网络安全1+X练习题库+参考答案

网络安全1+X练习题库+参考答案一、单选题（共80题，每题1分，共80分）1、IPSecVPN支持()工作模式，便于对私有网络建立VPN。A、传输模式B、隧道模式C、AHD、ESP正确答案：B2、什么命令可以从一行中截取指定内容()A、cpB、ddC、cutD、format正确答案：C3、ARP欺骗的实质是()。A、提供虚拟的MAC与IP地址的组合B、让其他计算机知道自己的存在C、窃取用户在网络中的传输的数据D、扰乱网络的正常运行正确答案：A4、Python不支持的数据类型是()？A、intB、charC、floatD、list正确答案：B5、可以将html标签输出转义的函数()A、addslashes()B、strip_tags()C、htmlspecialchars()D、htmlspecialchars_decode()正确答案：C6、下面对Apache解析漏洞说法正确的是()？A、仅用于Apache2.XB、仅用于Apache1.XC、与版本无关，与配置文件有关D、仅在Apache正确答案：C7、以下语句不能创建字典的是()？A、dic3={[1,2,3]:“name”}B、dic2={1:2}C、dic1={}D、dic4={(1,2,3):“name”}正确答案：A8、为了提高信息搜索效率，Google搜索引擎制定了适合于自身的搜索语法，若要指定特定网站或子域名进行搜索，可以使用()关键字。A、cache:B、filetype:C、site:D、Info:正确答案：C9、下列哪个方法不是HTTP协议的请求方法()A、HEADB、SELECTC、PUTD、OPTIONS正确答案：B10、下面哪个是合法的序列化数据格式()？A、O:8:"Student":2:{s:4:"name";s:4:"qian";s:3:"age";s:25;}B、O:7:"Student":2:{s:4:"name";s:4:"qian";s:3:"age";i:25;}C、O:8:"Student":2:{s:4:"name";s:4:"qian";s:3:"age";i:25;}D、O:7:"Student":2:{s:4:"name";s:4:"qian";s:3:"age";s:25;}正确答案：B11、FTP说法正确的是()A、FTP是一个端口在工作B、FTP有一种模式C、20是命令端口D、20为数据传输端口正确答案：D12、以下关于菜刀的数据库配置的描述，不正确的是()A、<U>root</U>数据库的用户和密码B、localhost数据库地址C、MYSQL数据库类型D、utf8编码正确答案：A13、在ModSecurity中进行添加安全规则的命令是()。A、SecEngineB、SecRuleC、SecAddD、SecAction正确答案：B14、在成功获取服务器权限后，使用ICMP建立隧道传输数据是为了()A、提高连接速度B、保证连接稳定C、穿透防火墙检查D、实时查看连接质量正确答案：C15、攻击者冒充域名服务器的一种欺骗行为，是()。A、DNS欺骗B、电子邮件欺骗C、Web欺骗D、ICMP路由欺骗正确答案：A16、关于redis说法错误的是()A、利用未授权漏洞不能登录服务器B、redis是可能存在未授权访问漏洞C、6379是默认端口号D、未授权漏洞可以免ssh钥登录正确答案：A17、在HTTP响应码中，哪一项表示服务器返回重定向页面()A、2xxB、4xxC、5xxD、3xx正确答案：D18、网络监听（嗅探）的这种攻击形式破坏了下列哪一项内容()。A、网络信息的完整性B、网络服务的可用性C、网络信息的保密性D、网络信息的抗抵赖性正确答案：C19、路由器是工作在哪一层的设备()？A、网络层B、传输层C、物理层D、链路层正确答案：A20、电信诈骗的特点不包括下列哪个()？A、形式集团化，反侦查能力非常强B、诈骗手段翻新速度很快C、微信D、犯罪活动的蔓延性比较大，发展很迅速正确答案：C21、typecho反序列化漏洞中，__get()函数中调用了哪个函数()？A、call_user_funcB、_applyFilterC、__getD、get正确答案：D22、对于流动性较大的企业来说，信息系统采用哪种访问控制模型比较合理()？A、LACB、DACC、MACD、RBAC正确答案：D23、以下关于空间搜索说法正确的是()。A、空间搜索引擎不能搜索网络中的工控系统设备B、网络空间搜索和内容搜索普通网页没有区别C、网络空间搜索的目标是网络中存在主机的相关信息，包括IP、端口等D、现行主流的空间搜索引擎只有shodan正确答案：C24、Structs框架默认的表达式语言是()。A、正则表达式B、OGNLC、PythonD、以上选项均不正确正确答案：B25、以下()是利用Rsync未授权访问，并实现下载的功能？A、rsyncrsync://IP/srcB、rsync-avrsync://IP/src/etc/passwd/root/passwd.txtC、rsync-avshellrsync://IP/src/var/www/html/shellD、以上命令均不正确正确答案：B26、水平越权漏洞的典型表现是()？A、用户可以查看到同权限下其他用户的隐私数据B、用户可以查看到比他高权限的其他用户的隐私数据C、用户可以查看到比他低权限的其他用户的隐私数据D、用户可以通过登陆查看到其他用户信息正确答案：A27、执行哪个函数会生成二进制格式数据()？A、writeObjectB、readObjectC、XMLEncoderD、XMLDecoder正确答案：A28、IPSecVPN安全技术没有用到()。A、入侵检测技术B、加密技术C、身份认证技术D、隧道技术正确答案：A29、Python导入模块方式错误的是()？A、import**from**B、from**import**C、import**D、import**as**正确答案：A30、查询域名与IPV4地址对应是属于DNS哪种记录类型()？A、AAAA记录B、A记录C、NS记录D、TXT记录正确答案：B31、下面SHELL变量名有效的是()A、-2-timeB、2020tempC、trust_no_1D、_2$3正确答案：C32、以下关于CSRF的描述，说法错误的是()。A、CSRF攻击一般发起在第三方网站，而不是被攻击的网站,被攻击的网站无法防止攻击发生B、攻击者通过CSRF攻击可以获取到受害者的登录凭证C、攻击利用受害者在被攻击网站的登录凭证，冒充受害者提交操作D、跨站请求可以用各种方式：图片URL、超链接、CORS、Form提交等等正确答案：A33、ICMP泛洪利用了()。A、ARP命令的功能B、traceroute命令的功能C、ping命令的功能D、route命令的功能正确答案：C34、“把测试对象看作一个打开的盒子，测试人员依据测试对象内部逻辑结构相关信息，设计或选择测试用例。”从这段描述中可以看出，渗透测试人员所用的方法为()。A、灰盒测试B、黑盒测试C、隐秘测试D、白盒测试正确答案：D35、IP地址长度为多少位二进制()A、16B、64C、32D、48正确答案：C36、下列不是常见PHP代码执行函数()A、assert()B、eval()C、var_dump()D、call_user_func()正确答案：C37、IP数据报分片后的重组通常发生在()。A、源主机和数据报经过的路由器上B、目的主机上C、源主机上D、数据报经过的路由器上正确答案：B38、IIS存在目录解析漏洞的版本是()A、5.0B、6.0C、8.0D、7.0正确答案：B39、以下哪项不是mysql的默认用户()A、mysql.sysB、rootC、guestD、mysql.session正确答案：C40、在网络上，为了监听效果最好，监听设备不应放在()？A、网关B、防火墙C、路由器D、中继器正确答案：D41、关于类的序列化,下列说法哪些是正确的()。A、类的序列化与serialVersionUID毫无关系B、如果完全不兼容升级，不需要修改serialVersionUID值C、POJO类的serialVersionUID不一致会编译出错D、POJO类的serialVersionUID不一致会抛出序列化运行时异常正确答案：D42、IIS命令执行中，我们通常用来测试命令执行的payload执行结果是()？A、弹出计算器B、反弹shellC、开启远程桌面连接D、shutdown正确答案：A43、php输出拼接字符串正确的是()？A、echo‘{$a}hello’B、echo$a+$bC、echo$a+”hello”D、echo$a.”hello”正确答案：D44、逻辑漏洞概念说法正确的是()。A、程序参数没有过滤直接带入数据库查询B、缓冲区溢出导致栈覆盖返回地址C、系统配置错误D、由于程序逻辑不严或逻辑错误，导致一些逻辑分支不能够正常处理正确答案：D45、在linux系统中，下面哪个命令用于新建用户()A、userB、usermodC、groupaddD、useradd正确答案：D46、通过修改HTTPheaders中的哪个键值可以伪造来源网址()A、X-Forwarded-ForB、RefererC、User-AgentD、Accept正确答案：B47、关闭默认共享C$的命令是()A、netshareC$/delB、netshareC$/closeC、netuseC$/delD、netuserC$/del正确答案：A48、以下哪项不是HTTP协议的方法()A、PUTB、GETC、MOVED、POST正确答案：C49、DVWA-CSRF-Low中哪个方法可以攻击()？A、对输入密码部分进行注入攻击B、使用update注入方法C、构造网页病诱导目标在未退出登录的情况下点击D、使用xss攻击正确答案：C50、“ab”+“c”*2结果是()？A、abccB、ababccC、abcabcD、abc2正确答案：A51、下列哪一项不是黑客在入侵踩点（信息搜集）阶段使用到的技术()？A、主机及系统信息收集B、使用sqlmap验证SQL注入漏洞是否存在C、公开信息的合理利用及分析D、IP及域名信息收集正确答案：B52、震网病毒主要利用的是哪个系统漏洞进行网络攻击的()。A、MS17-010漏洞B、MS08-067漏洞C、MS16-059漏洞D、MS18-051漏洞正确答案：B53、wget说法错误的是()A、wget支持ftpB、wget支持http协议C、wget支持TFTP协议D、Linux系统中的一个下载文件工具正确答案：C54、在构造跨站页面之后是哪一步()？A、直接攻击服务器B、诱导攻击目标访问该链接C、分析源码D、进行扫描正确答案：B55、IP源地址欺骗技术可以被使用，主要是因为()A、IP数据包没有校验和机制，可以任意修改B、路由器根据目标地址转发，而不看源IP地址C、IP数据包没有对校验和进行严格控制D、防火墙没有设置IP源地址欺骗检测规则正确答案：B56、和POST方法比较起来，GET方法()A、GET方法比POST方法安全B、GET方法不如POST方法快C、GET方法不如POST方法安全D、以上都不对正确答案：C57、在print函数的输出字符串中可以将()作为参数，代表后面指定要输出的字符串？A、%dB、%tC、%cD、%s正确答案：D58、Cookie没有以下哪个作用()？A、维持用户会话B、储存信息C、执行代码D、身份认证正确答案：C59、禁止目录浏览，配置方法是()A、修改目录名称B、去掉根目录的Indexes属性C、将目录设置为只读属性D、改变服务端口号正确答案：B60、为了兼容16位MS-DOS程序，Windows为文件名较长的文件（和文件夹）生成了对应的windows8.3短文件名。在Windows下查看对应的短文件名，可以使用命令是()A、Dir/xB、Dir/yC、Dir/YD、Dir/w正确答案：A61、在centos中，下面哪个默认目录是用于存放应用程序的()A、/etcB、/homeC、/usrD、/bin正确答案：C62、关于SSRF说法错误的是()。A、SSRF就是利用服务器发起请求（请求来自客户端提交的）B、SSRF可以扫描内网开放服务C、利用file、gopher、dict协议读取本地文件、执行命令等D、SSRF和CSRF漏洞危害是一样的正确答案：D63、XSS不能来干什么()？A、钓鱼B、劫持用户会话C、DDOSD、注入数据库正确答案：D64、DHCPSnooping的功能是()。A、防止ARP欺骗B、防止DHCP欺骗C、进行端口与MAC地址的绑定D、提供基于端口的用户认证正确答案：B65、以下哪项不是python中的关键字()？A、importB、withC、forD、final正确答案：D66、NMAP扫描使用-sS选项时主要利用下列哪项技术()A、TCP的三次握手B、TCP的四次挥手C、UDP的无连接特性D、TCP的滑动窗口特性正确答案：A67、以下工具软件中，不属于渗透测试工具的是()。A、MetasploitB、SqlmapC、SnortD、Burpsuite正确答案：C68、入侵系统的第一步是()？A、数据包检查B、信号分析C、信息收集D、数据包过滤正确答案：C69、反序列化漏洞的成因是()？A、程序语言设计问题B、应用程序设计问题C、数据明文存储问题D、对象创建过程问题正确答案：B70、TCP/IP模型分几层()？A、4B、5C、6D、7正确答案：A71、FTP协议使用哪个端口传送文件数据()A、19B、22C、20D、21正确答案：C72、电信诈骗识别公式中的因素不包括下列哪个()？A、用电话、网络、短信等沟通工具见不到真人B、汇款、转账要求C、隐私类D、无法确定人物身份正确答案：C73、下列哪个是APT组织海莲花主要的攻击手法：()A、DOSB、SYNC、CCD、水坑攻击正确答案：D74、通常情况下，Iptables防火墙在()链进行DNAT。A、PREROUTINGB、FORWARDC、OUTPUTD、POSTROUTING正确答案：A75、关于IP提供的服务，下列哪种说法是正确的()。A、IP提供不可靠的数据投递服务，因此它可以随意丢弃报文B、IP提供可靠的数据投递服务，因此数据报投递可以受到保障C、IP提供不可靠的数据投递服务，因此数据包投递不能受到保障D、IP提供可靠的数据投递服务，因此它不能随意丢弃报文正确答案：C76、Iptables防火墙清除规则命令是()。A、iptables-FB、iptables-PC、iptables-AD、iptables-D正确答案：A77、反射型xss通过什么传参()？A、FROMB、GETC、PUTD、POST正确答案：B78、下列是SQLi辅助工具()A、digB、sqlmapC、dnsenumD、nslookup正确答案：B79、假如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包，这时你可以使用以下哪一种类型的进攻手段()。A、拒绝服务B、地址欺骗C、缓冲区溢出D、暴力攻击正确答案：B80、PC安全不包括下列哪一个()？A、安装防病毒软件和防火墙软件B、定期备份重要数据C、不随意安装来历不明的软件D、虚拟空间正确答案：D二、多选题（共20题，每题1分，共20分）1、CSRF攻击具备的条件有()。A、网站存在CSRF漏洞B、管理员登录网站之后没有及时退出C、管理员点击了不明链接，触发恶意脚本D、非法攻击者窃取Cookie，登录网站后台正确答案：ABC2、子域名收集的方法有哪一些？()A、网站信息查询B、域传送C、爆破D、搜索引擎正确答案：ABCD3、根据《网络安全法》的规定，任何个人和组织()。A、不得从事非法侵入他人网络、干扰他人网络正常功能等危害网络安全的活动B、不得提供专门用于从事侵入网络、干扰网络正常功能等危害网络安全活动的程序C、明知他人从事危害网络安全的活动的，不得为其提供技术支持D、明知他人从事危害网络安全的活动的，可以为其进行广告推广正确答案：ABC4、下面属于端口转发工具是()A、nmapB、sqlmapC、lcxD、htran正确答案：CD5、下面哪些函数使用不当造成ssrf()。A、fsockopen()B、curl_exec()C、system()D、file_get_contents()正确答案：ABD6、关于渗透测试和APT的区别，下列说法正确的是()。A、从目的上看，渗透测试的目的是评估计算机网络系统的安全性，而APT的目的则是对高价值目标进行有组织、长期持续性的控制B、从手段方法上看，渗透测试通过被允许的行为模拟黑客攻击来对目标系统进行测试，而APT则利用各种高技术手段进行攻击C、从执行主体上看，渗透测试一般由个人来实施，而APT则一般由一个组织来实施D、从结果上看，渗透测试提高了目标系统的安全级别，而APT在达成目的的过程中一般会给目标系统带来严重损失正确答案：ABC7、WAF对SQL注入的检测可从()方面入手。A、关键SQL命令字B、特殊符号C、字符串长度D、数据库版本号正确答案：ABC8、错误配置提权说法正确的是()A、存在包含空格的路径B、高权限用户C、弱文件夹权限D、不带引号的服务路径正确答案：ACD9、以下说法错误的是？()A、垂直越权可以使用基于角色的权限管理修复B、所有垂直越权都是因为url泄露造成的C、严格管理管理员页面的url可以防止垂直越权D、严格管理管理员页面的url不能防止垂直越权正确答案：BC10、snort入侵检测系统的处理方式包括()等。A、logB、passC、alertD、activateE、dynamic正确答案：ABCDE11、请从以下说法中，选择正确选项？()A、apache日志默认在/etc/httpd/logs/access_log或index.php?page=/var/log/httpd/access_logB、window2003+iis6.0日志文件默