2022年网络安全知识竞赛考试题库大全-中（多选420题）

2022年网络安全知识竞赛考试题库大全-中(多选420题)多选题.防范网页挂马攻击，作为第三方的普通浏览者，以下明B种办法可以有效?A、及时给系统和软件打最新补丁B、不浏览任何网页C、安装防火墙D、安装查杀病毒和木马的软件答案：AD.信息机房线缆部署应实现强弱电分离，并完善。等各项安全措施。A、防潮防水B、防火阻燃C、阻火分隔D、防小动物答案：ABCD.下列哪些选项是上传功能常用安全检测机制()A、客户端检查机制javascript验证B、服务端MIME检查验证C、服务端文件扩展名检查验证机制D、URL中是否包含一些特殊标签V、＞、script、alert.Web错误信息可能泄露那些信息()0A、服务器型号版本B、数据库型号版本C、网站路径D、后台源代码答案：ABCD.在风险分析中，以下()说法是不正确的。A、定性影响分析可以很容易地对控制进行成本收益分析B、定量影响分析不能用在对控制进行的成本收益分析中C、定量影响分析的主要优点是它对影响大小给出了一个度量D、定量影响分析的主要优点是它对风险进行排序并对那些需要立即改善的环节进行标识答案：ABD.内容过滤技术的应用领域包括A、防病毒B、网页防篡改C、防火墙D、入侵检测答案：ACD.人为的恶意攻击分为被动攻击和主动攻击，在以下的攻击类型中属于主动攻击的是A、数据CGB、数据篡改C、身份假冒D、数据流分析答案：BC.做系统快照，查看端口信息的方式有()onetstat-annetsharenetuseD、用taskinfo来查看连接情况答案：AD.nmap可以用来A、 病毒扫描B、端口扫描C、操作系统与服务指纹识别D、漏洞扫描答案：BCD.程序默认情况下应对所有的输入信息进行验证，不能通过验证的数据应会被拒绝。以下输入需要进行验证的是()oA、HTTP请求消息B、第三方接口数据C、不可信来源的文件D、临时文件答案：ABCD.在aix下执行命令：chuserrlogin二faIselogin二truesu二truesugroups二systemroot,那么下面说法正确的是：()A、root账号不能登录B、只有system组的账号才可以su到rootC、rlogin不能使用root账号D、所有账号都可以su到root答案：BC12.以下属于抓包软件的有()oA>sniffernetscanwiresharkethereal答案：ACD.使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这不属于哪些攻击类型()文件共享B、拒绝服务C、远程过程调用D、BIND漏洞答案：ACD.关于组策略的描述哪些是正确的()A、首先应用的是本地组策略B、除非冲突，组策略的应用应该是累积的C、如果存在冲突，最先应用的组策略将获胜D、策略在策略容器上的顺序决定应用的顺序答案:ABD.一个安全的网络系统具有的特点是A、保持各种数据的机密B、保持所有信息、数据及系统中各种程序的完整性和准确性C、保证合法访问者的访问和接受正常的服务D、保证网络在任何时刻都有很高的传输速度答案：ABC.移动终端病毒传播的途径有()oA、 电子邮箱B、网络浏览C、终端内存D、聊天程序答案：ABD.移动应用软件安全对“卸载升级”有哪些要求()A、软件卸载后应确保数据和文件完全清除B、软件应具备升级校验功能C、软件应确保卸载后无残留数据，或残留数据中无敏感信息D、软件升级过程应进行完整性校验，防止升级文件被篡.攻防渗透过程有0。4、 信息收集B、分析目标C、实施攻击D、方便再次进入答案：ABCD19.()是用于C#逆向分析的工具。A、0DB、IDAreflectorILSpy答案：CD.以下描述中不属于SSL协议握手层功能的有()A、负责建立维护SSL会话B、保证数据传输可靠C、异常情况下关闭SSL连接D、验证数据的完整性答案：BD.以下属于tomcat安全防护措施的是0A、更改服务默认端口B、配置账户登录超时自动退出功能C、禁止tomcat列表显示文件D、设置登录密码答案：ABCD.下列关于网络钓鱼的描述正确的是0。Ay 网络钓鱼(Phishing)一词，是"Fishing"和"Phone”的综合体B、网络钓鱼都是通过欺骗性的电子邮件来进行诈骗活动C、为了消除越来越多的以网络钓鱼和电子邮件欺骗的形式进行的身份盗窃和欺诈行为，相关行业成立了一个协会一一反网络钓鱼工作小组D、网络钓鱼在很多方面和一般垃圾邮件有所不同，理解这些不同点对设计反网络钓鱼技术至关重要答案：ACD.符合双因素鉴别原则的是0A、智能卡及生物检测设备B、令牌(Tokens)及生物检测设备C、口令和短信验证码D、用户名和口令答案：ABC.操作系统的主要功能是0A、硬件维护B、资源管理C、程序控制D、人机交互A、iOS系统从I0S6开始引入kernelASLR安全措施B、主流的Iphone手机内置了AES及RSA硬件加速解密引擎C、安卓系统采用了安全引导链（securebootchain）,而ios系统则未采用D、Android4.1系统默认启用了内存ASLR答案：ABD.防火墙部署中的透明模式的优点包括：（）A、性能较高B、易于在防火墙上实现NATC、不需要改变原有网络的拓扑结构D、防火墙自身不容易受到攻击答案：ACD.以下哪些服务器曾被发现文件解析漏洞A、apacheB、IISC、nginxD、squid答案：ABC.无线网络的拒绝服务攻击模式有哪几种0A、伪信号攻击B、Land攻击C、身份验证洪水攻击D、取消验证洪水攻击答案：BCD.以下属于NTFS文件系统安全的项目是0A、用户级别的安全B、文件加密C、从本地和远程驱动器上创建独立卷的能力D、安全的备份答案：ABCApacheWeb服务器主要有三个配置文件，位于/usr/locaI/apache/conf目录下，包括以下哪些()：A、 httpcon ＞主配置文件B、srm.conf ＞填加资源文件access,conf-＞设置文件的访问权限D、version,conf＞版本信息文件答案：ABC系统加固的主要目的是？A、降低系统面临的威胁B、减小系统自身的脆弱性C、提高攻击系统的难度D、减少安全事件造成的影响答案：BCDweb目录下发现了下列文件，哪项需要被清理Av.gitB、,svnC、backup,tar.xzD、index.php答案：ABC.拒绝服务攻击的对象可能为：0A、网桥B、防火墙C、服务器D、路由器答案：ABCD.关键信息基础设施安全保护坚持（一），强化和落实关键信息基础设施运营单位主体责任，充分发挥政府及社会各方的作用，共同保护关键信息基础设施安全。A■> 综合协调B、重点保护C、分工负责D、依法保护答案：ACD.以下选项中，哪些可能是应用服务器无法通过信息安全网络隔离装置(NDS100)访问数据库的原因0。A、应用服务器与数据库服务器的网络不通或路由不可达B、数据库信息中的IP地址及端口配置错误C、数据库使用了OracleWG版本D、应用服务器使用了JDBC的连接方式答案：AB.以下哪几种工具可以对网站进行自动化web漏洞扫描？hackbarAWVSC^IBMappscanD、Nmap答案：BC37.操作系统的基本功能有()A、处理器管理B、文件管理C、存储管理D、设备管理38.以下哪些协议是完成网络层路由器与路由器之间路由表信息共享的？OSPFB、BGPC、STPD、VRRP答案：AB.SQL注入攻击有可能产生()危害A、恶意篡改网页内容B、网页被挂木马C、未经授权状况下操作数据库中的数据D、私自添加系统帐号答案：ABCD.下列哪些代码肯定是一句话木马A<scripttype='text/javascript>><!D0CTYPEhtml><%eval(Request.Item["value"])%>D、<?phpeval(S.POSTfa*]);答案：CD.逻辑地址是由()组成的。A、段地址B、物理地址C、偏移地址D、实际地址答案：AC.通用操作系统必需的安全性功能有A、用户认证B、文件和I/O设备的访问控制C、内部进程间通信的同步D、作业管理答案：ABCD.下列哪些漏洞利用了http协议的PUT和MOVE方法()。AvIIS写权限漏洞B、Struts2远程命令执行漏洞CxActiveMQ远程代码执行漏洞D、Java反序列化漏洞答案：AC.下列对于PAP协议描述正确的是？()A、使用两步握手方式完成验证B、使用三步握手方式完成验证C、使用明文密码进行验证D、使用加密密码进行验证答案：AC.可以用于安卓逆向的工具有AndroidstudioapktoolAPKIDEAndroidKiIIer答案：ABCD.如何防范XSS攻击？A、不打开来历不明的邮件B、不随意点击留言板里的链接C、系统过滤特殊字符D、使用网上导航链接答案：ABC.属于XSS跨站攻击的是A、钓鱼欺骗B、身份盗用C、SQL数据泄露D、网站挂马答案：ABD.在WebLogic中，Web应用的根目录一般由()文件的context-root元素定义。webapp.xmlapplication,xmlWeb-application.xmlweblogic,xml答案：BD49.组成UNIX系统结构的层次有()A、用户层B、驱动层C、硬件层D、内核层答案：ACD.sql注入攻击，除了注入select语句外，还可以注入哪些语句？()A、注入delecte语句B、注入insert语句C、注入update语句D、注入create语句答案：ABC.对于内网移动作业终端的接入，以下说法正确的是()oA、可以使用国家电网公司自建无线专网B、可以使用统一租用的虚拟专用无线公网C、仅能使用国家电网公司自建无线专网D、禁止使用统一租用的虚拟专用无线公网答案：AB.关于缓冲区溢出攻击，正确的描述是：()A、缓冲区溢出攻击手段一般分为本地攻击和远程攻击B、缓冲区溢出是一种系统攻击的手段，通过向程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的C、缓冲区溢出攻击之所以成为一种常见安全攻击手段其原因在于缓冲区溢出漏洞太普遍了，并且易于实现D、缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序的功能，这样可以使得攻击者取得root权限，那么整个主机就被控制了答案：ABC.安全移动存储介质按需求可以划分为0A、交换区B、保密区C、启动区D、绝密区答案：ABC.汇编语言经编译后可直接生成的文件类型有0。A、OBJB、LSTC、EXED、CRF答案：ABD.VPN技术采用的主要协议有()。A、IPSecB、PPTP

C、L2TPD、WEP答案：ABC.有两个账号001和002；经检查发现002账号名被添加到/etc/cron.d/cron.deny文件中，那么下面说法正确的是（）Ax001用户可以创建、编辑、显示和删除crontab文件B、002用户可以创建、编辑、显示和删除crontab文件C、删除/etc/cron.d/cron.deny文件后，001和002用户都可以创建、编辑、显示和删除crontab文件D、删除/etc/cron.d/cron.deny文件后，001和002用户都不可以创建、编辑、显示和删除crontab文件答案：ABD.按数字水印的内容可以将水印划分为（）和（）。A、有意义水印B、无意义水印C、图像水印D、音频水印答案：AB.为了防止SQL注入，下列特殊字符（）需要进行转义。A、（单引号）A、（单引号）B、%（百分号）C、；（分号）D、"（双引号）答案：ABCD.以下哪些是涉密信息系统开展分级保护工作的环节（）系统测评B、系统定级C、系统审批D、方案设计答案：ABCD.（）是在进行加密存储时需要注意的事项。A、加密的密钥应该保存在受控的区域，防止被未授权访问B、密钥在废弃之后，要及时删除C、可以使用自发明的算法D、密钥的传输可以走HTTP通道答案：AB.Serv-U软件因自身缺陷曾多次被黑客用来进行提权攻击，针对提权的防御办法有（）A、禁用anonymous帐户B、修改Serv-U默认管理员信息和端口号C、修改默认安装路径，并限制安全目录的访问权限D、限制用户权限，删除所有用户的执行权限答案：ABCD.以下哪项不是防范SQL注入攻击有效的手段？A、删除存在注入点的网页B、对数据库系统的管理权限进行严格的控制C、通过网络防火墙严格限制Intemet用户对web服务器的访问D、对web用户输入的数据进行严格的过滤答案：AC.Android开发过程中，下面哪些开发习惯可能导致安全漏洞在程序代码中插入Log。方法输出敏感信息方便调试B、在应用正式版Andoridmanifest,xml中设置android:debuggabIe="faIse”C、使用SecureRandom时使用安全的方法设置seedD、设置应用配置文件为任意用户可读写答案：AD64.以下哪些拒绝服务攻击方式不是流量型拒绝服务攻击？A^LandUDPFIoodC^SmurfD、Teardrop.下列措施中，0用于防范传输层保护不足。A、对所有敏感信息的传输都要加密B、对于所有的需要认证访问的或者包含敏感信息的内容使用SSL/TLS连接C、可以将HTTP和HTTPS混合使用D、对所有的Cookie使用Secure标志答案：ABD.Android常见恶意软件行为有A、恶意扣费B、隐私窃取C、远程控制D、系统破坏答案:ABCD.破解Unix系统用户口令的暴力破解程序包括()PwdumpCrackJohntherippeLOphtcrack答案：BC.常用的对称密码算法有哪些。()A、TEAB、AESC、IDEAD、DES答案：BD.关于Windows活动目录说法正确的是()A、活动目录是采用分层结构来存储网络对象信息的一种网络管理体系B、活动目录可以提供存储目录数据和网络用户及管理员使用这些数据的方法C、利用活动目录来实行域内计算机的分布式管理D、活动目录与域紧密结合构成域目录林和域目录树，使大型网络中庞大、复杂的网络管理、控制、访问变得简单，使网络管理的效率更高答案：ABCD.Nessus可以将扫描结果生成为文件，其中可以生成为()A、TXTB、PSDC、PDFD、HTML答案：ACD.在数据使用环节，要落实()oA、公司业务授权及帐号权限管理要求B、合理分配数据访问权限C、强化数据访问控制D、健全数据安全监测与审计机制答案：ABCD.逻辑漏洞之支付漏洞的修复方案有()A、和银行交易时，做数据签名，对用户金额和订单签名B、如果一定需要用URL传递相关参数，建议进行后端的签名验证C、服务端校验客户端提交的参数D、支付时应直接读客户端的值答案：ABC.哪些文件属于日志文件的范畴access.logpasswd,shadowerror.logD>logrotate答案：AC74.在SQLServer2000中一些无用的存储过程，这些存储过程极容易被攻击者利用，攻击数据库系统。下面的存储过程哪些可以用来执行执行系统命令或修改注册表？()A>xp_cmdshelIxp_regwriteC>xp_regdeletekeyD、select*frommaster答案：ABC.系统上线运行后，应由()根据国家网络安全等级保护有关要求，进行网络安全等级保护备案。A、信息化管理部门B、相关业务部门C、职能部门D、系统运维部门答案：AB.在weblogic中发布ejb需涉及到哪些配置文件A、ejbjar.xmlB、configjar.xmlweblogic-ejb-jar.xmlweblogic-bmprdbms-jar.xml答案：AC.PKI管理对象不包括()A、ID和口令B、秘钥C、证书颁发D、证书撤销答案：AC.下列属于XSS漏洞防御办法的是0。A、HttpOnlyB、验证码C、输入检查D、输出检查答案：ACD.()是不安全的直接对象引用而造成的危害。A、用户无需授权访问其他用户的资料B、用户无需授权访问支持系统文件资料C、修改数据库信息D、用户无需授权访问权限外信息答案：ABD.下列关于Metasploitl作说法正确的是0A、加载一个exploit的命令是setB、加载一sheIIcode的命令是useC、可以生成android木马文件D、可以生成OFFICE漏洞利用文件答案：CD.下面关于跨站请求伪造，说法正确的是0A、攻击者必须伪造一个已经预测好请求参数的操作数据包B、对于Get方法请求，URL即包含了请求的参数，因此伪造get请求，直接用url即可C、因为POST请求伪造难度大，因此，采用post方法，可以一定程度预防CSRFD、对于post方法的请求，因为请求的参数是在数据体中，目前可以用ajax技术支持伪造post请求答案：ABD.数据的CIA是指0A、保密性B、完整性C、可用性D、系统性答案：ABC.网页挂马行为可能存在以下文件中？A、html页面B、js代码C、css代码D、swf文件答案:ABCD.防火墙的构建要从哪些方面着手考虑A、 体系结构的设计B、体体系结构的制订系结构的设计C、安全策略的设计D、安全策略的制订答案：AD.为了通过HTTP错误代码来显示不同错误页面，则需要修改WebLogic的web.xml中（）元素。errorerror-codelocationerror-type答案：ABC.黑客利用最频繁的入侵方式有（）A、 基于协议的入侵B、基于认证的入侵C、基于漏洞的入侵D、基于第三方程序（木马）的入侵答案：BCD.主机型漏洞扫描器可能具备的功能有（）A、 重要资料锁定B、弱口令检查C、系统日志及文本文件分析D、动态报警答案：ABCD.进程隐藏技术有:A、基于系统服务的进程隐藏技术B、基于APIHOOK的进程隐藏技术C、基于DLL的进程隐藏技术D、基于远程线程注入代码的进程隐藏技术答案：ABCD.下面不是网络端口扫描技术的是A、 全连接扫描B、半连接扫描C、插件扫描D、特征匹配扫描答案：CD.关于如何抵御常见的DDOS攻击，正确的说法是：0A、确保所有服务器采用最新系统，并打上安全补丁B、确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFSC、确保运行在Unix士的所有服务都有TCP封装程序，限制对主机的访问权限D、禁止使用网络访问程序如TelnetxFtp、Rsh、Rlogin、Rep和Ssh答案：ABC.下列关于跨站请求伪造的说法正确的是0。A、只要你登录一个站点A且没有退出，则任何页面都可以发送一些你有权限执行的请求并执行B、站点A的会话持续的时间越长，收到跨站请求伪造攻击的概率就越大C、目标站点的功能采用GET还是POST并不重要，只不过POST知识加大了一点点跨站请求伪造的难度而已D、有时候复杂的表单采用多步提交的方式防止跨站请求伪造攻击其实并不可靠，因为可以发送多个请求来模拟多步提交答案：ABCD.一个强壮的密码应该包含8位以上的（）,而且不应该是字典中的单词.A、字符B、数字C、符号D、大小写混排答案：ABCD93.以下措施中属于机房防尘的是（）。安装风浴通道B、工作人员穿防尘服饰鞋帽进入工作区域C、采用不吸尘不起尘材料装修D、定期对机房进行换气答案：ABC.研发蓝队的任务是（）、（）、（）、（）A、安全需求检查B、安全测试检查C、用户权限检查D、渗透测试答案：ABCD.路由器的LoginBanner信息中不能包括()信息A、路由器的名字B、路由器运行的软件C、路由器所有者信息D、路由器的型号答案：ABCD.要安全浏览网页，应该()A、定期清理浏览器缓存和上网历史记录B、禁止使用ActiveX控件和Java脚本C、定期清理浏览器CookiesD、在他人计算机上使用“自动登录”和“记住密码”功能答案：ABC.jboss的两个管理控制台为A>jmx-consoleadmir)-consoIeconsoleD>web-console答案：ADAndroid开发过程中，下面可能导致安全漏洞的开发习惯是0?A、 在程序代码中插入Log()方法输出敏感信息方便调试B、在应用正式版Andoridmanifest,xml中设置android:debuggable=nfalseC、使用SecureRandom时使用安全的方法设置seedD、设置应用配置文件为任意用户可读写答案：ADBacktrack可以被用于A、安全评估B、无线评估C、取证分析D、查杀蠕虫木马答案：ABC.在Windows的安全子系统中哪些属于本地安全授权LSA的功能()A、创建用户的访问令牌B、管理本地安全服务的服务账号C、存储和映射用户权限D、管理审核策略和设置答案：ABCD.在wlan系统中，目前己通过以下哪些途径提高wlan网络安全？A、对同一AP下的用户进行隔离B、对同一AC下的用户进行隔离C、采用帐号/密码认证D、采用ssl封装认证数据答案：ABCD.当Web页面显示下列信息时，哪些预示着该页面存在潜在安全漏洞？Copyright©,sgcc2002-2013java.lang.NulIPointerExceptionC>rightsyntaxtousenear，z，l〃atlinelD、京ICP证070598号答案：BC.下列哪两项是用户数据报协议UDP的特点。()A、流量控制B、系统开销低C、无连接D、面向连接答案：BC.AH是报文验证头协议，主要提供以下功能A、数据机密性B、数据完整性C、数据来源认证D、反重放答案：BCD.()是由失效的身份认证和会话管理而造成的危害。A、窃取用户凭证和会话信息B、冒充用户身份查看或者变更记录，甚至执行事务C、访问未授权的页面和资源D、执行超越权限操作答案：ABCD.境外的机构、组织、个人从事（一）等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任，国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。A、干扰B、侵入C、破坏D、攻击答案：ABCD.SG-I6000构建调度管理、（）资源监管、灾备管理、安全管理、决策分析、移动运维等十个业务应用模块，支撑信息通信日常运维业务工作。A、 运行管理B、检修管理C、客服管理D、三线管理答案：ABCD.下列哪几项是信息安全漏洞的载体？A、 网络协议B、操作系统C、应用系统D、业务数据答案：ABC.防火墙的测试性能参数一般包括()oA、吞吐量B、新建连接速率C、并发连接数D、处理时延答案：ABCD.移动互联网主要由下列哪几部分构成()A、 各种应用APPB、便携式终端C、移动通信网接入D、不断创新的商业模式答案：ABCD.HP-UX基于角色的访问控制(RBAC)提供下列功能： ()A、HP-UX专用的预定义配置文件，便于轻松快速部署

通过PlugableAuthenticationModule(PAM)实现灵活的重新身份验证，支持基于每条命令的限制C、集成HP-UX审核系统，以便生成单个统一的审核记录D、用于定制访问控制决策的可插拔体系结构答案：ABCD.由于WebLogic承载着系统应用的发布，所以其重要性也是不可估量，那么我们该怎么去面对WebLogic的漏洞，来保障系统的安全，可采用如下措施：A、经常关注weblogi的安全情况，对其爆发的最新漏洞进行及时升级或打补T;B、尽量关闭WebLogic在公网上的开放，仅限于在内网进行维护、管理；C、修改WebLogic的默认端口7001以及后台的默认访问路径；D、部署waf等安全措施，可以在一定程度上减轻该漏洞的危害；答案：ABCD113.androidmanifest,xml中哪项配置可能造成安卓内部文件被窃取？android:aIIowbackup="true"Android:name="con.trsc”C\Android:debug="true"D、Androidtargetsdkversion="17"答案：ABC.以下无法防止重放攻击的是A、对用户的账户和密码进行加密B、使用一次一密的加密方式C、使用复杂的账户名和口令D、经常修改用户口令答案：CD.以下哪些属于本地计算机策略0X、 审核策略B、Kerberos身份验证策略C、用户权利指派D、安全选项答案：ACD116.常见的网络攻击类型有()。A、被动攻击B、协议攻击C、主动攻击D、物理攻击答案：ACM7.使用WindowsServer2003中的备份工具(“备份”)配置和创建备份所需的常规信息有()。4、 执行基础备份B、为备份选择目的地C、为备份选择相应的选项D、计划备份答案：ABCD宏指令与子程序的主要区别在于()A、完成的功能完全不同B、目标程序的长度不同C、执行程序的速度不同D、汇编时处理的方式不同对于SQL注入攻击，我们可以做如下防范：Ay 防止系统敏感信息泄露。设置php.ini选项display_errors二off,防止php脚本出错之后，在web页面输出敏感信息错误，让攻击者有机可乘。B、数据转义。设置php.ini选项magic_quotes_gpc=on,它会将提交的变量中所有的'（单引号），"（双引号），‘（反斜杠），空白字符等都在前面自动加上\。或者采用mysql_real_escape（）函数或addsIashes（）函数进行输入参数的转义。C、使用静态网页，关闭交互功能。D、增加黑名单或者白名单验证。答案：ABD一个恶意的攻击者必须具备哪几点？A、方法B、机会C、动机D、运气答案：ABCT面对于x-scan扫描器的说法，正确的有A、可以进行端目扫描B、含有攻击模块，可以针对识别到的漏洞自动发起攻击C、对于一些已知的CGI和RPC漏洞,x-scan给出了相应的漏洞描述以及已有的通过此漏洞进行攻击的工具D、需要网络中每个主机的管理员权限也网站可能受到的攻击类型有()A、DDoSB、SQL注入攻击C、网络钓鱼D、CrossSiteScripting答案:ABCD.网络层的协议有()协议A、IPB、ARPC、ICMPD、RARP答案:ABCD.不属于操作系统自身的安全漏洞的是：()oA、操作系统自身存在的“后门”B、QQ木马病毒C、管理员账户设置弱口令D、电脑中防火墙未作任何访问限制答案：BCD.企业内部互联网可以建立在企业内部网络上或是互联网上。以下哪一项控制机制是可以合适于在互联网上建立一个安全企业内部互联网的用户信道加密B、安装加密的路由器C、安装加密的防火墙D、在私有的网络服务器上实现密码控制机制答案：ACD.下面哪种上传文件的格式是利用的Nginx解析漏洞()A、/test,asp;1.jpgB、/test,jpg/1.phpC、/test,asp/test.jpgD、/test.jpg%00.php答案：BD循环程序结构的三个主要组成部分是()oA、 置初值部分B、工作部分C、循环控制部分D、结束部分答案：ABCAndroid应用中导致HTTPS中间人攻击的原因有()A、没有对SSL证书校验B、没有对主机名进行校验C,SSL证书被泄露D、使用WIFI连接网络答案：ABC主机型漏洞扫描器可能具备的功能有A、重要资料锁定:利用安全的校验和机制来监控重要的主机资料或程序的完整性B、弱口令检查:采用结合系统信息、字典和词汇组合等的规则来检查弱口令C^系统日志和文本文件分析:针对系统日志档案，如UNIX的syslogs及NT的事件日志(EventLog),以及其他文本文件的内容做分析D、动态报警：当遇到违反扫描策略或发现已知安全漏洞时，提供及时的告警。告警可以采取多种方式，可以是声音、弹出窗口、电子邮件甚至手机短信等答案：ABCDTCP/IP参考模型中，以下哪些应用层协议是运行在TCP之上的HTTPSNMPC、FTPD、SMTP答案：ACD131.脱敏规则，一般的脱敏规则分类()0两类可恢复B、不可恢复C、可修改D、不可修改

答案：AB.以下关于SYNFIood和SYNCookie技术的哪些说法是不正确的？0A、SYNFIood攻击主要是通过发送超大流量的数据包来堵塞网络带宽B、SYNCookie技术的原理是通过SYNCookie网关设备拆分TCP三次握手过程，计算每个TCP连接的Cookie值，对该连接进行验证C、SYNCookie技术在超大流量攻击的情况下可能会导致网关设备由于进行大量的计算而失效D、以上都正确答案：AD.关于HTTP协议，以下哪些字段内容是包含在http响应头(responseheaders)中()A、accept：请求Server:Set-Cookie:Refere:答案：BC.在NTFS文件系统中，如果一个共享文件夹的共享权限和NTFS权限发生了冲突，那么以下说法不正确的是0A、共享权限优先A、共享权限优先NTFS权限B、系统会认定最少的权限C、系统会认定最多的权限D、以上都是答案：AC.以下关于cc攻击说法正确的是()。A、cc攻击需要借助代理进行B、cc攻击利用的是tcp协议的缺陷C、cc攻击难以获取目标机器的控制权D、cc攻击最早在国外大面积流行答案：ACD.网络运营者收集、使用个人信息，应当遵循—的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。A、 真'买B、必要C、合法D、正当答案：BCD.在数据存储及使用环节，应积极采取()等技术措施，保证数据安全。加密B、备份C、脱敏D、日志审计答案:ABCD.以下哪些是web常见中间件0TomcatInformixC\WeblogicD、Webshpere答案：ACD.main方法是JavaAppIication程序执行的入口点，关于main方法的方法头以下不合法的是()？publicstaticvoidmain()publicstaticvoidmain(Stringargs[])publicstaticintmain(String[]arg)publicvoidmain(Stringarg[])答案：ACD.针对用户输入内容直接输出到网页上的过滤方法有A>过滤scriptB、过滤alertC、过滤尖括号D、过滤双引号答案：ABC.关于cookie和session说法不正确的是0A、 session机制是在服务器端存储B、Cookie虽然在客户端存储，但是一般都是采用加密存储，即使cookie泄露，只要保证攻击者无法解密cookie,就不用担心由此带来的安全威胁C、SessionID是服务器用来识别不同会话的标识D、我们访问一些站点，可以选择自己喜好的色调，之后每次登录网站，都是我们选择的色调，这个是靠session技术实现的.身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述正确的是(一)A、身份鉴别是授权控制的基础B、身份鉴别一般不用提供双向的认证C、目前一般采用基于对称密钥加密或公开密钥加密的方法D、数字签名机制是实现身份鉴别的重要机制答案：ACD.安卓开发的四大组件是()0activityservicebroadcastreceivercontentprovider答案：ABCD144.下列属于重放类安全问题的是0。篡改机制B、登录认证报文重放C、交易通信数据重放D、界面劫持答案：BC.不能在浏览器的地址栏中看到提交数据的表单提交方式0A>submitB、getC、postD、out答案：ACD.T列关于PKI工作流程的说法正确的有()A、证书申请由实体提出B、实体身份审核由RA完成C、证书由CA颁发D、实体撤销证书需向RA申请答案：AC.以下哪些协议通信时是加密的。A、ftphttpsSNMPD、SSH答案：BD.产生系统死锁的原因可能是由于0。A、进程释放资源B、多个进程竞争C、资源出现了循环等待D、多个进程竞争共享型设备答案：BC.移动应用APP安全加固可以解决哪些安全问题？A、二次打包B、恶意篡改C、权限滥用D、代码破解答案：ABD.造成操作系统安全漏洞的原因有：A、不安全的编程语言B、不安全的编程习惯C、考虑不周的架构设计D、人为的恶意破坏答案：ABC.以下关于CA认证中心说法错误的有（一）。A、CA认证是使用对称密钥机制的认证方法B、CA认证中心只负责签名，不负责证书的产生C、A认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份D、CA认证中心不用保持中立，可以随便找一个用户来做为CA认证中心答案:ABD.T列方法中。可以作为防止跨站脚本的方法。A、验证输入数据类型是否正确B、使用白名单对输入数据进行验证C、使用黑名单对输入数据进行安全检查或过滤D、对输出数据进行净化答案：ABCD.PHP网站可能存在的问题包括:A、 代码执行B、SQL注入C、CSRF(CrossSiteRequestForgeries)D、文件包含答案：ABCD.下列哪个漏洞是由于未对输入做过滤造成的？A、 缓冲区溢出B、SQL注入C、XSSD、命令行注入答案：ABCD.可能和计算机病毒有关的现象有()A、可执行文件大小改变了B、系统频繁死机C、内存中有来历不明的进程D、计算机主板损坏答案：ABC.办公网络中计算机的逻辑组织形式可以有两种，工作组和域。下列关于工答案:ABCD作组的叙述中正确的是0。A、工作组中的每台计算机都在本地存储账户B、本计算机的账户可以登录到其它计算机上C、工作组中的计算机的数量最好不要超过10台D、工作组中的操作系统必须一样答案：ACBurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程，以下说法正确的是A、BurpSuite默认监听本地的8080端口B、BurpSuite默认监听本地的8000端口C、BupSuite可以扫描访问过的网站是否存在漏洞D、BurpSuite可以抓取数据包破解短信验证码答案：ACD下列都属于公钥的分配方法有（一）。A、公用目录表B、公钥管理机构C、公钥证书D、秘密传输答案：ABCT面可能被用来提权的应用软件是0Serv-uRadminPcanywhereD、Vnc下列措施中，（）能帮助较少跨站请求伪造。A、限制身份认证cookie的到期时间B、执行重要业务之前，要求用户提交额外的信息C、使用一次性令牌D、对用户输出进行处理答案：ABC.拒绝服务攻击的后果是0。A、 信息不可用B、应用程序不可用C、系统宕机D、阻止通信答案：ABCD.严格的口令策略应当包括哪些要素。（一）。A、满足一定的长度，比如8位以上B、同时包含数字、字母和特殊字符C、系统强制要求定期更改口令D、用户可以设置空口令答案：ABCD.Oracle支持的加密方式有（）。4、DES第窕CAB⑳6C、RC440D、DES40答案：ABCD164.黑客社会工程学是一种利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段，获取自身利益的手法。其经典技术有4、直接索取B、个人冒充C、反向社会工程D、邮件利用答案：ABCDOSI中哪一层可提供机密性服务？表小层传输层C、网络层D、会话层答案：ABC166.用户通过get方式提交()时，不可以绕过php中$2!=$6且md5($a)=md5($b)这一逻辑

A、a[]=l&b[]=2A、a[]=l&b[]=2aH&b=2C、a(}=l&b(J=2D、a()=l&b()=2.关于RA的功能下列说法不正确的是A、验证申请者的身份B、提供目录服务，可以查寻用户证书的相关信息C、证书更新D、证书发放答案：ACD.以下哪些问题是导致系统被入侵的直接原因0。A、系统存在溢出漏洞B、系统用户存在弱口令C、没有使用IPSD、登录口令没有加密传输答案：ABD.关于rootkit说法正确的是().A、rootkit是给超级用户root用的B、rootkit是入侵者在入侵了一台主机后，用来做创建后门并加以伪装用的程序包C、在对系统进行审计时，可以通过校验分析和扫描开放端口的方式来检测是否存在rootkit等问题D、rootkit其实就是一些事先修改过的用来替换系统程序的一些程序答案：BCD.以下各种寄存器中，属于标志寄存器的有()0A、AHB、CFC、PFD、ZF答案：BCD.操作系统的安全审计是指对系统中有关安全的活动进行记录、检查和审核的过程，为了完成审计功能，审计系统需要包括()三打功能模块。A、 审计数据挖掘B、审计事件收集及过滤C、审计事件记录及查询D、审计事件分析及响应报警系统答案：BCD172.以下哪些加密算法是已经被破解的。AvLanManager散列算法B、WepC、MD5D、Wpa2答案：ABC173.下面哪些协议属于OSI参考模型第七层？B、SPXC、TelnetD、PPP答案：AC.以下哪些因素会威胁数据安全？()A、 非法入侵B、硬盘驱动器损坏C、病毒D、信息窃取答案：ABCD.以下对Windows系统的服务描述，错误的是A、Windows服务必须是一个独立的可执行程序B、Windows服务的运行不需要用户的交互登陆C、Windows服务都是随系统启动而启动，无需用户进行干预D、Windows服务都需要用户进行登陆后，以登录用户的权限进行启动答案:ACD.防火墙的包过滤功能会检查如下信息：()A、源IP地址B、目标IP地址C、源端口D、目标端口答案:ABCD.国网公司对大数据安全的要求包括：()A、隐私保护B、大数据安全标准的制定.应根据情况综合采用多种输入验证的方法，以下输入验证方法需要采用OoA、检查数据是否符合期望的类型B、检查数据是否符合期望的长度C、检查数值数据是否符合期望的数值范围D、检查数据是否包含特殊字符答案：ABCD.有关struts2的说法正确的是0A、Struts是一用于简化MVC框架(Framework)开发的Web应用框架B、应用Struts?不需要进行配置C、Struts2含有丰富的标签D、Struts?采用了WebWork的核心技术答案：ACD.以下哪些工具能抓取http的数据包(一)0A、NampB、WireSharkC、BurpSuite答案：BC191.关于“熊猫烧香”病毒，以下说法正确的是A、感染操作系统exe程序B、感染html网页面文件C利用了MS06-014漏洞传播答案：ABC202.用户收到了一封可疑的电子邮件，要求用户提供银行账户及密码，这不属T-哪些攻击手段？4、钓鱼攻击B、DD0S攻击C、暗门攻击D、缓存溢出攻击答案：BCD.机房及相关设施宜配备()等安全设施。A、防盗B、防小动物C、防低温D、防噪音答案：AB.SQL注入攻击有可能产生()危害。B、恶意篡改网页内容C、未经授权状况下操作数据库中的数据D、私自添加系统账号答案：ABCD.灰鸽子木马是一种反弹连接型木马，它可以控制用户的电脑，关于灰鸽子木马，以下哪些说法是正确的是()OA、灰鸽子木马会插入IE进程进行连接，本机防火墙不会拦截B、灰鸽子木马可以启动用户电脑摄像头，可控制用户摄像头C、灰鸽子木马可以盗取用户电脑上的银行卡、游戏帐号等D、灰鸽子木马可以在用户关机的状态下，远程激活用户电脑主板，控制用户电脑。答案：ABC.()不能保证数据的机密性。A、 数字签名B、消息认证C、单项函数D、加密算法答案：ABC.怎样才能找到网站漏洞，提前预防web安全问题()A、对数据库所在的文件夹设置写权限B、采用Web漏洞扫描工具对网站进行扫描C、人工或使用工具对网站代码进行审核D、从Web服务日志分析攻击者提交的URL答案：BCD.国家支持网络运营者之间在网络安全信息(一)等方面进行合作，提高网络运营者的安全保障能力。4、 应急处置B、通报.以下哪种不是常用的哈希算法(HASH)A、3DESB、MD5C、RSAD、AES答案：ACD.任何信息安全系统中都存在脆弱点，它可以存在于A、使用过程中B、网络中C、管理过程中D、计算机系统中答案：ABCD.以下哪种代码可以造成XSS漏洞A1jsfuckB、jjencodeC^c++D、java答案：AB215.越权有哪几类04、未授权访问B、垂直越权C、平行越权D、以上都不是答案：ABC.因业务需要，境内数据确需向境外提供的，应当按照国家有关部门制定的办法进行安全评估，并经国家电网公司()审批，视情况向国家有关部门报备A、保密办B、业务主管部门C、职能部门D、总部答案：AB.关于“震网病毒”病毒，以下说法正确的是利用MS10-092漏洞传播B、利用MS10-061漏洞传播C、利用MS10-073漏洞传播D、利用MS10-046漏洞传播答案：ABCD218.SQL注入通常会在哪些地方传递参数值而引起SQL注入？()A、web表单cookiesC、url包含的参数值D、以上都不是答案:ABC.网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害，采取下列(―)措施。A、要求单位和个人协助抓跑嫌犯B、要求有关部门、机构和人员及时收集、报告有关信息，加强对网络安全风险的监测C、向社会发布网络安全风险预警，发布避免、减轻危害的措施D、组织有关部门、机构和专业人员，对网络安全风险信息进行分析评估，预测事件发生的可能性、影响范围和危害程度答案：BCD.哪些函数是PHP代码注入漏洞的敏感函数？create_fur)ctionassertpreg_replace+\eD、eval答案：ABCD224.在Unix系统中，关于shadow文件说法正确的是0A、只有超级用户可以查看B、保存了用户的密码C、增强系统的安全性D、对普通用户是只读的答案:ABCDD、SET协议答案：ABC.以下属于WebLogic安全防护措施的是()A、限制应用服务器Socket数量B、应禁止SendServerHeaderC、目录列表访问限制D、支持加密协议答案：ABCD.网页防篡改技术包括A、网站采用负载平衡技术B、防范网站、网页被篡改C、访问网页时需要输入用户名和口令D、网页被篡改后能够自动恢复答案：BD.主机房、基本工作间应设()灭火系统，并应按现行有关规范要求执行。二氧化碳B、卤代烷C、七氟丙烷D、高压水答案：ABC.根据《网络安全法》的规定，关键信息基础设施的运营者应当履行（一安全保护义务。A、定期对从业人员进行网络安全教育、技术培训和技能考核B、对重要系统和数据库进行容灾备份C、制定网络安全事件应急预案，并定期进行演练D、设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查答案：ABCD.以下查看WINDOWS系统连接端口命令，正确的是（）netstat-annetstat-a|find"80〃netstat-n|find〃80〃netstat-port答案：ABC. 下面哪些方法，可以实现对IIS重要文件的保护或隐藏？（）A、通过修改注册表，将缺省配置文件改名，并转移路径：B、将root目录，更改到非系统分区C、修改日志文件的缺省位置D、将脚本文件和静态网页存放到不同目录，并分配不同权限答案：ABCD.下列属于预防跨站请求伪造的措施的是()o三次确认B、二次确认C、插件限制PcShareGhostRadminDarket答案：ABD.()是中间件的特点。A、满足大量应用的需要B、运行于多种硬件和OS(OperatingSystem)平台C、支持分布式计算D、支持标准的协议答案：ABCD.T列对于Rootkit技术的解释准确的是：()A、 Rootkit是一种危害大、传播范围广的蠕虫B、Rootkit是攻击者用来隐藏自己和保留对系统的访问权限的一组工具C、Rootkit和系统底层技术结合十分紧密D、Rootkit的工作机制是定位和修改系统的特定数据，改变系统的正常操作流程答案：BCD242.以下哪些变量有可能造成直接的SQL注入4、$_GET$_P0ST$_REQUEST$_C00KIE答案：ABD243.mimikatz是一款提取windows口令的工具，它不能从0进程中提取口令。A>IsassB、explorerC>iexpIoreD、svchost答案：BCD.某单位信息内网的一台计算机上一份重要文件泄密，但从该计算机上无法-Hr*获得泄密细节和线索，可能的原因是0A、该计算机未开启审计功能B、该计算机审计日志未安排专人进行维护C、该计算机感染了木马D、该计算机存在系统漏洞答案：ABCD.XSS的防御方法有A、输入过滤B、白名单过滤C、输出编码D、黑名单过滤答案：ABCD. 以下能有效减少无线网络的安全风险,避免个人隐私信息被窃取的措施有0A、使用WPA等加密的网络B、定期维护和升级杀毒软件C、隐藏SSID,禁止非法用户访问D、安装防火墙答案：ABCD.网络操作系统应当提供哪些安全保障A、验证(Authentication)B、授权(Authorization)C\数据保密性(DataConfidentiaIity)D、数据一致性(DataIntegrity)和数据的不可否认性(DataNonrepudiation)答案：ABCD.()能有效地防止信息泄漏和不恰当的错误处理。A、不给用户任何提示信息B、除了必要的注释外，将所有的调试语句删除C、对返回客户端的提示信息进行统一和格式化D、制作统一的出错提示页面答案：BCD.下列关于安全口令的说法，正确的是：A、不使用空口令或系统缺省的口令，因为这些口令众所周之，为典型的弱口令。B、口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-maiI地址等等与本人有关的信息，以及字典中的单词C、口令不应该为用数字或符号代替某些字母的单词D、这些安全口令应集中保管，以防丢失答案：ABC.进一步明确大数据（）、开放等各环节的责任主体和具体措施，完善安全保密管理措施，切实加强对涉及国家利益、公共安全、商业秘密、个人隐私等信息的保护。A、采集B、传输C、存储D、使用答案：ABCD.在防火墙的“访问控制”应用中，内网、外网、DMZ三者的访问关系为()oA、内网可以访问外网B、内网可以访问DMZ区CxDMZ区可以访问内网D、外网可以访问DMZ区答案：ABD.磁介质的报废处理，应采用()4、 直接丢弃B、砸碎丢弃C、反复多次擦写D、内置电磁辐射干扰器答案：CD253.移动智能终端的特点有()oA、 开放性的OS平台B、具备PDA的功能C、随时随地接入互联网D、扩展性强、功能强大答案：ABCD254.在Windows2000中，以下服务一般可以关闭的是0A、remoteregistryservice-允许远程注册表操作A、B、RoutingandRemoteAccess-在局域网以及广域网环境中为企业提供路由服务C、RemotProcedureCalI（RPC^-提供终结点映射程序（endpointmapper）以及其它RPC的服务D、Messenger发送和接受系统管理员或者“警报者”服务传递答案：ABD255.可以获取到系统权限的漏洞有4、 命令执行B、SQL注入C、XSS跨站攻击D、文件上传答案：ABD256.大数据应用安全策略包括：（）A、用户访问控制D、制作或者销售管制物品答案：ABCD.关键信息基础设施运营单位主要负责人对关键信息基础设施安全保护负总责，其主要责任包括：（一）0A、负责建立健全网络安全责任制B、保障人力、财力、物力投入C、领导关键信息基础设施安全保护和重大网络安全事件处置工作D、组织研究解决重大网络安全问题答案：ABCD.针对Linux主机，一般的加固手段包括：4、打补丁B、关闭不必要的服务C、限制访问主机D、切断网络答案：ABC可以通过以下哪些方法，限制对Linux系统服务的访问？()A、配置xinetd.conf文件，通过设定IP范围，来控制访问源B、通过tcpwrapper提供的访问控制方法C、配置.rhost文件，增加+号，可以限制所有访问D、通过配置iptable,来限制或者允许访问源和目的地址答案：ABD获取口令的常用方法有()A、蛮力穷举B、字典搜索C、盗窃、窥视D、木马盗取答案：ABCD关于XcodeGhost事件的正确说法是0A、部分Android产品也受到了影响B、应用程序开发使用了包含后门插件的IDEC、当手机被盗时才有风险D、苹果官方回应APPSTORE土的应用程序不受影响答案：AB.Cookie分为0和0两种。本地型CookieB、临时CookieC、远程CookieD、暂态Cookie答案：AB.在信息系统设计阶段，以下说法正确的是()。A、在设计阶段，应明确系统的安全防护需求B、在系统规划设计阶段应对系统进行预定级，编制定级报告C、在设计阶段应编写系统安全防护方案D、涉及内外网交互的业务系统，禁止使用隔离装置规则库中默认禁止的结构化查询语言。答案：CD.针对SQL注入和XSS跨站的说法中，哪些说法是正确的()A、SQL注入的SQL命令在用户浏览器中执行，而XSS跨站的脚本在Web后台数据库中执行BxXSS和SQL注入攻击中的攻击指令都是由黑客通过用户输入域注入，只不过SS注入的是HTML代码（以后称脚本），而SQL注入的是SQL命令CxXSS和SQL注入攻击都利用了Web服务器没有对用户输入数据进行严格的检查和有效过滤的缺陷DvXSS攻击盗取Web终端用户的敏感数据，甚至控制用户终端操作，SQL注入攻击盗取Web后台数据库中的敏感数据，甚至控制整个数据库服务器答案：BCD.软件逆向的应用包括A、软件破解B、软件开发C、病毒分析D、漏洞分析答案：ABCD269.机房内的。及消防系统应符合有关标准、规范的要求。A、照明B、温度A、在unix中使用chrooted文件系统防止路径向上回朔B、程序使用一个硬编码，被允许访问的文件类型列表C、对用户提交的文件名进行相关解码与规范化D^使用相应的函数如(java)getCanonicalPath方法检查访问的文件是否位于应用程序指定的起始位置答案：ABCD.DSS(DigitalSignatureStandard)中应包括()A、 鉴别机制B、加密机制C、数字签名D、数据完整性答案：ABD.以下哪些工具提供拦截和修改HTTP数据包的功能？()oBurpsuiteHackbarFiddlerD、Nmap答案：AC.公司SGT6000系统应用模块实施范围包括：()灾备管理、安全管理和决策分析的业务应用。A、 运行管理B、检修管理A、是一项专业性较强的技术工作B、必要时可进行相关的验证或侦查实验C、可聘请有关方面的专家，组成专家鉴定组进行分析鉴定D、可以由发生事故或计算机案件的单位出具鉴定报告答案：ABC.以下属于tomcat弱口令的是tomcatadmin123456111111答案：ABCD.建立堡垒主机的一般原则是4、最简化原则B、复杂化原则C、预防原则D、网络隔离原则答案：AC«网络安全法》规定以下哪些选项是网络运营者要承担的一般性义务。A、遵守法律、行政法规B、履行网络安全保护义务C、遵守个人道德D、遵守商业道德，诚实信用SG-I6000系统需要进行安全备案的设备类型有A、主机B、网络C、终端D、打印机答案：ABCD.文件操作中应对上传文件进行限制，下列操作中()能对上传文件进行限制。A、上传文件类型应遵循最小化原则，仅允许上传必须的文件类型B、上传文件大小限制，应限制上传文件大小的范围C、上传文件保存路径限制，过滤文件名或路径名中的特殊字符D、应关闭文件上传目录的执行权限答案：ABCD.以下哪些类型的漏洞的侵害是在用户浏览器上发生的4、XSSSSRFCSRFD、SQL注入答案：AC287.属于溢出提权的方式是A、pr提权B、巴西烤肉提权291.跨专业共享数据中涉及国家电网公司商密及重要数据的，其（）等行为须经相关部门审批4、采集B、传输C、使用D、销毁答案：AB关于密码学的讨论中，下列（一）观点是不正确的。A、密码学是研究与信息安全相关的方面如机密性、完整性、实体鉴别、抗否认等的综合技术B、密码学的两大分支是密码编码学和密码分析学C、密码并不是提供安全的单一的手段，而是一组技术D、密码学中存在一次一密的密码体制，它是绝对安全的答案：ABC落实国家关键信息基础设施保护和等级保护要求，满足公司泛在电力物联网建设需要，适应“互联网+”等新兴业务快速发展，在坚持“（）”原则基础上，形成“（）”的核心防护能力A、安全分区、网络专用、横向隔离、纵向认证B、双网双机、分区分域、等级防护、多层防御C、可信互联、精准防护、安全互动、智能防御D、可管可控、精准防护、可视可信、智能防御答案：AC.逻辑漏洞的修复方案有0A、减少验证码有效时间B、对重要参数加入验证码同步信息或时间戳C、重置密码后，新密码不应返回在数据包中D、限制该功能单个ip提交频率答案：ABCD.处理器执行的指令被分成两类，其中有一类称为特权指令，它不允许0使用。A、操作员B、联机用户C、操作系统D、目标程序答案：ABD.下列说法正确的是0A、安防工作永远是风险、性能、成本之间的折衷B、网络安全防御系统是个动态的系统，攻防技术都在不断发展。安防系统必须同时发展与更新C、系统的安全防护人员必须密切追踪最新出现的不安全因素和最新的安防理念，以便对现有的安防系统及时提出改进意见D、建立100%安全的网络.Nginx中间件易出现的漏洞有？A、 网络层、传输层B-.会话层、表示层C、应用层D^网络接口层答案：ACD.数据备份系统由（一）部分组成。A、 备份服务器B、备份网络C、备份设备D、备份软件答案：ABCD.提高web安全防护性能，减少安全漏洞，下列哪些做法是正确的0新建一个名为Administrator的陷阱帐号，为其设置最小的权限B、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码C、安全设置-本地策略-安全选项中将“不显示上次的用户名”设为禁用D、修改组策略中登录的次数限制，并设定锁定的时间答案：ABD.系统安全管理包括0A、系统软件与补丁管理B、日常防病毒管理C、安全产品策略备份D、频繁更换服务器硬件答案:ABC.被感染病毒后，计算机可能出现的异常现象或症状有0A、计算机系统出现异常死机或死机频繁B、文件的内容和文件属性无故改变C、系统被非法远程控制D、自动发送邮件答案：ABCD.PHPwrapper是php内置封装协议，可用于本地文件包含漏洞的伪协议主要有0A、file://php://filterfile://fiIterphp://答案：AB.以下关于对称密钥加密说法错误的有（一）。A、加密方和解密方可以使用不同的算法B、加密密钥和解密密钥可以是不同的C、加密密钥和解密密钥是相同的D、密钥的管理非常简单.SG-I6000系统中安全备案功能按部门分为以下哪几项？信息部门B、调度部门C、运检部门D、营销部门答案：ABCD.根据XSS攻击的效果，可以将XSS分为3类：A、反射型XSS(Non-persistentXSS)B、存储型XSS(PersistentXSS)DOMbasedXSS(DocumentObjectModeIXSS)CookiebasedXSS答案：ABC.以下是有效提高网络性能的策略A、增加带宽B、基于端口策略的流量管理C、基于应用层的流量管理D、限制访问功能答案：ABC.《网络安全法》出台的重大意义，主要表现在以下哪几个方面。A、服务于国家网络安全战略和网络强国建设B、助力网络空间治理，护航“互联网+”C、提供维护国家网络主权的法律依据D、在网络空间领域贯彻落实依法治国精神答案:ABCD.使用网络漏洞扫描程序能够发现的是()oA、 用户的弱口令B、系统磁盘空间已满C、操作系统的版本D、系统提供的网络服务答案：ACD.可以从哪些地方BypassWAF()A、 架构层B、资源层C、 协议层D、规则缺陷答案：ABCD.PHP提供以下哪些函数来避免sql注入mysql_real_escape_stringescapeshelIargaddsIasheshtmlentities答案：AC.对于SQL注入攻击的防御，可以采取哪些措施()A、不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接B、不要把机密信息直接存放，加密或者hash掉密码和敏感的信息C、不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取D、对表单里的数据进行验证与过滤，在实际开发过程中可以单独列一个验证函数，该函数把每个要过滤的关键词如select,1=1等都列出来，然后每个表单提交时都调用这个函数答案：ABCD.数据脱敏又称为()A、数据漂白B、数据去隐私化C、数据变形D、数据加密答案：ABCD. 给操作系统做安全配置厂要求设置一些安全策略，在aix系统要配置账号密码策略，下面说法正确的是：( )Avchsec-f/etc/security/user-sdefault-amaxage=13,设置密码可使用的最长时间B、chsec-f/etc/security/user-sdefault-aminlen=6,设置密码最小长度C、chsec-f/etc/security/user-sdefault-aminage=l,设置密码修改所需最短时间D、chsec-f/etc/security/user-sdefault-apwdwarntime=28,设置用户登录时的警告信息答案：ABC.A.B类主机房设备宜采用分区布置，一般可分为哪些区域A、服务器区B、网络设备区C、存贮器区D、监控操作区答案：ABCD.哪些属于常见的危险密码()A、跟用户名相同的密码B、10位的综合密码C、只有4位数的密码D、使用生日作为密码答案：ACD.-台Linux服务器运行的服务包括SMTP、POP3、IMAP和SNMP,对其进行端口扫描，可以发现下列哪些端口TCP端口可能开放：o25B、110C、21D、143答案：ABD326.以下哪些是常见的PHP”一句话木马”？0A、<?phpassert($_POST(value));?>A、<%execute(request("value"))%>C、<?phpeval($_POST(value)):?>D^<%if(request.getParameter("!")!=nulI)(newjavio.FiIeOutputStream(application.getRealPath('\\")+request.getParmeter("!")))•write(request.getParameter("t").getByte()))：%>答案：ABCDphp后台不允许用户提交的参数名中包含下划线一，用户不可以用。代替下划线绕过。A、./C、 D、+答案：BCDDDOS按类型分为A、基于ARPB、基于ICMPC、基于IPD、基于应用层答案：ABCD操作系统的脆弱性表现在()A、操作系统体系结构自身B、操作系统可以创建进程C、操作系统的程序是可以动态连接的D、操作系统支持在网络上传输文件答案：ABCD根据《网络安全法》的规定，有下列(一)行为之一的，由有关主管部门责令改正，给予警告，拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。A、未按照规定及时告知用户并向有关主管部门报告的B、设置恶意程序的C、对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施的D、擅自终止为其产品、服务提供安全维护的答案：ABCDXSS漏洞分为0等几类。A、直接XSSB、反射型XSSC、存储型XSSD、D0MBASEEDXSS答案：BCD.如果http://xxx./news,action?id=l?id=landl=1?id=landIenCa')=1?id=1andsubstring('ab',0,1)='a'返回结果均相同，可以判断出服务器A、使用了Strut2框架B、使用了Oracle数据库C、使用了SQLServer数据库D、使用了mysql数据库答案：AD.统一资源定位符由什么组成？A、路径B、服务器域名或IP地址C、协议D、参数答案：ABCD.在Windows2000中网络管理员利用注册表可以()A、修改系统默认启动选项B、修改系统默认启动选项C、修改桌面配置选项D、删除应用程序答案：ABC.以下属于WEB攻击技术的有xssA、xssB、SQL注入C、CSRFD、DDOS答案：ABC336.Weblogic内部的权限管理也是通过角色和用户组来实现的，主要分为以下几个用户组AdministratorsDeployersMonitorsOperators答案:ABCD.()将引起文件上传的安全问题。A、文件上传路径控制不当B、可以上传可执行文件C、上传文件的类型控制不严格D、上传文件的大小控制不当答案：ABCD.可从以下哪几方面审计windows系统是否存在后门()A、查看服务信息B、查看驱动信息C、查看注册表键值D、查看系统日志答案：ABCD339.Web身份认证漏洞，严重影响web的安全，其漏洞主要体现在以下哪些方面0存储认证凭证直接采用hash方式B、认证凭证是否可猜测，认证凭证生成规律性强C、内部或外部攻击者进入系统的密码数据库存储在数据库中的用户密码没有被加密，所有用户的密码都被攻击者获得D、能够通过薄弱的的帐户管理功能(例如账户创建、密码修改、密码恢复，弱口令)重写答案：ABCD.关于WEP和WPA加密方式的说法中正确的有()A、802.11b协议中首次提出WPA加密方式B、802.Ui协议中首次提出WPA加密方式C、采用WEP加密方式，只要设置足够复杂的口令就可以避免被破解D、WEP口令无论多么复杂，都很容易遭到破解答案：BD.以下哪项可以避免IISput上传攻击()A、设置web目录的NTFS权限为：禁止INTERNET来宾账户写权限B、禁用webDAV扩展C、修改网站的默认端口D、设置IIS控制台网站属性：主目录权限禁止写入权限答案：ABD.在对IIS脚本映射做安全配置的过程中，下面说法正确的是0：A、无用的脚本映射会给IIS引入安全隐患B、木马后门可能会通过脚本映射来实现C、在脚本映射中，可以通过限制get、head、put等方法的使用，来对客户端的请求做限制D、以上说法均不正确答案：ABC.T列关于互联网大区说法正确的是0A、互联网大区可以部署数据库，构建数据中心，用于存储处理公司普通数据,降低跨区数据传输压力B、互联网大区禁止存储公司商密数据C、互联网大区禁止长期存储重要数据D、禁止终端在互联网大区、管理信息大区和生产控制大区之间交叉使用答案：ABCD.国家电网公司办公计算机信息安全管理遵循哪些的原则A、涉密不上网B、上网不涉密C、重复利用互联网D、交叉运行答案：AB.以下哪些属于APK包的内容A、AndroidManifest,xmlclasses,dexC、IibD、res答案：ABCD. 以下哪些方法，可以有效防御CSRF带来的威胁()A、使用图片验证码B、要求所有POST请求都包含一个伪随机值C、只允许GET请求检索数据，但是不允许它修改服务器上的任何数据D、使用多重验证，例如手机验证码答案：ABCD.应对信息系统()情况进行监控。A、评估B、运行C、应用D、安全防护答案：BCD.下面关于防火墙概念和功能的描述哪些是正确的A、防火墙可能会成为数据传输的瓶颈B、防火墙可实行强制安全策略C、防火墙可记录连接情况D、使用防火墙可防止一个网段的问题向另一个网段传播答案：ABCD.以下哪些属于常见的移动安全测试工具？apktoolDex2jarJd-guidrozer答案：ABCD350.黑客攻击通常有A、扫描网络B、植入木马C、获取权限D、擦除痕迹答案：ABCD351.以下属于网络通信协议的有哪些？()IPX/SPXTCP/IPV4C