網(wǎng)絡(luò)安全1+X練習(xí)題（附參考答案）一、單選題（共82題，每題1分，共82分）1.IP源地址欺騙技術(shù)可以被使用，主要是因?yàn)?)A、IP數(shù)據(jù)包沒(méi)有校驗(yàn)和機(jī)制，可以任意修改B、防火墻沒(méi)有設(shè)置IP源地址欺騙檢測(cè)規(guī)則C、路由器根據(jù)目標(biāo)地址轉(zhuǎn)發(fā)，而不看源IP地址D、IP數(shù)據(jù)包沒(méi)有對(duì)校驗(yàn)和進(jìn)行嚴(yán)格控制正確答案：C2.IIS命令執(zhí)行中，我們通常用來(lái)測(cè)試命令執(zhí)行的payload執(zhí)行結(jié)果是()？A、開啟遠(yuǎn)程桌面連接B、反彈shellC、shutdownD、彈出計(jì)算器正確答案：D3.Iptables禁止數(shù)據(jù)輸入到防火墻本身，在()鏈里DROP掉即可。A、PREROUTINGB、INPUTC、OUTPUTD、FORWARDE、POSTROUTING正確答案：B4.對(duì)社工庫(kù)的描述正確的是()A、社工庫(kù)是社會(huì)倉(cāng)庫(kù)，用于存放社會(huì)應(yīng)急救援物質(zhì)B、社工庫(kù)是將先前泄露的信息匯集、整合而成的數(shù)據(jù)庫(kù)C、社工庫(kù)是記錄社會(huì)人員取得工程師證書的數(shù)據(jù)庫(kù)D、以上說(shuō)法均不正確正確答案：B5.在HTTP響應(yīng)碼中，哪一項(xiàng)表示服務(wù)器返回重定向頁(yè)面()A、3xxB、5xxC、2xxD、4xx正確答案：A6.下列哪個(gè)選項(xiàng)不是上傳功能常用安全檢測(cè)機(jī)制？()A、服務(wù)端MIME檢查驗(yàn)證B、客戶端Javascript驗(yàn)證C、URL中包含<、>、script、alert等一些特殊標(biāo)簽檢查驗(yàn)證D、服務(wù)端文件擴(kuò)展名檢查驗(yàn)證正確答案：C7.HTTP狀態(tài)碼是反應(yīng)Web請(qǐng)求結(jié)果的一種描述，以下狀態(tài)碼標(biāo)識(shí)請(qǐng)求資源不存在的是()A、403B、401C、200D、404正確答案：D8.%00空字節(jié)代碼解析漏洞說(shuō)法錯(cuò)誤的是()。A、NginxB、NginxC、圖片中嵌入PHP代碼然后通過(guò)訪問(wèn)D、Ngnix在遇到%00空字節(jié)時(shí)與后端PHP處理不一致正確答案：D9.ARP協(xié)議主要作用是()A、將IP地址解析成MAC地址B、將域名解析成IPC、將IP解析成域名D、將MAC解析成IP正確答案：A10.關(guān)于JAVA三大框架，說(shuō)法正確的是()？A、三大框架是Struts+Hibernate+PHPB、Hibernate主要是數(shù)據(jù)持久化到數(shù)據(jù)庫(kù)C、Struts不是開源軟件D、Spring缺點(diǎn)是解決不了在J2EE開發(fā)中常見的的問(wèn)題正確答案：B11.以下哪項(xiàng)不是mysql的默認(rèn)用戶()A、mysql.sysB、mysql.sessionC、rootD、guest正確答案：D12.下列措施中不能增強(qiáng)DNS安全的是()。A、使用最新的BIND工具B、雙反向查找C、更改DNS的端口號(hào)D、不要讓HINFO記錄被外界看到正確答案：C13.IIS存在目錄解析漏洞的版本是()A、7.0B、8.0C、6.0D、5.0正確答案：C14.當(dāng)Web服務(wù)器訪問(wèn)人數(shù)超過(guò)了設(shè)計(jì)訪問(wèn)人數(shù)上限，將可能出現(xiàn)的HTTP狀態(tài)碼是()A、302B、200C、503D、403正確答案：C15.關(guān)于exit()與die()的說(shuō)法正確的是()？A、使用die()函數(shù)的地方也可以使用exit()函數(shù)替換B、die()函數(shù)和exit()函數(shù)完全不同C、當(dāng)exit()函數(shù)執(zhí)行會(huì)停止執(zhí)行下面的腳本，而die()無(wú)法做到D、當(dāng)die()函數(shù)執(zhí)行會(huì)停止執(zhí)行下面的腳本，而exit()無(wú)法做到正確答案：A16.下列哪項(xiàng)類型數(shù)據(jù)是不可變化的()？A、集合B、字典C、元組D、列表正確答案：C17.下面哪個(gè)功能最不可能存在儲(chǔ)存型xss()A、提交博客B、個(gè)人簡(jiǎn)介C、評(píng)論D、點(diǎn)贊正確答案：D18.下列哪個(gè)選項(xiàng)不屬于命令執(zhí)行漏洞的危害()？A、由命令執(zhí)行漏洞就能發(fā)現(xiàn)sql注入漏洞B、繼承Web服務(wù)程序的權(quán)限去執(zhí)行系統(tǒng)命令或讀寫文件C、控制服務(wù)器D、反彈shell正確答案：A19.在MAC中，誰(shuí)來(lái)檢查主體訪問(wèn)客體的規(guī)則()？A、管理員B、用戶C、安全策略D、客體正確答案：C20.ModSecurity將HTTP會(huì)話過(guò)程分為幾個(gè)階段()？A、3B、2C、4D、5正確答案：D21.IPSecVPN工作在()層。A、5B、3C、2D、4正確答案：B22.type(1+2L*3.14)的結(jié)果是()？A、<class‘str’>B、<class‘long’>C、<class‘int’>D、<class‘float’>正確答案：D23.Linux服務(wù)器安全加固說(shuō)法錯(cuò)誤的()A、系統(tǒng)服務(wù)優(yōu)化B、安裝NginxC、ssh訪問(wèn)策略D、防火墻配置正確答案：B24.Metasploit框架中的Meterpreter后滲透功能經(jīng)常使用哪個(gè)函數(shù)來(lái)進(jìn)行進(jìn)程遷移()。A、persistence函數(shù)B、sysinfo函數(shù)C、getpid函數(shù)D、migrate函數(shù)正確答案：D25.如果想要在文件末尾寫入方式打開一個(gè)文件，該給fopen()傳入什么參數(shù)？A、wB、a+C、aD、r正確答案：C26.在centos中，用戶root的默認(rèn)工作路徑是()A、/rootB、/usrC、/home/rootD、/usr/root正確答案：A27.Iptables防火墻有()個(gè)內(nèi)置表。A、4B、5C、3D、6正確答案：A28.Iptables防火墻清除規(guī)則命令是()。A、iptables-FB、iptables-PC、iptables-AD、iptables-D正確答案：A29.郵件攻擊類型不包括下列哪一個(gè)()？A、商業(yè)郵件詐騙B、水坑攻擊C、仿冒企業(yè)郵件D、勒索病毒正確答案：B30.關(guān)于DCOM說(shuō)法錯(cuò)誤的是()A、DCOM是微軟開發(fā)的程序接口B、通過(guò)110端口建立初始連接C、它基于組件對(duì)象模型D、DCOM室WMI所使用的默認(rèn)協(xié)議正確答案：B31.__get()魔術(shù)方法在什么時(shí)候執(zhí)行？()A、當(dāng)程序試圖寫入一個(gè)不存在或者不可見的成員變量時(shí)B、調(diào)用函數(shù)的方式調(diào)用一個(gè)對(duì)象時(shí)C、類被當(dāng)成字符串時(shí)D、當(dāng)程序試圖調(diào)用一個(gè)未定義或不可見的成員變量時(shí)正確答案：D32.下面哪個(gè)函數(shù)使用PHP連接MySQL數(shù)據(jù)庫(kù)()？A、mysql_connect()B、mysql_query()C、mysql_close()D、以上都不對(duì)正確答案：A33.理論上講，哪種攻擊方式可以破解所有密碼問(wèn)題()？A、弱口令攻擊B、萬(wàn)能密碼C、窮舉攻擊D、字典攻擊正確答案：C34.在使用Linux的VIM編輯器的命令模式中，我們使用什么進(jìn)行按鍵進(jìn)行粘貼()A、ZB、CC、VD、P正確答案：D35.攻擊者冒充域名服務(wù)器的一種欺騙行為，是()。A、DNS欺騙B、電子郵件欺騙C、Web欺騙D、ICMP路由欺騙正確答案：A36.利用Firefox瀏覽器的()插件，可以實(shí)現(xiàn)隱藏（偽裝）客戶端瀏覽器信息的目的。A、WappalyzerB、FlagfoxC、FoxyProxyD、User-AgentSwitcher正確答案：D37.HTTPBASIC認(rèn)證中，使用了哪一種加密方法()A、Base32B、Base64C、Md5D、AES正確答案：B38.OSSEC是一個(gè)什么樣的開源軟件()？A、基于網(wǎng)絡(luò)的IDSB、基于主機(jī)的IDSC、WAFD、應(yīng)用防火墻正確答案：B39.Apache解析漏洞中，相關(guān)配置是()？A、AddHandlerB、HttpdinitC、ApacheHandlerD、Phpinit正確答案：A40.IIS短文件名可以猜測(cè)幾位字符()A、6B、3C、不限制D、9正確答案：A41.利用Redis向服務(wù)器寫SSH公鑰的方法，主要的實(shí)現(xiàn)條件是()？A、Redis具有寫Web目錄權(quán)限B、Redis沒(méi)有更改默認(rèn)端口C、Redis具有root權(quán)限D(zhuǎn)、Redis數(shù)據(jù)具有內(nèi)容正確答案：C42.電信詐騙的特點(diǎn)不包括下列哪個(gè)()？A、詐騙手段翻新速度很快B、微信C、形式集團(tuán)化，反偵查能力非常強(qiáng)D、犯罪活動(dòng)的蔓延性比較大，發(fā)展很迅速正確答案：B43.伊朗“震網(wǎng)”病毒用了幾個(gè)Windows0day()？A、6個(gè)B、3個(gè)C、2個(gè)D、4個(gè)正確答案：D44.在PHP中，所有的變量以哪個(gè)符號(hào)開頭()？A、&B、@C、!D、$正確答案：D45.下列是SQLi輔助工具()A、sqlmapB、dnsenumC、nslookupD、dig正確答案：A46.“Wannacry”病毒主要攻擊Windows系統(tǒng)中的哪個(gè)端口()？A、80B、445C、443D、139正確答案：B47.關(guān)于文件包含漏洞，以下說(shuō)法中不正確的是()？A、文件包含漏洞在PHPWebApplication中居多,而在JSP、ASP、http://ASP.NET程序中卻非常少，這是因?yàn)橛行┱Z(yǔ)言設(shè)計(jì)的弊端B、滲透網(wǎng)站時(shí)，若當(dāng)找不到上傳點(diǎn)，并且也沒(méi)有url_allow_include功能時(shí)，可以考慮包含服務(wù)器的日志文件C、文件包含漏洞只在PHP中經(jīng)常出現(xiàn)，在其他語(yǔ)言不存在D、文件包含漏洞，分為本地包含，和遠(yuǎn)程包含正確答案：C48.和POST方法比較起來(lái)，GET方法()A、GET方法比POST方法安全B、GET方法不如POST方法快C、GET方法不如POST方法安全D、以上都不對(duì)正確答案：C49.關(guān)閉windows系統(tǒng)默認(rèn)共享的方法不包括()A、本地安全策略管理器B、利用計(jì)算機(jī)管理器C、利用服務(wù)管理器D、利用netshare命令正確答案：A50.下列哪個(gè)不屬于XSS攻擊類型()A、反射型XSSB、存儲(chǔ)型XSSC、DOM型XSSD、延時(shí)型XSS正確答案：D51.固定會(huì)話攻擊中，最關(guān)鍵的步驟是()？A、用戶點(diǎn)擊鏈接B、攻擊者記錄SessionC、用戶成功登陸D、攻擊者修改目標(biāo)用戶Session正確答案：D52.使用匿名FTP時(shí)，用戶名為()A、userB、rootC、guestD、anonymous正確答案：D53.邏輯漏洞概念說(shuō)法正確的是()。A、由于程序邏輯不嚴(yán)或邏輯錯(cuò)誤，導(dǎo)致一些邏輯分支不能夠正常處理B、程序參數(shù)沒(méi)有過(guò)濾直接帶入數(shù)據(jù)庫(kù)查詢C、系統(tǒng)配置錯(cuò)誤D、緩沖區(qū)溢出導(dǎo)致棧覆蓋返回地址正確答案：A54.在使用Burp的Intruder模塊時(shí)，需要注意的是()？A、字典大小不能超過(guò)1MB、字典路徑不能含有中文C、線程數(shù)量不能超過(guò)20D、payload數(shù)量不能超過(guò)2個(gè)正確答案：B55.Memcache是一套分布式的高速緩存系統(tǒng)，對(duì)于一些大型的、需要頻繁訪問(wèn)數(shù)據(jù)庫(kù)的網(wǎng)站訪問(wèn)速度提升效果十分顯著，其默認(rèn)通信端口號(hào)是()。A、9200B、11211C、873D、1433正確答案：B56.ICMP泛洪利用了()。A、ARP命令的功能B、traceroute命令的功能C、ping命令的功能D、route命令的功能正確答案：C57.下列哪個(gè)工具可以進(jìn)行Web程序指紋識(shí)別()A、nmapB、OpenVASC、御劍D、whatweb正確答案：D58.構(gòu)造函數(shù)是類的一個(gè)特殊函數(shù)，在python中，構(gòu)造函數(shù)的名稱為()？A、__init__B、initC、與類同名D、__construct正確答案：A59.Windows服務(wù)器操作系統(tǒng)安全設(shè)置加固方法說(shuō)法錯(cuò)誤的()A、系統(tǒng)打上補(bǔ)丁B、配置ip策略防火墻C、設(shè)置復(fù)雜的口令D、清理系統(tǒng)垃圾文件正確答案：D60.如何防御包含漏洞，以下說(shuō)法錯(cuò)誤的是()？A、文件名中要包含目錄名B、對(duì)于遠(yuǎn)程文件包含，設(shè)置php.ini配置文件中allow_url_includeC、避免由外界制定文件名D、限制包含的文件范圍正確答案：A61.水平越權(quán)的產(chǎn)生原因是()？A、系統(tǒng)未對(duì)用戶角色進(jìn)行認(rèn)證B、系統(tǒng)未對(duì)管理員角色進(jìn)行認(rèn)證C、系統(tǒng)未對(duì)用戶標(biāo)識(shí)進(jìn)行認(rèn)證D、系統(tǒng)未對(duì)用戶權(quán)限進(jìn)行驗(yàn)證正確答案：D62.以下哪個(gè)語(yǔ)句可以獲取cookie()？A、html.cookieB、document.cookieC、inner.cookieD、javacript.cookie正確答案：B63.下列哪條是產(chǎn)生文件包含漏洞的原因()？A、服務(wù)器漏洞B、用戶輸入惡意代碼C、管理員管理不善D、文件來(lái)源過(guò)濾不嚴(yán)并用戶可用正確答案：D64.以下哪個(gè)LINUX發(fā)行版本，以桌面界面友好為特點(diǎn)()A、CentosB、UbuntuC、SUSED、Redhat正確答案：B65.震網(wǎng)病毒主要利用的是哪個(gè)系統(tǒng)漏洞進(jìn)行網(wǎng)絡(luò)攻擊的()。A、MS08-067漏洞B、MS18-051漏洞C、MS16-059漏洞D、MS17-010漏洞正確答案：A66.PC安全不包括下列哪一個(gè)()？A、安裝防病毒軟件和防火墻軟件B、定期備份重要數(shù)據(jù)C、不隨意安裝來(lái)歷不明的軟件D、虛擬空間正確答案：D67.Tomcat日志功能在哪里進(jìn)行設(shè)置()？A、tomcat-user.xml用戶名和密碼B、users.xmlC、web.xmlD、server.xml網(wǎng)站目錄正確答案：D68.在Kali操作系統(tǒng)中，既屬于“信息收集工具”，又屬于“漏洞分析工具”的是()。A、MimikatzB、NmapC、Aircrack-ngD、Clang正確答案：B69.下列文件擴(kuò)展名和MIME類型對(duì)應(yīng)錯(cuò)誤的是()A、.pngimage/pngB、.jsapplication/x-javascriptC、.pdfapplication/pdfD、.jpgimage/jpg正確答案：D70.“把測(cè)試對(duì)象看作一個(gè)打開的盒子，測(cè)試人員依據(jù)測(cè)試對(duì)象內(nèi)部邏輯結(jié)構(gòu)相關(guān)信息，設(shè)計(jì)或選擇測(cè)試用例?！睆倪@段描述中可以看出，滲透測(cè)試人員所用的方法為()。A、黑盒測(cè)試B、隱秘測(cè)試C、灰盒測(cè)試D、白盒測(cè)試正確答案：D71.點(diǎn)擊Proxy組件中的哪個(gè)按鈕將攔截下來(lái)的包丟棄()A、ActionB、ForwardC、DropD、Command正確答案：C72.Burpsuite工具軟件的()模塊具有抓包改包的功能。A、TargetB、ComparerC、ProxyD、Decorder正確答案：C73.在建立企業(yè)網(wǎng)絡(luò)架構(gòu)時(shí)，我們通常為依照什么來(lái)劃分安全域()？A、服務(wù)器性能B、業(yè)務(wù)安全等級(jí)C、網(wǎng)絡(luò)設(shè)備物理接口D、服務(wù)器IP地址正確答案：B74.HTTP協(xié)議建立在以下哪一個(gè)協(xié)議的基礎(chǔ)上()A、UDPB、TCPC、SSLD、FTP正確答案：B75.端口掃描的原理是向目標(biāo)主機(jī)的________端口發(fā)送探測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。()A、FTPB、UDPC、TCP/IPD、WWW正確答案：C76.在centos中，下面哪個(gè)默認(rèn)目錄是用于存放應(yīng)用程序的()A、/usrB、/etcC、/binD、/home正確答案：A77.以下關(guān)于python模塊說(shuō)法錯(cuò)誤的是()？A、運(yùn)行時(shí)會(huì)從制定的目錄搜索導(dǎo)入的模塊，如果沒(méi)有，會(huì)報(bào)錯(cuò)異常B、一個(gè)xx.py就是一個(gè)模塊C、模塊文件的擴(kuò)展名不一定是D、任何一個(gè)普通的xx.py文件可以作為模塊導(dǎo)入正確答案：A78.下面對(duì)Apache解析漏洞說(shuō)法正確的是()？A、僅用于Apache2.XB、僅用于Apache1.XC、與版本無(wú)關(guān)，與配置文件有關(guān)D、僅在Apache正確答案：C79.Nginx用來(lái)識(shí)別文件后綴的文件是()？A、mima.confB、handler.confC、handler.typesD、mime.types正確答案：D80.下列哪個(gè)語(yǔ)句在Python中是非法的()？A、x=y=z=1B、x+=yC、x=(y=z+1)D、x,y=y,x正確答案：C81.Apache用來(lái)識(shí)別用戶后綴的文件是()？A、handler.typesB、mime.typesC、handler.confD、mima.conf正確答案：B82.在網(wǎng)絡(luò)安全等級(jí)保護(hù)中，網(wǎng)絡(luò)信息系統(tǒng)可劃分為()安全保護(hù)等級(jí)。A、4B、3C、5D、2正確答案：C二、多選題（共18題，每題1分，共18分）1.Apache服務(wù)器外圍加固措施包括()A、部署WAFB、部署IPSC、部署IDSD、部署蜜罐系統(tǒng)正確答案：ABC2.以下哪些選項(xiàng)可以用于信息收集，并很有可能成功收集到信息？()A、APPB、微信共眾號(hào)C、目標(biāo)qq群D、網(wǎng)站開發(fā)者角度正確答案：ABCD3.屬于訪問(wèn)令牌的是()A、默認(rèn)的DACLB、用戶所屬組的SIDC、訪問(wèn)令牌的來(lái)源D、用戶賬戶的安全標(biāo)識(shí)正確答案：ABCD4.下面哪些函數(shù)使用不當(dāng)造成ssrf()。A、file_get_contents()B、system()C、curl_exec()D、fsockopen()正確答案：ACD5.常見掃描攻擊包括？()A、IP掃描B、SQLMAPC、端口掃描D、源碼審計(jì)正確答案：AC6.下面哪些攻擊方式能獲取服務(wù)器權(quán)限()A、DDOS攻擊B、Web攻擊C、遠(yuǎn)程溢出攻擊D、端口滲透攻擊正確答案：BCD7.哪些語(yǔ)言可能具有反序列化的安全問(wèn)題？()A、PHPB、PythonC、CD、JAVA正確答案：ABD8.Maltego能搜集以下哪些信息？()A、IP信息B、NS記錄C、A記錄D、郵箱E、開放端口正確答案：ABCDE9.通過(guò)DNS進(jìn)行信息收集，可能收集在以下哪些內(nèi)容？()A、企業(yè)網(wǎng)站規(guī)模B、子域名C、IP地址（段）D、web站點(diǎn)的用戶名、密碼正確答案