單頁面添加了隨機token，然后后端驗證改tokenB、使用云wafC、檢查referer頭中是否有站點ip地址D、過濾了大量字符正確答案：A65、一臺家用tplink路由器，當(dāng)連續(xù)三次輸錯密碼后，HTTP狀態(tài)碼可能為()A、200B、404C、401D、403正確答案：C66、利用虛假IP地址進行ICMP報文傳輸?shù)墓舴椒ǚQ為()。A、ICMP泛洪B、死亡之pingC、LAND攻擊D、Smurf攻擊正確答案：D67、token安全需要注意什么()？A、長度B、防爆破C、防預(yù)測D、以上都是正確答案：D68、下列文件擴展名和MIME類型對應(yīng)錯誤的是()A、.jpgimage/jpgB、.pngimage/pngC、.jsapplication/x-javascriptD、.pdfapplication/pdf正確答案：A69、屏蔽路由器型防火墻采用的技術(shù)是基于？()A、數(shù)據(jù)包過濾技術(shù)B、代理服務(wù)技術(shù)C、應(yīng)用網(wǎng)關(guān)技術(shù)D、三種技術(shù)的結(jié)合正確答案：C70、Kali系統(tǒng)中默認(rèn)安裝了一款用于收集、組織、展示信息的一款圖型工具，是()。A、NmapB、LynisC、MacofD、Maltego正確答案：D71、下列表達式中，哪個不是有效的賦值運算符()？A、$b+=$bB、$b<=$bC、$b*=$bD、$b-=$b正確答案：B72、下列關(guān)于nslookup說法錯誤的是哪一項()？A、nslookup是用來監(jiān)測網(wǎng)絡(luò)中DNS服務(wù)器是否可以實現(xiàn)域名解析的工具B、利用nslookup可以獲取域名對應(yīng)的ipC、與ping的區(qū)別在于，nslookup返回的結(jié)果更豐富，而且主要針對dns服務(wù)器的排錯，收集dns服務(wù)器的信息D、nslookup只能在linux系統(tǒng)中使用正確答案：D73、Tomcat任意文件上傳漏洞上傳文件使用的是什么請求方法()？A、PUTB、POSTC、GETD、DELETE正確答案：A74、通常情況下，Iptables防火墻內(nèi)置的()表負(fù)責(zé)數(shù)據(jù)包過濾。A、FILTERB、RAWC、MANGLED、NAT正確答案：A75、故意制作、傳播計算機病毒等破壞性程序，影響計算機系統(tǒng)正常運行，后果嚴(yán)重的，將受到什么處罰()？A、處五年以下有期徒刑或者拘役B、罰款C、拘留D、警告正確答案：A76、()利用以太網(wǎng)的特點，將設(shè)備網(wǎng)卡設(shè)置為“混雜模式”，從而能夠接受到整個以太網(wǎng)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)信息？A、緩沖區(qū)溢出攻擊木馬B、嗅探程序C、木馬程序D、拒絕服務(wù)攻擊正確答案：B77、尋找公共函數(shù)和過濾文件的方法()A、common文件尋找B、config文件尋找C、filter文件尋找D、index文件尋找正確答案：D78、alert()函數(shù)是用來干什么的()？A、重新打開頁面B、彈窗C、打開新頁面D、關(guān)閉當(dāng)前頁面正確答案：B79、關(guān)于Mssql提權(quán)說法正確的是()A、低權(quán)限運行Mssql可以提權(quán)B、沒有操作注冊表的存儲過程C、xp_cmdshell關(guān)閉后無法提權(quán)D、xp_cmdshell可以執(zhí)行系統(tǒng)命令正確答案：D80、Nmap工具中具有系統(tǒng)指紋識別的功能，需要進行指紋識別時，需添加()參數(shù)。A、-VB、-OC、-PnD、-sS正確答案：B二、多選題（共20題，每題1分，共20分）1、常見的網(wǎng)絡(luò)滲透測試方法有？()。A、灰盒測試B、白盒測試C、黑盒測試D、模糊測試正確答案：ABC2、上傳文件夾權(quán)限管理方法包括()A、設(shè)置用戶umask值B、限制上傳文件大小C、在上傳目錄關(guān)閉php解析引擎D、取消執(zhí)行權(quán)限正確答案：ACD3、針對文件包含漏洞的防御策略，包括有()A、通過白名單過濾B、避免目錄跳轉(zhuǎn)C、嚴(yán)格過濾執(zhí)行字符D、以上選項均不正確正確答案：ABC4、在信息安全團隊處理安全事件時，應(yīng)該與公司內(nèi)部哪些部門建立良好溝通()A、法務(wù)部B、人力資源部C、市場部D、財務(wù)部E、公共關(guān)系部正確答案：ABDE5、以下哪些選項屬于常用的DNS查詢方式？()A、digB、nslookupC、在線查詢D、whois正確答案：ABCD6、在進行Php代碼審計時，尋找代碼執(zhí)行漏洞主要尋找代碼中是否使用了相關(guān)函數(shù)，包括的函數(shù)名稱有()A、assert()B、eval()C、call_user_func()D、call_user_func_array()正確答案：ABCD7、在linux中，我們可以使用哪些命令查看當(dāng)前網(wǎng)絡(luò)連接信息()A、tcpdumpB、netstatC、ssD、nc正確答案：BC8、對于SQL注入攻擊的防御，可以采取哪些措施()A、不要使用動態(tài)拼裝sql，可以使用參數(shù)化的sql或者直接使用存儲過程進行數(shù)據(jù)查詢存取B、對表單里的數(shù)據(jù)進行驗證與過濾，在實際開發(fā)過程中可以單獨列一個驗證函數(shù)，該函數(shù)把每個要過濾的關(guān)鍵詞如select，1=1等都列出來，然后每個表單提交時都調(diào)用這個函數(shù)C、不要使用管理員權(quán)限的數(shù)據(jù)庫連接，為每個應(yīng)用使用單獨的權(quán)限有限的數(shù)據(jù)庫連接D、不要把機密信息直接存放，加密或者hash掉密碼和敏感的信息正確答案：ABCD9、以下不能用于提權(quán)()A、系統(tǒng)本地溢出漏洞B、數(shù)據(jù)庫C、CainD、burpsuite正確答案：CD10、滲透測試標(biāo)準(zhǔn)將滲透測試過程分為七個階段，下述屬于這些階段的有？()。A、前期交互階段B、滲透攻擊階段C、情報收集階段D、清除滲透痕跡階段E、報告階段F、漏洞分析階段正確答案：ABCEF11、漏洞掃描的目的包括()。A、為網(wǎng)絡(luò)滲透進