《Web应用安全与防护》课程考试复习题库（含答案）

PAGEPAGE1《Web应用安全与防护》课程考试复习题库（含答案）一、单选题1.（）密码将要加密的明文分成N个一组，然后取每组的第一个字符依次连接，拼接而成的字符串就是密文。A、栅栏B、曲路C、ADFGXD、仿射答案：A2.字符串“flag”对应的Base64的编码为（）。A、666C6167B、MZWGCZY=C、ZmxhZw==D、iH答案：C3.非对称密码一个密钥公开，称为公钥，一个保密，称为（）。A、私钥B、密钥C、密文D、明文答案：A4.（）密码技术则通过改变明文字母的排列次序来达到加密的目的。A、替换B、易位C、古典D、现代答案：B5.Python2默认采用（）。A、SCII码B、utf-8C、utf-16D、utf-32答案：A6.节点加密对（）采取保护措施A、整个网络B、整个链路C、互联设备D、计算机答案：B7.IIS6.0文件解析漏洞可以使用以下哪个payload？A、test..aspB、test.asp.jpgC、test.asp;.jpgD、test;asp;jpg答案：C8.字符串“flag”对应的Base16的编码为（）。A、666C6167B、MZWGCZY=C、ZmxhZw==D、iH答案：A9.（）是指网络中的信息不被非授权实体获取与使用。A、保密性B、完整性C、可用性D、可控性答案：A10.以下哪个语句可以获取cookie？A、document.cookieB、inner.cookieC、html.cookieD、javacript.cookie答案：A11.（）密码是经典的单表替换密码，它通过将字母移动一定的位数来实现加密和解密。A、凯撒B、仿射C、维吉尼亚D、置换答案：A12.ROT13是一种特殊的凯撒密码，它的密钥是（）。A、3B、13C、23D、0答案：B13.utf-8编码中一个英文字符占（）个字节。A、1B、2C、3D、4答案：A14.凯撒密码进行暴力破解时最多尝试()次即可恢复明文。A、26B、25C、13D、12答案：B15.DVWA-CSRF-Low中哪个方法可以攻击？A、对输入密码部分进行注入攻击B、使用update注入方法C、构造网页病诱导目标在未退出登录的情况下点击D、使用xss攻击答案：C16.XSS不能来干什么？A、钓鱼B、劫持用户会话C、DDOSD、注入数据库答案：D17.标准ASCII码，使用（）位二进制数（剩下的1位二进制为0）来表示所有的大写和小写字母，数字0到9、标点符号，以及在美式英语中使用的特殊控制字符。A、7B、8C、16D、32答案：A18.（）编码可用于浏览器和网站之间的数据交换，主要功能是解决一些特殊字符在传输过程中造成的问题。A、urlB、htmlC、asciiD、utf答案：C19.以下关于HTTP请求方法GET,描述不正确的有().A、GET用于获取指定页面的内容B、请求参数在请求头中C、请求参数在报文体中D、请求长度有限制答案：C20.非对称密码体制算法复杂，加解密速度慢，一般用于（）。A、数字签名B、明文加密C、大批量内容加密D、数字水印答案：A21.仿射密码进行暴力破解时最多尝试()次即可恢复明文。A、12×26B、26C、26×26D、12×25答案：A22.utf是unicode的转换格式，是用于对内存中的unicode编码进行存储和传输时使用的编码，也就是内存调用使用的是（）编码，硬盘存储和网络传输使用的是（）编码。A、unicodeutfB、utfunicodeC、asciiutfD、utfascii答案：A23.".--"采用了（）编码。A、摩斯B、aseC、urlD、html实体答案：A24.一个做暴力破解机软件的人,只要他思考过,而且技术上能达到的话,破解应该按照这个顺序来:()。A、字母→数字B、数字→字母→特殊符号C、字母→特殊符号D、数字→字母答案：B25.是什么导致了一个网站拿不到另一个网站设置的cookie？A、浏览器的js代码B、服务器默认设置C、浏览器同源策略D、浏览器禁止恶意js脚本运行答案：C26.下面关于htmlspecialchars()说法错误的是？A、该函数可用于过滤xssB、该函数用于对一些字符进行xss实体编码C、该函数用于转译字符（在后面加上反斜线）D、该函数用于防止浏览器将其用作HTML元素答案：C27.Python中使用模块gmpy2进行高精度计算，gmpy2模块中用于求大整数x模m的逆元的方法是（）。A、gmpy2.powmod(x,y,m)B、gmpy2.mpz()C、gmpy2.gcd(a,b)D、gmpy2.invert(x,m)答案：D28.（）是一个将任意长度的消息序列映射为较短的、固定长度的一个值的函数，又称为消息摘要、散列或杂凑函数。A、隐写术B、密码学C、哈希函数D、数字签名答案：C29.古典密码学算法的保密性基于（）的保密。A、算法B、明文C、密文D、明文和密文答案：A30.（）就是确保计算机硬件的物理位置远离外部威胁，同时确保计算机软件正常可靠的运行。A、计算机安全B、硬件安全C、设备安全D、软件安全答案：A31.（）是可变长度的编码方式，使用一至六个字节为每个字符编码。A、SCII码B、utf-8C、unicodeD、utf-32答案：B32.利用Firefox浏览器的（）插件，可以实现隐藏（伪装）客户端浏览器信息的目的。A、WappalyzerB、FlagfoxC、FoxyProxyD、User-AgentSwitcher答案：D33.有一种攻击是不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪。这种攻击叫做A、重放攻击B、拒绝服务攻击C、反射攻击D、服务攻击答案：B34.字符串“flag”对应的Base32的编码为（）。A、666C6167B、MZWGCZY=C、ZmxhZw==D、iH答案：B35.（）是人们对信息的传播路径、范围及其内容所具有的控制能力，即不允许不良内容通过公共网络进行传输，使信息在合法用户的有效掌控之中。A、保密性B、完整性C、可用性D、可控性答案：D36.对信息的传播及内容具有控制能力的特性是指信息的？A、保密性B、完整性C、可控性D、可用性答案：C37.文件解析漏洞一般结合什么漏洞一起使用？A、CMSB、文件上传C、命令执行D、xss答案：B38.保证计算机硬件和软件安全的技术是（）。A、计算机安全B、硬件安全C、设备安全D、软件安全答案：A39.Cookie的属性中，Value是指什么？A、过期时间B、关联Cookie时间C、ookie的名字D、Cookie的值答案：D40.HTTP是（）。A、超文本传输协议B、网际协议C、传输协议D、地址解析协议答案：A41.以下对于字符串“flag{everyday}”进行base16编码得到的值是（）。A、W^7?+du4WIa(QH7d3^B、666C61677B65766572796461797DC、MZWGCZ33MV3GK4TZMRQXS7I=D、ZmxhZ3tldmVyeWRheX0=答案：B42.盗取Cookie是用做什么？A、劫持用户会话B、固定用户会话C、钓鱼D、预测用户下一步的会话凭证答案：A43.Alice想把消息发送给Bob，为了保证不被攻击者篡改消息内容，Alice传送消息可通过（）技术来保证消息不被篡改。A、消息认证B、身份识别C、加密D、解密答案：A44.以下对于字符串“flag{attackatnine}”进行base32编码得到的值是（）。A、MZWGCZ33MF2HIYLDNNQXI3TJNZSX2===B、ZmxhZ3thdHRhY2thdG5pbmV9C、666C61677B61747461636B61746E696E657DD、W^7?+dtr2RVPk7ybZ%∗GWqk答案：A45.Cookie没有以下哪个作用？A、维持用户会话B、储存信息C、执行代码D、身份认证答案：C46.分析代码：withopen("flag_cipher","wb")asf:fwrite(MyOwnCBC(key,s))fclose()以上代码中“wb”的作用是什么？A、以只读方式打开文件B、以二进制格式打开一个文件用于只读C、以二进制格式打开一个文件用于写入D、打开一个文件只用于写入答案：C47.Telnet指的是（）。A、万维网B、电子邮件C、文件传输D、远程登录答案：D48.节点与链路加密方式都是在（）层的加密方式A、数据链路层B、物理层C、网络层D、传输层答案：A49.SSL工作在应用层和（）中间。A、传输层B、网络层C、互联网层D、网络接口层答案：A50.（）是把明文中各字符的位置次序重新排列来得到密文的一种密码体制。A、移位密码B、古典密码C、置换密码D、仿射密码答案：C51.编码9711611697991073297采用的编码方式为（）。A、urlB、htmlC、asciiD、utf答案：C52.ExeBind程序可以将指定的攻击程序捆绑到任何一个广为传播的热门软件上，使宿主程序执行时，寄生程序也在后台被执行，且支持多重捆绑。此类型的攻击属于______？A、逻辑炸弹B、DDos攻击C、邮件病毒D、特洛伊木马答案：D53.下列哪一个选项不属于XSS跨站脚本漏洞危害？A、钓鱼欺骗B、身份盗用C、SQL数据泄露D、网站挂马答案：C54.下面哪个函数不能起到xss过滤作用？A、str_replace()B、preg_replace()C、addslashes()D、htmlspecialchars()答案：C55.数据加密标准简称（）。A、DESB、internetC、netD、Internet答案：A56.下面有关csrf的描述，说法错误的是（）。A、CSRF则通过伪装来自受信任用户的请求来利用受信任的网站B、XSS是实现CSRF的诸多途径中的一条C、在客户端页面增加伪随机数可以阻挡CSRFD、过滤用户输入的内容也可以阻挡CSRF答案：D57.EXIF可以被附加在（）文件中，为其增加有关数码相机拍摄信息的内容、缩略图或图像处理软件的一些版本信息。A、gifB、jpgC、pngD、bmp答案：B58.如果每次打开Word程序编辑文档时，计算机都会把文档传送到一台FTP服务器，那么可以怀疑Word程序已经被黑客植入A、蠕虫B、特洛伊木马C、FTP服务程序D、陷门答案：B59.url编码就是在特殊字符的十六进制数的基础上，每个字符前置一个（）即可。A、%B、#C、D、&答案：A60.通过修改HTTPheaders中的哪个键值可以伪造来源网址A、X-Forwarded-ForB、User-AgentC、AcceptD、Referer答案：D61.（）是指对消息的真实性和完整性的验证。A、消息认证B、身份识别C、加密D、解密答案：A62.地址解析协议ARP属于TCP/IP的哪一层？A、互联层B、主机-网络层C、传输层D、应用层答案：A63.（）是指对信息和资源的期望使用能力，及可授权实体或用户访问并按要求使用信息的特性。简单的说，就是保证信息在需要时能为授权者所用，防止由于主、客观因素造成系统拒绝服务。A、保密性B、完整性C、可用性D、可控性答案：C64.假设k密钥，c密文，m明文，移位密码加密的公式为（）。A、c=m+k(mod26)B、m=c+kC、k=m+cD、c=m-k答案：A65.一个zip文件由三部分组成：压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志，压缩源文件目录区由（）为开始标识。A、504B0304B、504B0102C、504B0506D、504B0708答案：B66.XSS的分类不包含下面哪一个？A、DOM型xssB、储存型xssC、注入型xssD、反射型xss答案：C67.存储信息的机密性主要通过（）来实现，不同用户对不同数据具有不同权限。A、访问控制B、签名C、消息认证D、身份认证答案：A68.（）密码技术中，用一组密文字母来代替明文字母，以达到隐藏明文的目的。A、替换B、易位C、古典D、现代答案：A69.反射型xss通过什么传参？A、GETB、POSTC、FROMD、PUT答案：A70.网络传输消息可以被窃听，解决办法是对传输消息进行（）处理。A、加密B、签名C、消息认证D、身份认证答案：A71.编码%71%75%69%63%6b%20采用的编码方式为（）。A、urlB、htmlC、asciiD、utf答案：A72.（）字符串切片，text中从第i+1个字符开始取两个字符。A、text[i:i+2]B、text[i+1:i+3]C、text[i-1:i+4]D、text[i:i+1]答案：A73.网络环境下的拒绝服务、破坏网络和有关系统的正常运行等都属于对（）的攻击。A、保密性B、完整性C、可用性D、不可否认性答案：C74.python中函数range(10)生成的数列是（）。A、1-10B、0-9C、0-10D、1-11答案：B75.盗取Cookie是用做什么？A、用于登录B、DDOSC、钓鱼D、会话固定答案：A76.保护计算机网络设备免受环境事故的影响属于信息安全的哪个方面？A、人员安全B、物理安全C、数据安全D、操作安全答案：B77.Burpsuite工具软件基于（）开发。A、C++B、PythonC、RubyD、Java答案：D78.黑客利用已经登录的用户，诱使其访问或者登录某个早已构造好的恶意链接或者页面，然后在用户毫不知情的情况下，以用户的名义完成了非用户本意的非法操作。这种攻击称为（）。A、跨站脚本攻击B、跨站请求伪造攻击C、服务器请求伪造攻击D、SQL注入攻击答案：B79.Linux系统下的可以使用命令（）进行文件合并。A、catB、lsC、opyD、cd答案：A80.假设k密钥，c密文，m明文，移位密码解密的公式为（）。A、m=c-k(mod26)B、m=c+kC、k=m+cD、c=m+k答案：A81.关于IP提供的服务，下列哪种说法是正确的？A、IP提供可靠的数据投递服务，因此它不能随意丢弃报文B、IP提供不可靠的数据投递服务，因此它可以随意丢弃报文C、IP提供可靠的数据投递服务，因此数据报投递可以受到保障D、IP提供不可靠的数据投递服务，因此数据报投递不能受到保障答案：D82.如图所对应的密码是：A、凯撒密码B、仿射密码C、置换密码D、单表密码答案：A83.DVWA-CSRF-Medium的防御方法如何绕过？A、将自己服务器的页面文件命名为为目标host头的名字B、伪造自己的ip地址C、使用注释符来绕过单引号D、使用单引号来代替双引号答案：A84.PUT方法是用来干什么的？A、删除文件B、下载文件C、上传文件D、查询文件答案：C85.人们在应用网络时要求网络能提供保密性服务，被保密的信息既包括在网络中传输的信息，也包括()在计算机系统中的信息。A、传输B、完整C、存储D、否认答案：C86.攻击者通过向目标建立大量的连接请求，阻塞通信信道、延缓网络传输、挤占目标机器的服务缓冲区，以致目标计算机疲于应付、响应迟钝，直至网络瘫痪、系统关闭。这种是（）攻击。A、拒绝服务B、入侵C、病毒D、木马答案：A87.计算机网络通信时，利用那个协议获得对方的MAC地址？A、RARPB、TCPC、UDPD、ARP答案：D88.MySQL服务的默认端口是（）。A、80B、23C、21D、3306答案：D89.以下哪个方法结合token可以完全防御CSRF？A、二次验证B、各种wafC、防火墙D、过滤器答案：A90.Web服务的默认端口是（）。A、80B、23C、21D、3306答案：A91.（）是一种隐藏在目标系统中的特殊程序，主要目的是绕过系统的访问控制机制。木马可通过电子邮件或捆绑在一些下载的可执行文件中进行传播。A、木马B、病毒C、蠕虫D、软件答案：A92.节点加密方式是（）层的加密方式A、数据链路层B、物理层C、网络层D、传输层答案：A93.通过修改HTTPheaders中的哪个键值可以伪造来源网址A、X-Forwarded-ForB、User-AgentC、AcceptD、Referer答案：D94.utf-8是可变长编码方式，如果utf-8编码的字节的第一位是（），那么它就是一个多字节串。A、0B、1C、2D、3答案：B95.（）密码仅包含01248五个数字，其中0用于分割，其余数字用于做加和操作之后转换为明文。例如：8842101220480224404014224202480122。A、云影B、仿射C、培根D、MD5答案：A96.以下关于ICMP差错报文特点的描述中，错误的是()A、目的地址通常为抛弃数据报的源地址B、数据包含故障IP数据报数据区的前64比特C、伴随抛弃出错IP数据报产生D、享受特别优先权和可靠性答案：D97.在移位密码中，密钥k=3，明文字母为X，对应的密文字母为（）。A、B、C、D、答案：A98.SSL原来是针对（）服务提供安全的协议。A、B、邮件C、远程传输D、文件传输答案：A99.在Windows系统中PNG格式图片的（）可以随意修改，但是图片（）不能随便修改。A、高度宽度B、宽度高度C、长度宽度D、宽度长度答案：A100.olt通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动，这种攻击方式是______？A、邮件炸弹B、特洛伊木马C、DDos攻击D、逻辑炸弹答案：C101.一个zip文件由三部分组成：压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志，压缩源文件目录结束标志由（）为开始标识。A、504B0304B、504B0102C、504B0506D、504B0708答案：C102.移位密码的密钥空间为K={0，1，2，…,25}，因此最多尝试（）次即可恢复明文。A、26B、2C、1024D、512答案：A103.（），是专门为数码相机的照片设定的，可以记录数码照片的属性信息和拍摄数据。A、ExifB、jpgC、pngD、bmp答案：A104.在移位密码中，密钥k=9，密文字母为J，对应的明文字母为（）。A、B、C、D、答案：A105.获取字符'f'对应的ASCII码的函数是（）。A、ord()B、chr()C、index()D、find()答案：A106.攻击者截获并记录了从A到B的数据，然后又从早些时候所截获的数据中提取出信息重新发往B称为？（）A、中间人攻击B、口令猜测器和字典攻击C、强力攻击D、回放攻击答案：D107.请问以下密文是通过（）密码算法加密得到的？A、仿射B、培根C、猪圈D、当铺答案：C108.端--端加密方式是网络中进行数据加密的一种重要方式，其加密、解密在何处进行A、源结点、中间结点B、中间结点、目的结点C、源结点、目的结点D、中间结点、中间结点答案：C109.（）的安全性依赖于著名的大整数因子分解的困难性问题。A、DESB、MD5C、RSAD、SHA-1答案：C110.“<”的html编码为（）。A、<B、>C、1D、"答案：A111.flag对应的ROT13为（）。A、IODJB、SYNTC、IXDD、GMPH答案：B112.在进行密码破解时，（）指的是攻击者掌握了某段明文和对应密文来求解密码。A、已知明文攻击B、已知密文攻击C、唯密文攻击D、唯明文攻击答案：A113.utf-8编码中一个中文字符通常占（）个字节，A、1B、2C、3D、4答案：C114.CRC本身是“冗余校验码”的意思，CRC32则表示会产生一个（）bit的校验值。由于CRC32产生校验值时源数据块的每一个bit(位)都参与了计算，所以数据块中即使只有一位发生了变化，也会得到不同的CRC32值。A、32B、12C、16D、64答案：A115.Window系统中可以使用copy命令进行文件合并，补全以下命令：copy（）1.txt+2.png3.txtA、/BB、C、BD、s答案：A116.分析代码：Withopen('flag_ciphe','rb')asf:cipher=f.read()以上代码中“rb”的作用是什么？A、以只读方式打开文件B、以二进制格式打开一个文件用于只读C、以二进制格式打开一个文件用于写入D、打开一个文件只用于写入答案：B117.加密公式c=m+k(mod)26对应的密码算法是（）。A、凯撒B、仿射C、维吉尼亚D、置换答案：A118.（）通过将字母表的位置完全镜面对称后获得字母的替代表,然后进行加密。A、埃特巴什码(AtbashCipher）B、ROT13C、培根密码D、猪圈密码答案：A119.以下不能用来进行进行文件分离的是（）。A、010EditorB、inwalkC、ddD、file答案：D120.Python中使用模块gmpy2进行高精度计算，gmpy2模块中用于求大整数x的y次幂模m取余的方法是（）。A、gmpy2.powmod(x,y,m)B、gmpy2.iroot(x,n)C、gmpy2.invert(x,m)D、gmpy2.gcd(a,b)答案：A121.（）是由长音和短音构成的，往往使用“.”表示短音,使用“-”表示长音。A、摩斯电码B、utf-C、unicodeD、html实体答案：A122.通常用某种程序或者某种方法在载体文件中直接附加上需要被隐写的目标，然后将载体文件直接传输给接受者或者发布到网站上，然后接受者者根据方法提取出被隐写的消息，这一个过程就是（）。A、附加式图片隐写B、基于文件结构的图片隐写C、基于LSB原理的图片隐写D、基于DCT域的JPG图片隐写答案：A123.对消息完整性的验证可通过（）技术。A、消息认证B、身份识别C、加密D、解密答案：A124.跨站脚本攻击是指攻击者利用网站程序对用户输入过滤不足的缺陷，输入可以显示在页面上对其他用户造成影响的（）代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。A、htmlB、urlC、phpD、asp答案：A125.密码使用的场景通讯类不包括下列哪个？A、QQB、微信C、陌陌D、购物账户答案：D126.分析代码：Withopen("flag.txt","r")asf:s=fread()fclose()以上代码中“r”的作用是什么？A、以只读方式打开文件B、以二进制格式打开一个文件用于只读C、以二进制格式打开一个文件用于写入D、打开一个文件只用于写入答案：A127.密码和编码最大的区别就是密码多了一个很关键的信息()。A、密钥B、消息C、编码D、算法答案：A128.（）函数可以将字符、十六进制数字、二进制数字转换成十进制数字。A、ord()B、chr()C、index()D、int()答案：D129.通过（），主机和路由器可以报告错误并交换相关的状态信息。A、IP协议B、TCP协议C、ICMP协议D、UDP协议答案：C130.FTP服务的默认端口是（）。A、80B、23C、21D、3306答案：C131.A和B之间传输消息，为了保证完整性可通过（）实现。A、消息认证B、身份识别C、加密D、解密答案：A132.以下HTTP响应的状态码中表示目标未发现的是（）A、200B、302C、502D、404答案：D133.（）是指数据未经授权不能进行改变的特性，即信息在存储与传输过程中保持不被修改、不被破坏和丢失的特性。A、保密性B、完整性C、可用性D、不可否认性答案：B134.Binwalk是一个自动提取文件系统，该工具最大的优点就是可以自动完成指定文件的扫描，智能发掘潜藏在文件中所有可疑的文件类型及文件系统。请问以下哪个参数是提取文件中隐藏的压缩文件的？A、-eB、-fC、-zipD、-t答案：A135.通过修改HTTPheaders中的哪个键值可以伪造浏览器内核A、X-Forwarded-ForB、User-AgentC、AcceptD、Referer答案：B136.非对称密码一个密钥公开，称为（），一个保密，称为私钥。A、公钥B、密钥C、密文D、明文答案：A137.对计算机网络的最大威胁是什么？A、黑客攻击B、计算机病毒的威胁C、企业内部员工的恶意攻击和计算机病毒的威胁D、企业内部员工的恶意攻击答案：C138.“攻击工具日益先进，攻击者需要的技能日趋下降”，"不正确"的观点是()。A、网络受到攻击的可能性将越来越小B、网络受到攻击的可能性将越来越大C、网络攻击无处不在D、网络风险日益严重答案：A139.（）函数获得字符的ASCII码值。A、ord()B、chr()C、index()D、int()答案：A140.在移位密码中，密钥k=3，密文字母为D，对应的明文字母为（）。A、B、C、D、答案：A141.（）是移位密码的一种，它是将字母顺序向后移3位。A、凯撒密码B、置换密码C、代替密码D、仿射密码答案：A142.以下哪项不是mysql的默认用户A、rootB、guestC、mysql.sessionD、mysql.sys答案：B143.下面哪个函数可以起到过滤作用？A、replace()B、preg_replace()C、addslashes()D、find()答案：B144.XSS攻击称为（）。A、跨站脚本攻击B、跨站请求伪造攻击C、命令执行攻击D、文件上传攻击答案：A145.端到端加密方式是（）层的加密方式A、物理层B、数据链路层C、传输层D、网络层答案：C146.信息安全五要素中完整性的验证可通过（）实现。A、消息认证B、身份识别C、加密D、解密答案：A147.在因特网中，地址解析协议ARP是用来解析A、端口号与主机名的对应关系B、IP地址与MAC地址的对应关系C、IP地址与端口号的对应关系D、端口号与MAC地址对应关系答案：B148.请分析"YXNkZmdoamtsMTIzNDU2Nzg5MA=="使用了什么编码（）。A、Base64B、ase32C、Base16D、URL答案：A149.以下HTTP响应的状态码中表示成功的是（）A、200B、302C、502D、404答案：A150.（）函数获得十进制数字对应的ASCII字符。A、ord()B、chr()C、index()D、int()答案：B151.请分析密文'田由中人工大王夫井羊'是通过以下哪种加密方式得到的？A、仿射B、维吉尼亚C、置换D、当铺答案：D152.Python中使用模块gmpy2进行高精度计算，gmpy2模块中用于求大整数a,b的最大公约数的方法是（）。A、gmpy2.powmod(x,y,m)B、gmpy2.mpz()C、gmpy2.gcd(a,b)D、gmpy2.invert(x,m)答案：C153.标准ASCII码中（）是不可显示字符，通常为控制字符或通信专用字符。32～126(共95个)是可以显示的字符，其中，32是空格；48～57为0到9十个阿拉伯数字；65～90为26个大写英文字母；97～122号为27个小写英文字母，其余为一些标点符号、运算符号等。A、0～31及127B、0～31C、0～32D、0～31及128答案：A154.DOS是（）。A、拒绝服务攻击B、信息收集C、隐身巩固D、信息篡改答案：A155.加密公式c=km+b(mod)26对应的密码算法是（）。A、凯撒B、仿射C、维吉尼亚D、置换答案：B156.非对称密码体制算法往往比较（），加解密速度慢。A、复杂B、简单C、逻辑简单D、实现容易答案：A157.ROT13通常会作用于MD5、flag等字符串上，MD5中的字符只有“ABCDEF”，其对应的ROT13为（）,所以当看到这些字眼的时候，就可以识别出ROT13了。A、NOPQRSB、XYZABCC、DEFGHID、WXYZAB答案：A158.Python中使用模块gmpy2进行高精度计算，gmpy2模块中用于初始化大整数的方法是（）。A、gmpy2.mpz()B、gmpy2.gcd(a,b)C、gmpy2.invert(x,m)D、gmpy2.iroot(x,n)答案：A159.下面关于XSS说法正确的是？A、只需要在输入处过滤xss就可以了B、htmlspecialchars()可以完全杜绝xss攻击C、在输入和输出处都要过滤xss攻击D、使用防止sql注入的函数也可以防御xss答案：C160.（）是指通过各种方式获取所需要的信息。A、信息收集B、攻击实施C、隐身巩固D、身份识别答案：A161.请分析密文'aaabaaaabbaabaaaabab'是通过以下哪种加密方式得到的？A、埃特巴什码(AtbashCipher）B、ROT13C、培根密码D、猪圈密码答案：C162.()是最基本的一种加密模式，每个分组均独立加密，且产生独立的密文分组，每一组的加密结果不会影响其他分组。A、电子密码本模式B、密文链接模式C、密文反馈模式D、输出反馈模式答案：A163.mysql数据库默认使用哪个端口?A、3306B、1306C、1521D、3389答案：A164.CSRF称为（）。A、跨站脚本攻击B、跨站请求伪造攻击C、命令执行攻击D、文件上传攻击答案：B165.在移位密码中，密钥k=10，明文字母为Q，对应的密文字母为（）。A、B、C、D、答案：A166.利用Firefox浏览器的（）插件，可基于URL的参数在一个或多个代理之间进行切换。A、HackbarB、FlagfoxC、FoxyProxyD、User-AgentSwitcher答案：C167.简单的LSB隐写可以使用（）工具进行隐写内容提取。A、010EditorB、inwalkC、stegsolveD、file答案：C168.以下关于CSRF的描述，说法错误的是（）。A、CSRF攻击一般发起在第三方网站，而不是被攻击的网站,被攻击的网站无法防止攻击发生B、攻击者通过CSRF攻击可以获取到受害者的登录凭证C、攻击利用受害者在被攻击网站的登录凭证，冒充受害者提交操作D、跨站请求可以用各种方式：图片URL、超链接、CORS、Form提交等等答案：A169.MD5信息摘要算法，一种被广泛使用的密码散列函数，可以产生出一个（）位的散列值，用于确保信息传输完整一致。A、128B、64C、256D、160答案：A170.（）密码可以分为序列密码和分组密码。A、对称B、非对称C、哈希D、栅栏答案：A171.Cookie的属性中，Domain是指什么？A、过期时间B、关联Cookie的域名C、ookie的名称D、Cookie的值答案：B172.对消息真实性的验证可通过（）技术。A、消息认证B、身份识别C、加密D、解密答案：A173.utf-8是可变长编码方式，如果utf-8编码的字节的第一位是（），则这个字节单独就是一个字符。A、0B、1C、3D、2答案：A174.《中华人民共和国网络安全法》施行时间是（）：A、2016年11月7日B、2017年6月1日C、2016年12月31日D、2017年1月1日答案：B175.Python3默认采用（）。A、SCII码B、utf-8C、utf-16D、utf-32答案：B176.系统采用的传输协议是A、DHCPB、XMLC、HTTPD、HTML答案：C177.人们在应用网络时要求网络能提供保密性服务，被保密的信息既包括在网络中（）的信息，也包括存储在计算机系统中的信息。A、存储B、传输C、完整D、否认答案：B178.要是用python进行Base64编码，需要导入（）模块。A、base64B、ase32C、base16D、base答案：A179.请对密码“王由井人羊大”进行解密，得到的明文为（）。A、641075B、441375C、618395D、641375答案：C180.远程桌面连接默认使用哪个端口?A、3306B、1306C、1521D、3389答案：D181.token安全需要注意什么？A、长度B、防爆破C、防预测D、以上都是答案：D182.关于防御跨站请求伪造CSRF攻击说法错误的是（）。A、尽量对修改应用的请求用POST方式，也就是用formB、在多用form的前提下利用TokenC、服务端验证HTTPReferer字段，即判断是否是从信任的域名过来的请求D、过滤请求参数答案：D183.可以通过压缩文件的压缩源文件数据区和压缩源文件目录区的“全局方式位标记”判断ZIP是否加密以及是真加密还是伪加密。“全局方式位标记”共两个字节，前面字节的第二位可以用来判断有无加密，如果是（），代表加密。A、奇数B、偶数C、11D、12答案：A184.base64.b32encode()函数的作用是（）。A、对参数进行base32编码B、对参数进行base编码C、对参数进行base32解码D、对参数进行base64解码答案：A185.以下对于字符串“flag{happy}”进行base64编码得到的值是（）。A、ZmxhZ3toYXBweX0=B、ZmxhZw==C、MZWGCZY=D、MZWGCZ33NBQXA4DZPU======答案：A186.保证网络安全的最主要因素是()。A、拥有最新的防毒防黑软件B、使用高档机器C、安装多层防火墙D、使用者的计算机安全素养答案：D187.DVWA-CSRF-Medium的防御方法是？A、检查referer头中是否有host头的内容B、检查请求发起的ip地址C、过滤掉了单引号D、过滤掉了双引号答案：A188.在因特网中，反向地址解析协议RARP是用来解析A、端口号与主机名的对应关系B、MAC地址与IP地址的对应关系C、IP地址与端口号的对应关系D、端口号与MAC地址对应关系答案：B189.一个zip文件由三部分组成：压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志，压缩源文件数据区由（）为开始标识。A、504B0304B、504B0102C、504B0506D、504B0708答案：A190.“？”对应的url编码是（）。A、%3FB、%2FC、%2BD、0.2答案：A多选题1.以下属于压缩文件常用隐写的方法是（）。A、通过编码转换隐藏信息B、在图像文件中隐藏压缩包C、在压缩文件中隐藏图像文件D、加密压缩文件答案：ABC2.Base16编码包含字符有（）。A、-ZB、a-zC、0-9D、A-F答案：CD3.以下属于对称密码的是（）。A、DESB、AESC、MD5D、RSA答案：AB4.Unicode编码在不同地应用场合所采用地表示方式不一样，常见的表示方式有（）。A、&#x[hex];B、&#[dec];C、\u[hex]D、\u+[hex]答案：ABCD5.Windows系统中的Hash密码值主要由（）值和（）值两部分构成。A、LM-HASHB、NTLM-HASHC、LND、NTLN答案：AB6.以下编码中属于汉字编码的是（）。A、GB2312B、GBKC、GB18030D、BIG5答案：ABCD7.kali中可以进行文件分离的工具有（）。A、catB、fileC、binwalkD、d答案：CD8.Base32编码包含字符有（）。A、-ZB、A-FC、0-9D、2-7答案：AD9.以下属于XSS攻击的防范措施的有（）。A、l在向HTML元素内容插入不可信数据前对HTML解码B、l在向HTML常见属性插入不可信数据前进行属性解码C、l在向HTMLJavaScriptDataValues插入不可信数据前，进行JavaScript解码D、l在向HTMLURL属性插入不可信数据前，进行URL解码答案：ABCD10.附加字符串方式是利用工具将隐藏信息直接写入到图片结束符之后，由于计算机中图片处理程序识别到图片结束符就不再继续向下识别，因此后面的信息就被隐藏起来。这种方式可以利用（）等工具进行打开，发现最后的附加的字符。A、winhexB、010EditorC、wiresharkD、burpsuit答案：AB11.根据攻击代码的存在地点及是否被服务器存储，并且根据XSS攻击存在的形式及产生的效果，可以将其分为（）。A、反射型XSSB、存储型XSSC、基于DOM的XSSD、基于JS的XSS答案：ABC12.以下属于CSRF攻击的防范措施的有（）。A、GET请求不对数据进行修改B、不让第三方网站访问到用户CookieC、阻止第三方网站请求接口D、不使用网络答案：ABC13.图种是一种采用特殊方式将图片文件（如jpg格式）与（）文件结合起来的文件。该文件一般保存为jpg格式，可以正常显示图片，当有人获取该图片后，可以修改文件的后缀名，便可得到其中的数据。A、rarB、zipC、wordD、png答案：AB14.根据加密分组间的关联方式，分组密码主要有()。A、电子密码本模式B、密文链接模式C、密文反馈模式D、输出反馈模式答案：ABCD15.utf编码方案为了适应不同的数据存储或传递，分为（）。A、utf-8B、utf-16C、utf-32D、utf-64答案：ABC16.以下属于CSRF攻击的有（）。A、攻击者（黑客，钓鱼网站）盗用了你的身份，以你的名义发送恶意请求B、用户已经登录了站点A，并在本地记录了cookie；在用户没有登出站点A的情况下（也就是cookie生效的情况下），访问了恶意攻击者提供的引诱危险站点B(B站点要求访问站点A)C、将用户输入的数据通过URL的形式直接或未经过完善的安全过滤就在浏览器中进行输出，会导致输出的数据中存在可被浏览器执行的代码数据D、Web应用程序将用户输入的数据信息保存在服务端的数据库或其他文件形式中，网页进行数据查询展示时，会从数据库中获取数据内容，并将数据内容在网页中进行输出展示答案：AB17.以下属于哈希函数有（）。A、MD5B、RSAC、SHA-1D、SHA-256答案：ACD18.在CTF中，以下属于附加式图片隐写的有（）。A、直接附加字符串B、图种C、LSBD、MSB答案：AB19.Base64编码是使用64个可打印的ASCII字符（）将任意字节序列数据编码成ASCII字符串，另外使用“=”作为填充后缀。A、-ZB、a-zC、0-9D、+、/答案：ABCD20.以下可以用于zip文件密码破解的工具有（）。A、RCHPRB、fcrackzipC、winhexD、010Editor答案：AB判断题1.在具体实施过程中,经济因素和时间因素是判断安全性的重要指标.A、正确B、错误答案：A2.序列密码主要用于军事、外交和其他一些重要领域，公开的加密方案并不多。A、正确B、错误答案：A3.完整性是指网络中的信息不被非授权实体(包括用户和进程等)获取与使用。A、正确B、错误答案：B4.计算机信息系统的安全威胁同时来自内、外两个方面。A、正确B、错误答案：A5.IPv6的地址长度为32位。A、正确B、错误答案：B6.对zip文件进行破解，可以采用CRC32碰撞攻击，前提是文件内内容很少(一般为4字节左右)，而加密的密码很长。A、正确B、错误答案：A7.数据恢复是把文件或数据库从原来存储的地方复制到其他地方的操作。A、正确B、错误答案：B8.对数字图像进行存储、处理、传播，必须采用一定的图像格式，也就是把图像的像素按照一定的方式进行组织和存储，把图像数据存储成文件就得到图像文件。图像文件格式决定了应该在文件中存放何种类型的信息，文件如何与各种应用软件兼容，文件如何与其它文件交换数据。A、正确B、错误答案：A9.ASCII表中一个英文字符对应1Bytes，1Bytes=8bit，8bit最多包含256个数字，可以对应256个字符，足够表示所有英文字符。A、正确B、错误答案：A10.SSL是Ipsec协议的重要组成部分，是用于为IP数据包提供安全认证的一种安全协议。A、正确B、错误答案：B11.PNG图片的CRC校验码，由IDCH和IHDR共十七位字节进行CRC计算得到A、正确B、错误答案：A12.00-60-38-08-A6是一个MAC地址。A、正确B、错误答案：B13.网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不会由于偶然或恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。A、正确B、错误答案：A14.对于破解ZIP文件的密码来说，进行已知明文攻击的条件是：有一个单独的文件已知且进行压缩之后的CRC值与某个包含此文件的压缩包的CRC值相等。A、正确B、错误答案：A15.以消耗各种系统资源为目的的拒绝服务攻击是目前最主要的一种攻击方式。A、正确B、错误答案：A16.便携式网络图形（PortableNetworkGraphics，PNG），是一种采用有损压缩算法的位图格式。A、正确B、错误答案：B17.一个密码系统由信源、加密变换、解密变换、信宿和攻击者组成。A、正确B、错误答案：A18.易位指让明文中的每一位(包括密钥的每一位)直接或间接影响输出密文中的许多位，即将每一比特明文(或密钥)的影响尽可能迅速地作用到较多的输出密文位中去，以便达到隐蔽明文的统计特性。A、正确B、错误答案：A19.信息安全的威胁都来自于非人为因素。A、正确B、错误答案：B20.著名的恺撒密码就是移位密码的一种，它是将字母顺序向后移3位。A、正确B、错误答案：A21.被动攻击(ActiveAttack):指攻击者非法侵入一个密码系统，采用伪造、修改、删除等手段向系统注入假消息进行欺骗。这种攻击对密文具有破坏作用。A、正确B、错误答案：B22.可控性是指对信息或资源的期望使用能力，即可授权实体或用户访问并按要求使用信息的特性。A、正确B、错误答案：B23.IPsec是在传输层提供安全保护的协议。A、正确B、错误答案：B24.二进制数即由0和1组成的数字，例如010010101010。计算机是基于电工作的，电的特性即高低电平，人类从逻辑层面将高电平对应为数字0，低电平对应为数字1，这直接决定了计算机可以识别的是由0和1组成的数字。A、正确B、错误答案：B25.所谓RSA共模攻击，就是两个密文使用同一个明文、同一个模n，使用不同的e1和e2，产生不同的密文c1和c2。A、正确B、错误答案：A26.kali中的工具file只是从文件的第一个字节开始识别，且只能把一个文件识别成一个类型的文件，很难看出是否隐藏着其他的文件。A、正确B、错误答案：A27.计算机信息网络脆弱性引发信息社会脆弱性和安全问题。A、正确B、错误答案：A28.计算机中图片处理程序识别图片的过程是，从图片头开始，以图片头声明的格式所定义的编码格式对数据流进行读取，一直到图片的结束符，当图片处理程序识别到图片的结束符后，不再继续向下识别，根据这个过程，可以将信息隐藏在图片的结束符后面而不影响图片的显示。A、正确B、错误答案：A29.非对称密码体制要求加密、解密双方拥有相同的密钥，其特点是加密速度快、软/硬件容易实现，通常用于传输数据的加密。常用的加密算法有DES、IDEA。A、正确B、错误答案：B30.社会工程学攻击不是传统的信息安全的范畴，也被称为“非传统信息安全”。A、正确B、错误答案：A31.现代密码学信息的保密性取决于算法的保密和安全。A、正确B、错误答案：B32.安全超文本协议(S-HTTP)是一种结合SNMP而设计的消息的安全通信协议。A、正确B、错误答案：B33.非对称密码体制与对称密码体制的主要区别在于非对称密码体制的加密密钥和解密密钥不相同，一个公开，称为公钥，一个保密，称为私钥。A、正确B、错误答案：A34.ARP欺骗利用了主机收到ARP应答的时候，一定会进行验证来进行的。A、正确B、错误答案：B35.暴力破解是最直接、简单的攻击方式，适合密码较为简单或是已知密码的格式或范围时使用。A、正确B、错误答案：A36.可用性是人们对信息的传播路径、范围及其内容所具有的控制能力，即不允许不良内容通过公共网络进行传输，使信息在合法用户的有效掌控之中。A、正确B、错误答案：B37.网络安全的基本要素机密性、完整性、可用性、可控性和不可否认性。A、正确B、错误答案：A38.CRC32校验码出现在很多文件中比如PNG文件，同样ZIP压缩文件中也有CRC32校验码。ZIP中的CRC32是未加密文件的校验值。A、正确B、错误答案：A39.对称密码算法根据加密分组间的关联方式一般分为4种:电子密码本(ECB)模式、密文链接(CBC)模式、密文反馈(CFB)模式和输出反馈(OFB)模式。A、正确B、错误答案：A40.MAC地址长度为48位。A、正确B、错误答案：A填空题1.Windows系统中有两个默认的账号，分别是guest和（）。小写答案：administrator；2.哈希函数的输入长度是任意长，输出长度是（）长度。答案：固定；3.TCP通过（）次握手建立连接。答案：3；4.JPG图片的文件头总是由固定的字节来表示的，请列出其16进制表示的前2个字节（）。格式：不加连接符，例如FFFFs答案：FFD85.既可以用来进行数字签密又可以进行加密的非对称算法是（）。答案：RSA；6.MD5的输出长度是（）位。答案：128；7.小明收到一个数据包，TCP标志位syn=（）、ack=（），所以可以确定是TCP第一次握手的包。答案：1|0；8.TCP协议通过（）次挥手断开连接。答案：4；9.IP数据包包头中的（）字段，表明IP数据包在网络中的存活时间。（英文缩写）答案：TTL；10.对于一个正常的PNG图片来讲，其文件头总是由固定的字节来表示的，请列出其16进制表示的前4个字节（）。格式：不加连接符，例如FFFFFFFF答案：89504E4711.使用凯撒密码，对attack进行加密，得到的密文是（）。答案：dwwdfn；简答题1.假如将chapter01、chapter02、chapter03三个文件按从左到右顺序合并，输出到book文件中。所使用的命令为：答案：catchapter01chapter02chapter03>book；2.小白是CTF的初学者，他拿到了一张隐写了秘密的图片happy.jpg，请你总结一下jpg图片隐写的思路，帮助他将此图片中隐藏的内容提取出来。答案：1.查看属性中的exif信息2.利用二进制工具如010Editer工具查看文件后面有没有附件的内容3.查看文件中间：利用stegsolve查看是由有LSB隐写3.从图片中找出表示图片高度的4个字节，格式：中间不加连字符，例如FFFFFFFF答案：0000024A；4.请将以下各类编码进行正确连线第一组数据：1摩斯电码2HTML实体编