网络安全1+X练习题（含答案）

网络安全1+X练习题（含答案）一、单选题（共80题，每题1分，共80分）1、DVWA-CSRF-Medium的防御方法如何绕过()？A、将自己服务器的页面文件命名为为目标host头的名字B、伪造自己的ip地址C、使用注释符来绕过单引号D、使用单引号来代替双引号正确答案：A2、PUT方法是用来干什么的()？A、下载文件B、查询文件C、上传文件D、删除文件正确答案：C3、KaliLinux渗透系统中的Hydra软件功能主要是()。A、漏洞扫描B、暴力破解C、信息收集D、网络监听正确答案：B4、IIS短文件名可以猜测几位字符()A、9B、3C、不限制D、6正确答案：D5、《中华人民共和国网络安全法》施行时间是()：A、2017年1月1日B、2016年12月31日C、2016年11月7日D、2017年6月1日正确答案：D6、当ModSecurity与Apache结合的时候，ModSecurity作为Apache的()运行。A、子线程B、子函数C、模块D、父进程正确答案：C7、下列哪个超全局变量可以绕过magic_quotes_gpc过滤()A、$_SERVERB、$_SESSIONC、$_COOKIED、$_POST正确答案：A8、下列关于网络嗅探技术说明错误的是()。A、嗅探技术对于已加密的数据无能为力B、将网卡设置为混杂模式来进行嗅探对于使用交换机且进行了端口和MAC绑定的局域网无能为力C、将网卡设置为混杂模式可以对任意局域网内的数据包进行窃听D、可以通过配置交换机端口镜像来实现对镜像端口的数据包进行窃听正确答案：C9、下列哪个函数不能导致命令执行漏洞()。A、eval()B、system()C、isset()D、exec()正确答案：C10、关于JAVA三大框架，说法正确的是()？A、三大框架是Struts+Hibernate+PHPB、Hibernate主要是数据持久化到数据库C、Struts不是开源软件D、Spring缺点是解决不了在J2EE开发中常见的的问题正确答案：B11、SQL注入出password的字段值为“YWRtaW44ODg=”，这是采用了哪种加密方式()A、md5B、base64C、AESD、DES正确答案：B12、Iptables防火墙设置默认规则的命令是()。A、iptables-FB、iptables-PC、iptables-AD、iptables-D正确答案：B13、下列哪一个是web容器()A、IISB、JSPC、UDPD、MD5正确答案：A14、防火墙通常被比喻为网络安全的大门，但它不能()？A、阻止基IP包头的攻击B、阻止非信任地址的访问C、鉴别什么样的数据包可以进出企业内部网D、阻止病毒入侵正确答案：D15、服务器的响应头中，一般不会包含哪一个字段()A、Set-CookieB、Content-TypeC、CookieD、Connection正确答案：C16、Iptables防火墙进行地址转换在哪个表里面()？A、natB、rawC、filterD、mangle正确答案：A17、XSS跨站脚本攻击可以插入什么代码()？A、PHPB、JSPC、HTMLD、ASP正确答案：C18、WAF工作在()层。A、网络层B、传输层C、应用层D、会话层正确答案：C19、构造函数是类的一个特殊函数，在python中，构造函数的名称为()？A、__init__B、initC、与类同名D、__construct正确答案：A20、在centos中，用户root的默认工作路径是()A、/home/rootB、/usrC、/rootD、/usr/root正确答案：C21、traceroute工具可以看到网络路径是因为利用了IP头中的哪个字段()A、上层协议封装类型B、校验和C、TTLD、目标IP地址正确答案：B22、php中哪个语句可以输出变量类型()？A、echoB、print_rC、var_dump()D、print正确答案：C23、系统信息命令systeminfo说法错误的是()A、可以查看系统用户B、操作系统的位数C、系统的补丁情况D、操作系统类型正确答案：A24、"下面O:8:"Threezh1":1:{s:4:"text";s:16:"echo"Threezh1";";}说法错误的是()？。"A、8代表对象名称的长度B、O代表这是一个数组C、大括号中分别是：属性名类型、长度、名称;值类型、长度、值D、1代表成员个数正确答案：B25、下列关于ARP协议及ARP欺骗说法错误的是()。A、通过重建ARP表可以一劳永逸的解决ARP欺骗B、ARP欺骗的一种方式是欺骗路由器或交换机等网络设备，使得路由器或交换机等网络设备将数据包发往错误的地址，造成被攻击主机无法正确接收数据包。C、除了攻击网络设备外，还可以伪造网关，使本应发往路由器或交换机的数据包发送到伪造的网关，造成被攻击主机无法上网。D、ARP协议的作用是实现IP地址与物理地址之间的转换正确答案：A26、关于防御CSRF攻击说法错误的是()。A、尽量对修改应用的请求用POST方式，也就是用formB、在多用form的前提下利用TokenC、服务端验证HTTPD、过滤请求参数正确答案：D27、下列哪个是Nginx解析漏洞会解析为php的文件()A、php.xxxB、A.xx/.phpC、A.phpl\.xssD、A.php;.xss正确答案：B28、汉字字符集GBK编码是由______制定的()。A、国家标准总局B、全国信息技术标准化技术委员会C、国际标准化组织D、国家技术监督局正确答案：B29、以下选项中，不是Python对文件的打开模式的是()？A、wB、+C、rD、c正确答案：D30、下列哪一个选项不属于XSS跨站脚本漏洞危害()？A、网站挂马B、钓鱼欺骗C、SQL数据泄露D、身份盗用正确答案：C31、菜刀不能实现以下哪个功能()A、文件管理B、虚拟终端C、页面管理D、数据库管理正确答案：C32、如果想要在文件末尾写入方式打开一个文件，该给fopen()传入什么参数？A、rB、wC、a+D、a正确答案：D33、使用下面哪个函数过滤xss是最好的？()A、htmlspecialchars()B、addslashes()C、preg_replace()D、str_replace()正确答案：A34、数据库安全的第一道保障是()？A、操作系统的安全B、网络系统的安全C、数据库管理员D、数据库管理系统层次正确答案：B35、下列哪个选项不是上传功能常用安全检测机制？()A、URL中包含<、>、script、alert等一些特殊标签检查验证B、客户端Javascript验证C、服务端文件扩展名检查验证D、服务端MIME检查验证正确答案：A36、OSSEC是一个什么样的开源软件()？A、基于网络的IDSB、基于主机的IDSC、WAFD、应用防火墙正确答案：B37、PHP-fpm通过那个变量执行.php文件()A、fastCGItypeB、PHP_VALUEC、PHP_ADMIN_VALUED、SCRIPT_FILENAME正确答案：D38、在使用Linux的VIM编辑器的命令模式中，我们使用什么进行按键进行粘贴()A、ZB、CC、VD、P正确答案：D39、关键信息基础设施的运营者应当自行或者委托网络安全服务机构______对其网络的安全性和可能存在的风险检测评估()？A、至少两年一次B、至少一年一次C、至少每年两次D、至少半年一次正确答案：B40、在使用VIM编辑完文本后，在退出时输入wq!，其中！的含义是()A、退出后保存B、退出，不保存当前文件C、直接保存，如果失败就退出D、覆盖当前文件强制保存正确答案：D41、typecho反序列化漏洞中，call_user_func函数的参数$filter为什么是可控的()？A、该函数可以不用此参数B、该参数是类Request类中的变量C、程序未对用户提交数据进行过滤D、因为是Feed类传过来的参数正确答案：B42、使用双防火墙划分不同网络安全域，主要安全目的是()？A、提高IT资产安全性B、提高防火墙利用率C、给渗透内网增加难度D、提高内网可用性正确答案：C43、下列哪项类型数据是不可变化的()？A、字典B、列表C、元组D、集合正确答案：C44、__toString()魔术方法在什么时候执行()？A、执行serialize()时B、当程序试图写入一个不存在或者不可见的成员变量时C、当对象复制完成时D、类被当成字符串时正确答案：D45、下列哪些描述同SSL相关()。A、公钥使用户可以创建会话密钥，验证数字签名的真实性以及加密数据B、公钥使用户可以交换会话密钥，解密会话秘钥并验证数字签名的真实性C、私钥使用户可以加密通信数据。D、私钥使用户可以创建数字签名，加密数据和解密会话密钥正确答案：B46、黑客攻击某个系统之前，首先要进行信息收集，那么通过技术手段收集如何实现？()A、攻击者通过Windows自带命令收集有利信息B、通过搜索引擎来来了解目标网络结构、关于主机更详细的信息C、通过发送加壳木马软件或者键盘记录工具D、通过查找最新的漏洞库去反查具有漏洞的主机正确答案：B47、端口扫描的原理是向目标主机的________端口发送探测数据包，并记录目标主机的响应。()A、FTPB、UDPC、TCP/IPD、WWW正确答案：C48、下面属于逻辑漏洞的是()。A、CSRFB、SQL注入C、上传漏洞D、密码找回逻辑漏洞正确答案：D49、在使用Nginx场景中，因为Nginx配置不当，时常会出现CRLF注入攻击。以下()选项的参数代表“对完整的URI不进行解码”？A、$uriB、$document_uriC、$request_uriD、以上选项均不正确正确答案：C50、渗透测试的“后渗透攻击”阶段通常从()开始。A、取得了客户对渗透测试的授权之后B、已经攻陷了客户组织的一些系统或取得域管理员权限之后C、制定了渗透测试方案并交于客户审核通过后D、在客户组织的系统中检测到一些已知的漏洞之后正确答案：B51、关于Linux下提权服务器说法正确的是()A、Linux下无法提权B、Linux系统没有漏洞C、iptables服务器能防御提权D、Suid是linux提权一种正确答案：D52、Iptables防火墙通过()与内核程序进行交互。A、iptables外壳程序B、iptables脚本C、Iptables链D、网页正确答案：A53、以下说法正确的是()？A、未授权访问只出现在数据库软件上B、未授权访问只发生在管理员页面C、目录列表可以通过修改配置文件彻底杜绝D、未授权访问不可避免正确答案：C54、mysql数据库默认使用哪个端口()?A、1306B、3306C、3389D、1521正确答案：B55、以下哪个不是Python合法的标识符()？A、name_B、int64C、70logD、hello正确答案：C56、下列哪一项不是同源策略的内容()A、文件名B、协议C、域名D、端口号正确答案：A57、中国菜刀是一款经典的webshell管理工具，其传参方式是()。A、GET方式B、明文方式C、COOKIE方式D、POST方式正确答案：D58、关于SMB协议，下列哪个说法是错误的()A、通常使用445端口B、可以针对系统密码进行暴力破解C、MS17-010是利用率SMB的漏洞D、可以通过WMI对Windows系统进行管理正确答案：D59、需要进行数据库交互的是哪种xss漏洞()？A、储存型xssB、反射型xssC、DOM型xssD、self-xss正确答案：A60、DVWA-CSRF-Medium的防御方法是()？A、检查referer头中是否有host头的内容B、检查请求发起的ip地址C、过滤掉了单引号D、过滤掉了双引号正确答案：A61、Windows系统采用了那种访问控制模型()？A、LACB、DACC、MACD、RBAC正确答案：D62、下面属于将文件中的数据读取为一个Java对象()。A、ObjectInputStreamB、ObjectOutputStreamC、NumberFormatD、DecimalFormat正确答案：A63、水平越权的产生原因是()？A、系统未对用户角色进行认证B、系统未对管理员角色进行认证C、系统未对用户标识进行认证D、系统未对用户权限进行验证正确答案：D64、伊朗“震网”病毒用了几个Windows0day()？A、3个B、6个C、2个D、4个正确答案：D65、下列哪个语句在Python中是非法的()？A、x=(y=z+1)B、x+=yC、x=y=z=1D、x,y=y,x正确答案：A66、什么是序列化()？A、将程序的变量信息转换为可存储或传输的形式的过程B、将程序的函数信息转换为可存储或传输的形式的过程C、将对象的状态信息转换为可存储或传输的形式的过程D、将程序的运行结果转换为可存储或传输的形式的过程正确答案：C67、盗取Cookie是用做什么()？A、用于登录B、DDOSC、钓鱼D、会话固定正确答案：A68、"这段代码是以下哪种漏洞类型的payload()Runtime.getRuntime().exec(request.getParameter("cmd"));"A、XSS跨站漏洞B、命令执行漏洞C、SQL注入漏洞D、文件读取漏洞正确答案：B69、MAC地址长度为多少二进制()A、16B、32C、48D、64正确答案：C70、下列哪个工具可以进行Web程序指纹识别()A、nmapB、OpenVASC、御剑D、whatweb正确答案：D71、Tomcat任意文件漏洞上传的配置文件是()？A、tomcat.initB、tomcat.xmlC、/conf/tomcat.iniD、/conf/web.xml正确答案：D72、在使用Linux的VIM编辑器的命令模式中，我们使用什么键可以上移光标()A、jB、hC、kD、l正确答案：C73、你检测到一次针对你的网络的攻击，你的服务器日志显示了攻击的源IP地址，但是你需要确定这个地址来自哪个域，你应该()。A、Ping根服务器B、进行反向DNS查找C、检查你的DNS服务器的A记录D、请你的互联网服务供应商为你寻找需要的信息正确答案：B74、垂直越权漏洞的典型表现是()？A、用户可以查看到同权限下其他用户的隐私数据B、用户可以查看到比他高权限的其他用户的隐私数据C、用户可以查看到比他低权限的其他用户的隐私数据D、用户可以通过登陆查看到其他用户信息正确答案：B75、“ls.”命令是显示()A、显示根目录下的隐藏文件及文件夹B、显示当前目录的文件及文件夹C、显示上级父目录的文件及文件夹D、显示当前目录下的隐藏文件及文件夹正确答案：B76、Nginx目录遍历的相关配置是()？A、php-fpmB、nginx-phpC、autoindexonD、fpminit正确答案：C77、$_SESSION[]的用途是什么()？A、用于注册全局变量B、用于初始化会话C、用于存储当前会话的变量D、以上都不是正确答案：C78、扫描器一般采用哪种HTTP协议的请求方法()A、HEADB、SELECTC、PUTD、OPTIONS正确答案：A79、如果需要进行远程文件包含，则哪个选项必须要开启()A、allow_include_start=onB、allow_url_start=onC、allow_url_fopen=onD、allow_url_include=on正确答案：D80、Kali是基于()Linux的发行版。A、DebianB、CentOSC、FedoraD、openSUSE正确答案：A二、多选题（共20题，每题1分，共20分）1、以下属于DNS常用的查询方式的选项有哪一些？()A、递归查询B、信息查询C、迭代查询D、口令查询正确答案：AC2、关于SMB协议说法正确的有()A、服务器消息块B、网络文件共享系统C、使用的是http协议发送D、使用的8080端口正确答案：AB3、下面包括域里基本概念的()A、活动目录B、DNSC、信任关系D、Apache正确答案：ABC4、KaliLinux渗透系统包含的渗透测试工具都有哪些功能()。A、后门维持B、无线攻击C、压力测试D、信息收集E、逆向工程F、漏洞利用G、漏洞挖掘正确答案：ABCDEFG5、程序员在防止上传漏洞时，可以采取哪些措施？()A、服务器端验证B、客户端检测C、cookie检测D、实名认证正确答案：AB6、以下哪些项是HTTP中默认要启用的方法()A、PUTB、GETC、DELETED、POST正确答案：BD7、正确防御任意文删除漏洞的安全策略，包括()。A、白名单过滤B、避免目录跳转C、预测可控删除文件D、以上选项均不正确正确答案：ABC8、成功上传一句话木马后，使用什么工具进行连接()A、nmapB、sqlmapC、菜刀D、冰蝎正确答案：CD9、Iptables防火墙进行地址转换在一般是在()链里面？A、PREROUTINGB、