1+x网络安全评估习题库及答案

1+x网络安全评估习题库及答案一、单选题（共20题，每题1分，共20分）1、下面说法正确的是？A、https也可以防御xssB、有一定安全意识的人可以防御一些反射型xssC、一般现在的浏览器不带xss防御功能D、xss攻击只能进行会话劫持正确答案：B2、下面哪种处理文件上传的方式不够妥当（）。A、通过黑名单验证上传的文件后缀名称B、设置上传目录不可解析C、重命名上传的文件名称D、使用单独的服务器存放上传的文件正确答案：A答案解析：黑名单是威胁易绕过的3、在windows的命令提示符中，用以查看当前登录的用户命令是以下哪一个？A、netstartB、quserC、tasklistD、netuser正确答案：B4、关于HTML事件的叙述，错误的是A、onerror当错误执行脚本B、onkeypress当按下键盘执行脚本C、onclick鼠标点击执行脚本D、onkeyup松开键盘执行脚本正确答案：B5、MD5文摘算法得出的文摘大小是？A、128位B、160位C、128字节D、160字节正确答案：A6、Apache解析漏洞中，相关配置是？A、AddHandlerB、HttpdinitC、ApacheHandlerD、Phpinit正确答案：A7、服务器的响应头中，一般不会包含哪一个字段A、Set-CookieB、Content-TypeC、CookieD、Connection正确答案：C8、关于PHP文件包含利用方法，错误的是（）A、利用文件包含漏洞需被包含文件为.php格式B、文件包含漏洞常可以配合文件上传漏洞共同利用C、远程文件包含需服务器开启allow_url_fopen配置D、利用php://input伪协议需开启allow_url_include配置正确答案：A9、《网络安全法》规定，网络运营者应当制定（），及时处置系统漏洞计算机病毒网络攻击网络侵入等安全风险。A、网络安全事件应急演练方案B、网络安全事件应急预案C、网络安全事件补救措施D、网站安全规章制度正确答案：B10、下面说法正确的是？A、在输入和输出处都要过滤xss攻击B、使用防止sql注入的函数也可以防御xssC、htmlspecialchars()可以完全杜绝xss攻击D、只需要在输入处过滤xss就可以了正确答案：A11、下面哪个函数不能起到xss过滤作用？A、addslashes()B、preg_replace()C、str_replace()D、htmlspecialchars()正确答案：A12、电信诈骗的特点不包括下列哪个？A、形式集团化，反侦查能力非常强B、犯罪活动的蔓延性比较大，发展很迅速C、微信D、诈骗手段翻新速度很快正确答案：C13、Burp的Intruder模块中，哪种模式只使用一个payload，每次替换所有位置？A、SniperB、BatteringramC、PitchforkD、Clusterbomb正确答案：B14、HTTPBASIC认证中，使用了哪一种加密方法A、Base32B、Base64C、Md5D、AES正确答案：B15、会话固定的原理是？A、截取目标登录凭证B、让目标误以为攻击者是服务器C、预测对方登录可能用到的凭证D、让目标使用自己构造好的凭证登录正确答案：D16、以下哪个语句可以获取cookie？A、html.cookieB、javacript.cookieC、document.cookieD、inner.cookie正确答案：C17、下列哪一个不属于信息安全三要素CIA？A、机密性B、可用性C、完整性D、个人电脑安全正确答案：D18、关于存储型XSS，叙述错误的是？A、存储型XSS又称作持久型XSSB、此类XSS不需要用户单击特定URL就能执行脚本C、恶意脚本是事先被攻击者上传至数据库或服务器中的D、攻击用户cookie必须通过存储型XSS漏洞实现正确答案：D19、alert()函数是用来干什么的？A、重新打开页面B、打开新页面C、弹窗D、关闭当前页面正确答案：C20、防御XSS漏洞的核心思想为（）A、输入过滤、输出编码B、不要点击未知链接C、减少使用数据库D、禁止用户输入正确答案：A二、多选题（共50题，每题1分，共50分）1、使用00截断进行文件上传时，上传未成功可能的原因是（）A、使用POST方式提交%00，但并未转码B、使用GET方式提交%00，但重复转码C、使用GET方式提交，未删除httpbody中POST内容D、网页设置了上传白名单，在白名单前进行了截断E、使用GET方法提交，但未修改方法名称为‘GET’正确答案：ABCD2、以下哪些是绕过IP地址过滤的方法（）A、。B、xip.ioC、@D、进制转换E、短地址正确答案：ABCDE3、请从以下说法中，选择正确选项？A、apache日志默认在/etc/httpd/logs/access_log或index.php?page=/var/log/httpd/access_logB、window2003+iis6.0日志文件默认放在C:\WINDOWS\system32\LogfilesC、iis7日志文件默认在%SystemDrive%\inetpub\logs\LogFilesD、iis7配置文件默认目录C:\Windows\System32\inetsrv\config\applicationHost.config正确答案：ABCD4、Nmap渗透测试工具的主要功能有（）。A、端口扫描B、XSS攻击C、CSRF攻击D、漏洞扫描正确答案：AD5、下面哪些应用使用了UDP协议承载？A、SMTPB、DNSC、TFTPD、SNMP正确答案：BCD6、IP地址目前有哪几种版本?A、IPV5B、IPV4C、IPV6D、IPV8正确答案：BC7、包含日志文件getshell时，如何让日志文件插入PHP代码？A、使用burpsuit抓包访问B、curl访问不存在的urlC、先getshell,再插入代码D、以上说法都对正确答案：AB8、上网安全中的两种公共设备谨慎用，指的是：A、公共WIFIB、计算机安全C、公共手机充电桩D、物联网（IoT）设备成为薄弱环节正确答案：AC9、文件包含漏洞的危害有哪些？A、执行任意脚本代码B、控制整台服务器C、控制网站D、服务器费用增加正确答案：ABC10、以下关于PHP文件包含函数的说法中，正确的是？A、使用require()，只要程序执行，立即调用此函数包含文件，发生错误时，会输出错误信息并立即终止程序。B、使用include()，只有代码执行到此函数时才将文件包含进来，发生错误时只警告并继续执行。C、require_once()功能和require()一样，区别在于当重复调用同一文件时，程序只调用一次。D、inclue_once()和include()完全一样正确答案：ABC11、HTTP协议请求中不会存在哪个字段A、Set-cookieB、Last-modifiedC、LocationD、User-Agent正确答案：ABC12、国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行哪些安全保护义务：A、制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任B、采取防范计算机病毒和网络攻击网络侵入等危害网络安全行为的技术措施C、采取监测记录网络运行状态网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月D、采取数据分类重要数据备份和加密等措施E、向社会发布网络安全风险预警，发布避免减轻危害的措施F、法律行政法规规定的其他义务正确答案：ABCDF13、KaliLinux渗透系统中的哪些软件具有密码破解功能（）。A、WiresharkB、SnifferC、JohnD、Hydra正确答案：CD14、下面那些层未在TCP/IP中定义？A、传输层B、网络C、表示层D、会话层正确答案：CD15、以下方法中可能存在命令执行漏洞的有A、Voidpassthru(string$command[,int&$return_var])B、Stringexec(string$command[,array&$output[,int&$return_var]])C、Stringescapeshellarg(string$arg)D、Stringshell_exec(string$cmd)正确答案：ABD16、Wireshark通过哪个面板展示数据包信息？A、PacketDetailsB、PacketBytesC、捕获过滤器D、显示过滤器正确答案：AB17、文件包含漏洞的危害有哪些？A、服务器费用增加B、执行任意脚本代码C、控制网站D、控制整台服务器正确答案：BCD18、防止口令暴力破解的配置包括（）。A、登录失败锁定B、口令输入方式C、口令长度配置D、口令复杂度配置正确答案：ACD19、办公安全威胁包括下列哪几个：A、人员弱点B、公用打印机C、摄像头D、移动存储设备正确答案：ACD20、信息安全范畴包括下列哪几个：A、计算机安全B、物联网（IoT）设备成为薄弱环节C、信息本身的安全D、通信安全正确答案：ACD21、查看/etc/passwd文件内容，发现其中一行信息为“root:x:0:0:root:/root:/bin/bash”，以下哪些说法是正确的？A、该行是root用户的相关信息B、第2个字段的代表root用户的密码为“x”C、该用户的主目录为/bin/bashD、该用户的主目录为/root正确答案：AD22、apache+Linux日志默认路径是?A、/etc/httpd/logs/access_logB、/var/log/httpd/access_logC、%SystemDrive%\inetpub\logs\LogFilesD、/usr/local/nginx/logs正确答案：AB23、网络运营者收集使用个人信息，应当遵循______________的原则，公开收集使用规则，明示收集使用信息的目的方式和范围，并经被收集者同意。A、必要B、合法C、真实D、正当正确答案：ABD24、下面对TCP协议描述，哪种不正确？A、面向连接B、面向无连接C、可靠的传输D、不可靠的传输正确答案：BD答案解析：TCP协议是面向连接、可靠的传输。25、以下哪几个特点符合NginxA、良好的并发性B、比Apache更高的稳定性C、低系统资源占用D、高系统资源占用正确答案：ABC26、任何个人和组织应当对其使用网络的行为负责，不得设立用于（）违法犯罪活动的网站通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品管制物品以及其他违法犯罪活动的信息。A、制作或者销售管制物品B、制作或者销售违禁物品C、实施诈骗D、传授犯罪方法正确答案：ABCD27、计算机网络主要实现哪些功能？A、协同工作B、通信C、资源共享D、提高可靠性正确答案：ABCD28、下面关于TCP协议描述，错误的是？A、工作在网络层B、有重传机制C、有流量控制机制D、断开需要3次握手正确答案：AD29、Nmap软件是一款渗透测试常用的开源软件，它的主要功能有（）。A、漏洞扫描B、端口扫描C、拓扑发现D、主机扫描正确答案：ABCD30、Burpsuite中有以下这些组件A、ProxyB、RepeaterC、TargetD、Scanner正确答案：ABCD31、信息安全常识包含下列哪几个：A、邮件安全B、物理安全C、密码安全D、化工安全正确答案：ABC32、关于命令执行漏洞的成因，以下说法正确的是？A、代码层过滤不严格B、调用第三方组件存在代码执行漏洞C、使用了PHP中的system，exec，shell_exec等函数D、没有配置防火墙正确答案：ABC33、逻辑漏洞一般出现在哪些地方？A、没有旧密码或身份验证的任意密码修改B、交易支付金额C、越权访问D、密码找回正确答案：ABCD34、下列哪个描述的是防范虚构事实的诈骗：A、接到亲人被绑架、受伤住院、被扣留拘禁等电话或短信时，一定要冷静应对，弄清情况，请及时报警B、切不可贪图便宜，与市价相差较大的网络商品，不要相信。C、通过子女所在学校、单位、同学、朋友联系，进行核实，确认情况的真实性。D、对于好友QQ、微信、手机发送过来涉及到借钱、汇款等信息，一定要电话联系到本人进行确认正确答案：AC35、选择关于Cookie正确的选项A、Cookie是同协议、同域名、同端口的B、修改Cookie只能用一个同名Cookie将其覆盖C、浏览器可以将持续时间为负数的Cookie保存为文件D、同父域的两个子域名可以通过设置共享Cookie正确答案：AD36、逻辑漏洞中，两种绕过授权验证方法为?A、水平越权B、交叉越权C、垂直越权D、方向越权正确答案：AC37、根据《网络安全法》的规定，任何个人和组织（）。A、不得从事非法侵入他人网络干扰他人网络正常功能等危害网络安全的活动B、不得提供专门用于从事侵入网络干扰网络正常功能等危害网络安全活动的程序C、明知他人从事危害网络安全的活动的，不得为其提供技术支持D、明知他人从事危害网络安全的活动的，可以为其进行广告推广正确答案：ABC38、下列哪个描述是针对防范冒充身份诈骗的：A、不要主动猜测对方是谁B、主动答应对方要求C、确认真伪及对方身份真实性D、确认身份要多问几个私密问题正确答案：ACD39、上网安全中提到的三种链接别乱点，指的是：A、公用打印机B、网上测试类C、来历不明的二维码D、手机短信中的链接正确答案：BCD40、渗透测试报告一般具有的品质有（）。A、包含漏洞对企业资产的影响B、给出漏洞修补意见C、简单明了，直击要害D、通俗易懂正确答案：ABCD41、下列哪几条属于防电信诈骗十条中的守则：A、钓鱼网站要提防B、手机短信内的链接都别点C、闭口不谈卡号和密码D、凡是索要短信验证码的全是骗子正确答案：ABC42、关于Linux目录文件系统的文件夹，以下哪些说法是正确的？A、/var/目录仅用于存放系统产生的日志文件B、/etc/目录用于存放系统配置文件C、/tmp/目录用于存放系统的临时文件D、/bin/目录主要存放平时常用的命令正确答案：BCD43、在HTTP响应的MIME消息体中，可以同时包含的数据类型是（）A、图片数据B、文本数据C、视频数据D、音频数据正确答案：ABCD44、php://filter/read=convert.base64-encode/resource=../../../../../etc/passwd假设某PHP页面存在文件包含漏洞，上述Payload可以获得哪些信息A、Linux系统中所有的用户名B、Windows系统中所有的用户名C、系统中各个用户的权限以及可执行文件所在目录D、用户密码正确答案：AC45、属于xss跨站漏洞危害的是（）?。A、钓鱼欺骗B、网站挂马C、身份盗用D、sql数据泄露正确答案：ABC46、邮件安全防护策略包含下列哪几个：A、监测攻击B、识别风险C、防护邮件D、响应事件正确答案：ABCD47、以下哪些是常用的XSS绕过编码（）A、URL编码B、JS编码C、HTML实体编码D、复合编码正确答案：ABCD48、程序员在防止上传漏洞时，可以采取哪些措施？A、客户端检测B、服务器端验证C、实名认证D、cookie检测正确答案：AB49、Wireshark统计工具有何作用？A、对URL信息进行统计，可能发现SQL注入信息B、若数据链路层广播包过多，可能发生的广播风暴C、对URL信息进行统计，可能发现攻击者上传的木马D、可以发现短时间内的流量增加正确答案：ABCD50、从覆盖范围上划分网络，有以下哪几种？A、局域网B、无线网C、广域网D、城域网正确答案：ACD三、判断题（共30题，每题1分，共30分）1、社会工程攻击中常用到人性漏洞进行攻击，主要是利用了以下几个心理：喜欢惊喜、畏惧权威、成为“有用”人才、害怕失去、懒惰心理、自尊心、专业知识不全等。A、正确B、错误正确答案：A2、部署网站时端口的设置与网页能否显示密切相关A、正确B、错误正确答案：A3、Nmap是一款开放源代码的网络探测和安全审核的工具，它的设计目标是快速地扫描大型网络，不能用它扫描单个主机。A、正确B、错误正确答案：B4、XSS跨站脚本漏洞主要影响的是客户端浏览用户A、正确B、错误正确答案：A5、浏览器手动选择代理后，关闭burp仍然能够正常上网A、正确B、错误正确答案：B6、IPV4地址长度是32位。A、正确B、错误正确答案：A7、谨慎授予权限：谨慎授予应用“发送短信”、“读取短信”、“查看通讯录”、“读取定位信息”等权限。A、正确B、错误正确答案：A8、IP包头首部长度为8字节。A、正确B、错误正确答案：B9、任何个人和组织有权对危害网络安全的行为向网信电信公安等部门举报A、正确B、错误正确答案：A10、社会工程攻击周期的四个阶段是：信息收集、建立信任关系、操纵目标、退出。A、正确B、错误正确答案：A11、被扫描的主机是不会主动联系扫描主机的，所以被动扫描只能通过截获网络上散落的数据包进行判断。A、正确B、错误正确答案：A12、一个高级用户可以