信息安全测试员（高级）职业技能鉴定备考试题库-上（单选题）

PAGEPAGE1信息安全测试员（高级）职业技能鉴定备考试题库-上（单选题汇总）一、单选题1.关键信息基础设施的安全技术措施部署应遵循：（）A、同步规划，同步建设，同步使用B、三分技术，七分管理C、意识决定安全D、同步运行答案：A2.关于sql注入说法正确的是A、sql注入攻击是攻击者直接对web数据库的攻击B、sql注入攻击除了可以让攻击者绕过认证外，危害不大C、加固服务器可能会造成sql注入漏洞D、sql注入攻击，可以造成整个数据库全部泄露答案：D3.以下哪项是防范跨站脚本攻击(XSS)的有效措施？()A、输入验证和过滤B、使用HTTPS加密连接C、实施访问控制机制D、禁用JavaScript答案：A4.sqlinjection、Xpathinjection属于（）攻击A、脚本注入B、跨站攻击C、XSSD、蠕虫答案：A5.基于TCP/IP协议集的Internet体系结构保证了系统的()。A、可靠性B、安全性C、开放性D、可用性答案：C6.关于Mysql安全，以下做法不正确是A、设置sy1用户，并赋予mysql库user表的存取数据B、尽量避免以root权限运行mysqlC、删除匿名账号D、安装完毕后，为root账号设置口令答案：A7.进行渗透测试的第一个环节是()A、口令破解B、利用TCP/IP协议的攻击C、源路由选择D、各种形式的信息收集答案：D8.区分局域网和广域网的依据是()。A、网络用户B、传输协议C、联网设备D、联网范围答案：D9.要获取数据库中后台管理员账密，正确的顺序是（）A、数据库名、表名、字段名、字段内容B、数据库版本、当前数据库物理路径、文件名、字段内容C、数据库名、字段名、表名、字段内容D、数据库版本、数据编码、表名、当前数据库名答案：A10.非对称密码体制中，加密过程和解密过程共使用()个密钥。A、1B、2C、3D、4答案：B11.SQL注入攻击可通过何种方式进行防护（）A、购买硬件防火墙，并只开放特定端口B、安装最新的系统补丁C、将密码设置为12位的特别复杂密码D、使用web应用防火墙进行防护。答案：D12.密码学的目的是()。A、研究数据加密B、研究数据解密C、研究数据保密D、研究信息安全答案：C13.()技术主要是指对计算机及网络系统的环境、场地、设备和通信线路等采取的安全技术措施。A、物理安全B、应用安全C、网络安全D、数据安全答案：A14.指导企业按照网络安全等级保护要求进行网络系统建设的文件是()A、网络安全等级保护定级指南B、网络安全等级保护基本要求C、网络安全等级保护实施指南D、网络安全等级保护安全设计技术要求答案：C15.互联网Internet的最早起源于()。A、IntranetB、ARPAnetC、OSID、WLAN答案：B16.以下哪项不是常用防御CSRF的方法()A、验证HTTPReferer字段B、token验证C、HTTP头自定义属性D、User-Agent验证答案：D17.下面不属于PKI组成部分的是()。A、证书主体B、使用证书的应用和系统C、证书权威机构D、AS答案：D18.下面关于Metasploit说法错误的是（）A、Metasploit是一个开源的渗透测试开源软件B、Metasploit项目是网络搜索引擎C、可以进行敏感信息搜集、内网拓展等一系列的攻击测试D、Metasploit最初版本是基于c语言答案：D19.以下哪个是常用webshell管理工具（）A、cunetixWVS8.0B、HydraC、中国蚁剑D、Nmap答案：C20.防御XSS漏洞的核心思想为()A、禁止用户输入B、输入过滤，输出编码C、不要点击未知链接D、不使用超链接答案：B21.IPv4地址是()位二进制数。A、32B、4C、24D、48答案：A22.以下哪个是PHP反序列化函数A、serialize()B、unserialize()C、unlink()D、addslashes()答案：C23.下列对SQL注入说法正确的是()A、SQL注入可以对web数据库攻击B、SQL注入可以通过加固服务器账号来防御C、不可以获取数据库信息D、没有任何危害答案：A24.nmap的-sV是什么操作（）A、TCP全连接扫描B、FIN扫描C、版本扫描D、全面扫描答案：C25.以下防范措施不能防范SQL注入攻击的是A、配置IISB、在WEB应用程序中，将管理员账号链接数据库C、去掉数据库不需要的函数、存储过程D、检查输入参数答案：B26.就交换技术而言，以太网采用的是()。A、分组交换技术B、电路交换技术C、报文交换技术D、混合交换技术答案：A27.防止网页用户访问时候被冒名所欺骗的方法是A、对信息源进行身份验证B、进行数据加密C、对访问网络流量进行过滤和保护D、采用防火墙答案：A28.BurpSuite是用于攻击（）的集成平台A、web应用程序B、客户端C、服务器D、浏览器答案：A29.溢出攻击的核心是()。A、修改堆栈记录中进程的返回地址B、利用ShellcodeC、提升用户进程权限D、捕捉程序漏洞答案：A30.HTTPS是一种安全的HTTP协议，它使用SSL来保证信息安全，使用（）来发送和接受报文A、TCP的443端口B、UDP的443端口C、TCP的80端口D、UDP的80端口答案：A31.数据安全能力成熟度模型共有多少个过程域。A、40个B、20个C、30个D、27个答案：C32.想要知道服务器支持哪些请求方法，需要用到的方法是()A、OPTIONSB、HEADC、PUTD、TRACE答案：A33.很多网站在登录时都要求用户输入以图片形式显示的一个字符串，其作用是A、阻止没有键盘的用户登录B、欺骗非法用户C、防止用户利用程序自动登录D、限制登录次数答案：C34.某Web网站向CA申请了数字证书，用户登录该网站时候，通过验证（），可以确认该数字证书的有效性。A、CA签名B、网站签名C、会话秘钥D、ES密码答案：A35.网络运营者未要求用户提供真实身份信息，情节严重，做什么处罚？（)A、责令整改B、吊销营业执照C、罚款5千以下D、不用处罚答案：B36.在Web应用程序渗透测试期间，以下哪个步骤通常是最后一步？()A、漏洞扫描B、渗透测试报告撰写C、弱密码检测D、系统安全审计答案：B37.常见的恶意代码类型有：特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。2017年5月爆发的恶意代码WannaCry勒索软件属于()A、特洛伊木马B、蠕虫C、后门D、Rootkit答案：B38.张三正在玩游戏，突然弹出一个窗口，提示：特大优惠!1元可购买1000元游戏币!点击链接后，在此网站输入银行卡账号和密码，网上支付后发现自己银行卡里的钱都没了。结合本实例，对发生问题的原因描述正确的是()?A、游戏充值B、用钱买游戏币C、受到了钓鱼攻击，透露了自己的银行卡号、密码等私密信息导致银行卡被盗刷D、没使用网银进行交易答案：C39.下列哪个工具可以进行Web程序指纹识别（）A、nmapB、OpenVASC、御剑D、whatweb答案：D40.WindowsNT提供的分布式安全环境又被称为()。A、域(Domain)B、工作组C、对等网D、安全网答案：A41.渗透测试中，黑盒测试和白盒测试的区别是什么()？A、黑盒测试不需要事先了解系统的内部信息B、白盒测试不需要知道系统的外部信息C、黑盒测试需要攻击者与系统管理员合作D、白盒测试只涉及网络层面的攻击答案：A42.有一个网咖，将所有的计算机连接成网络，这网络属于()。A、广域网B、城域网C、局域网D、吧网答案：C43.恶意代码是指为达到恶意目的而专门设计的程序或代码。以下恶意代码中，属于脚本病毒的是（）。A、Worm.Sasser.FB、Trojan.Huigezi.aC、Harm.formatC.fD、Script.Redlof答案：D44.《网络安全法》的立法方针是：（）A、积极利用、科学发展、依法管理、确保安全B、确保个人信息安全C、确保网络使用者安全D、确保企业信息安全答案：A45.关于社工库说法正确是?()A、互联网泄露的信息汇聚成教据库B、政府部门自愿公开的数据库C、甲方企业自愿公开的数据库D、高校自愿公开的数据库答案：A46.防止用户被冒名所欺骗的方法是：（）。A、对信息源发方进行身份验证B、进行数据加密C、对访问网络的流量进行过滤和保护D、采用防火墙答案：A47.信息安全领域中的隐写术指的是A、在一些文件中隐藏额外的信息B、将文件隐藏C、防止数据写入文件D、一种权限控制技术答案：A48.一个web网站的数据库中的最小加密单位是（）A、数据库B、表C、记录D、字段答案：D49.下列那个属于微软的漏洞公告编号（）A、MB17-010B、KB17-010C、MS17-010D、GB17-010答案：C50.以下关于爱国主义与拥护祖国统一具有一致性的正确说法是（）。A、它是对全体中华儿女提出的基本要求B、它主要是对生活在大陆的中国公民的基本要求C、它是对一切生活在中国的人提出的基本要求D、它对海外侨胞不作要求答案：A51.ARP的工作过程中，ARP响应报文是()发送。A、单播B、多播C、广播D、任播答案：A52.下面有关无线局域网描述中错误的是()。A、无线局域网是依靠无线电波进行传输的B、建筑物无法阻挡无线电波，对无线局域网通讯没有影响C、家用的无线局域网设备常用无线路由器D、家庭无线局域网最好设置访问密码答案：B53.过滤SQL注入可以使用的函数A、ddslashesB、htmlspecialcharsC、strip_tagsD、trim答案：A54.假如你在网上买完机票，却收到航班延误的电话通知，需要在某链接上重新购买机票，你会怎么做()A、对方能清楚知道我的信息，可以相信B、航班延误很正常，去链接购买新机票C、刚买完就通知我了，肯定是客服，点开链接输入账号密码看看新机票D、不相信，并去核实自己的航班情况答案：D55.家庭网络一般选择()设备进行网络交换通信。A、交换机B、集线器C、路由器D、电话答案：C56.在渗透测试时，哪个漏洞不可以直接获取webshellA、SQL注入B、信息泄露C、文件上传D、文件包含答案：B57.人为的安全威胁包括主动攻击和被动攻击，以下属于主动攻击的是A、对目标站点进行后门攻击B、对目标站点进行流量分析C、对目标站点进行信息窃取D、对目标站点进行数据窥探答案：A58.完成路径选择功能是在OSI模型的()。A、物理层B、数据链路层C、网络层D、传输层答案：C59.在web网站已经被渗透的情况下，黑客发现该后台操作系统是Linux，那么可以用什么命令去切换目录A、whoB、psC、topD、cd答案：D60.通常黑客扫描目标机的445端口是为了A、利用NETBIOSSMB服务发起DOS攻击B、发现并获得目标机上的文件及打印机共享C、利用SMB服务确认windows系统版本D、利用NETBIOS服务确认windows系统版本答案：B61.下列说法中，错误的是（）。A、数据被非授权地增删、修改或破坏都属于破坏数据的完整性B、抵赖是一种来自黑客的攻击C、非授权访问是指某一资源被某个非授权的人，或以非授权的方式使用D、重放攻击是指出于非法目的，将所截获的某次合法的通信数据进行拷贝而重新发送答案：B62.对个人和组织发送的电子信息，提供的软件说法不正确是（）A、不得设置恶意恶意程序B、不得含有法律禁止发布的信息C、有害信息，运营者应当阻止，防止扩散D、发布的程序，可以随时停止其服务答案：D63.下面协议中，用于网页传输的协议是()。A、HTTPB、URLC、SMTPD、HTML答案：A64.当访问web网站某个页面资源不存在时，将会出现HTTP的状态码是A、200B、302C、401D、404答案：D65.一座大楼内的一个计算机网络系统，属于()。A、PANB、LANC、MAND、WAN答案：B66.A和B建立了TCP连接，当A收到确认号为100的确认报文段时，表示()。A、报文段99已收到B、报文段100已收到C、末字节序号为99的报文段已收到D、末字节序号为100的报文段已收到答案：A67.（）负责组织及时宣传落实党和国家有关网络信息安全的政策、法规，提高员工的网络安全意识。A、线网管控中心B、党群C、监察审计部D、安全监察部答案：B68.不属于SQL注入漏洞造成的危害的是()A、脱库B、胁持会话C、获取服务器系统权限D、修改数据库内容或者插入内容到数据库答案：B69.计算机刑事案件可由（）受理。A、案发地市级公安机关公共信息网络安全监察部门B、案发地市级公安机关治安部门C、案发地当地县级(区、市)公安机关公共信息网络安全监察部门D、案发地当地公安派出所答案：A70.文件上传漏洞成因不包括（）A、服务器配置不当B、开放了文件上传功能,并进行了限制C、系统特性、验证或者过滤不严格D、web用户对目标目录有可写权限甚至执行权限答案：B71.马克思指出：“真正的爱情是表现在恋人对他的偶像采取含蓄、谦恭甚至羞涩的态度，而绝不是表现在随意流露热情和过早的亲昵。”他的意思是说，在恋爱过程中双方应（）。A、平等履行道德义务B、把个人纵欲作为爱情的目的C、有高尚的情趣和健康的交往方式D、追求脱离现实生活的“纯精神”关系答案：C72.查询数据库中后台管理员的账户名密码，正确的顺序是()。A、数据库名、表名、字段名、字段内容B、数据库版本、当前数据库物理路径、文件名、字段内容C、数据库名、字段名、表名、字段内容D、数据库版本、数据编码、表名、当前数据库名答案：A73.linux系统中/etc/rc5.d的文件夹的作用是()。A、单用户模式下的开机启动脚本B、完全命令行模式下的开机启动脚本C、图形模式下的启动脚本D、所有模式下的启动脚本答案：C74.信息安全领域内最关键和最薄弱的环节是()。A、技术B、策略C、管理制度D、人答案：D75.网络运营者违反本法第47条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的，情节严重，哪些处罚不对？（）A、停业整顿B、关闭网站、吊销相关业务许可证C、处十万元以上五十万元以下罚款D、处十万元以下罚款答案：D76.依据网络安全等级保护要求进行建设的主要依据是()A、网络安全等级保护定级指南B、网络安全等级保护基本要求C、网络安全等级保护测评要求D、网络安全等级保护安全设计技术要求答案：B77.全国人民代表大会及其常委会制定的规范性法律文件叫（）。A、宪法B、法律C、行政法规D、自治法规答案：B78.网络协议的三要素是语义、语法和()。A、时间B、时序C、保密D、报头答案：B79.因网络安全事件，发生（）或者生产安全事故的，应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。A、突发B、事件C、突发事件D、时间答案：C80.SQLMap是一款经典的渗透测试工具，它主要用于()A、XSS探测B、SQL注入C、口令爆力破解D、越权操作答案：B81.DES算法分组长度和密钥长度分别是（）。A、64位和72位B、72位和64位C、64位和56位D、56位和64位答案：C82.渗透测试的目的是什么()？A、破坏系统和数据B、评估系统的安全性C、监视网络流量D、提高系统性能答案：B83.当感觉操作系统运行速度明显减慢，最有可能收到()攻击。A、特洛伊木马B、拒绝服务C、欺骗D、中间人攻击答案：B84.我国自古就有“君子成人之美”、“为善最乐”、“博施济众”等广为流传的格言，把帮助别人视为自己应做之事，看作自己的快乐。这是社会公德中（）。A、保护环境的要求B、遵纪守法的要求C、爱护公物的要求D、助人为乐的要求答案：D85.ApacheHttpd是一个用于搭建Web服务器的开源软件。ApacheHttpd配置文件中，负责基本读取文件控制的是（）。A、httpd.confB、srm.confC、access.confD、mime.conf答案：C86.国家标准GB/Z20986—2007《信息安全技术信息安全事件分类分级指南》将信息安全事件分为（）级。A、5级B、4级C、3级D、2级答案：B87.密码爆破是什么意思A、忘记密码，需要使用手机号或邮箱重置B、将目标服务器上的密码摧毁，留下空密码C、BOOMD、使用海量的密码字典去一个个试，找到正确的密码答案：D88.根据《网络安全法》的规定，（）负责统筹协调网络安全工作和相关监督管理工作A、信息部B、中国联通C、中国电信D、国家网信部门答案：D89.网络安全等级保护测评的目的是()。A、测评等保对象是否实施了安全措施B、测评等保对象是否按照等级保护基本要求进行了建设C、测评等保对象是否按照相应等级的基本要求进行了安全管理和安全运维D、测评等保对象是否按照等级保护基本要求进行安全检测答案：C90.为了防御网络监听，最常用的方法是（）。A、采用物理传输（非网络）B、信息加密C、无线网D、使用专线传输答案：B91.以下对跨站脚本攻击(XSS)的解释最准确的一项是A、引诱用户点击虚假网络链接的一种攻击方法B、构造精妙关系数据库的结构化查询语言对数据库进行非法访问C、一种强大的木马攻击手段D、将恶意代码嵌入到用户浏览的WEB网页中，从而达到恶意的目的答案：D92.下列关于密码技术的说法中，错误的是()A、密码学包括密码编码学和密码分析学两门学科B、对称密钥密码体制也称为单密钥密码体制或传统密码体制，基本特征是发送方和接收方共享相同的密钥，即加密密钥与解密密钥相同C、密码体制的安全既依赖于对密钥的保密，又依赖于对算法的保密D、对称加密不易实现数字签名，限制了它的应用范围答案：C93.用ipconfig命令查看计算机当前的网络配置信息等，如需释放计算机当前获得的IP地址，则需要使用的命令是（）。A、ipconfigB、ipconfig/allC、ipconfig/renewD、ipconfig/release答案：D94.渗透测试的三大阶段是什么？()A、侦查、攻击、入侵B、扫描、利用、控制C、预备、实施、评估D、信息收集、漏洞分析、漏洞利用答案：D95.steghide工具可以用来（）A、压缩文件B、将隐藏文件显示出来C、强行往文件里面写入数据D、获取root权限的工具答案：B96.以下哪个不是msf的模块？（）A、攻击载荷模块B、空指令模块C、译码模块D、后渗透攻击模块答案：C97.重大安全事件确认至上报不得超过（）分钟。A、5B、10C、20D、30答案：C98.Windows操作系统中，使用（）工具可以看到进程运行的选项。A、任务管理器B、注册表C、tasklist命令D、wmicprocess命令答案：D99.效率最高、最保险的杀毒方式是()。A、手动杀毒B、自动杀毒C、杀毒软件D、磁盘格式化答案：D100.渗透测试中，以下哪个术语用于描述通过恶意软件感染目标系统，并在后台操控它？()A、僵尸网络B、反向连接C、缓冲区溢出攻击D、XSS攻击答案：A101.要完成CSRF攻击，不需要具备以下哪个条件()A、被攻击用户处于登录状态B、网站存在用户输入框C、网站对用户敏感操作没有二次校验D、恶意地址站点用户可达答案：B102.常用的抓包软件有A、snifferB、MSofficeC、fluxayD、netscan答案：A103.黑客在程序中设置了后门，这体现了黑客的（）目的。A、非法获取系统的访问权限B、窃取信息C、篡改数据D、利用有关资源答案：A104.在GoogleHacking中，下面哪一个是搜索指定文件类型的语句（）A、intextB、intitleC、siteD、filetype答案：D105.下面关于网站与网页的说法错误的是()。A、网站经常是由多个网页组成的B、网页就是网站，网站也就是网页C、网站中的网页通常存在跳转关系D、通过浏览器访问网站，浏览的是网页答案：B106.在阶级社会中，法律体现的是（）整体意志。A、全民B、统治阶级C、党D、全社会答案：B107.以下哪一项是渗透测试的主要目的?()A、评估B、纠正C、检测D、防护答案：A108.进入新时代，我国面临复杂多变的安全和发展环境，各种可以预见和难以预见的风险因素明显增多，维护国家安全的任务更加繁重艰巨。在这种情况下，我们必须坚持的国家安全观是（）。A、新型国家安全观B、传统国家安全观C、总体国家安全观D、现代国家安全观答案：C109.下列行为不属于网络攻击的是A、连续不停的ping某台主机B、发送带病毒和木马的电子邮件C、向多个邮箱群发一封电子邮件D、暴力破解服务器密码答案：C110.如果未经授权的实体得到了数据的访问权，这属于破坏了信息的（）。A、可用性B、完整性C、机密性D、可控性答案：C111.以下哪个步骤通常在漏洞利用之前进行？()A、渗透测试报告撰写B、密码破解C、操作系统指纹识别D、端口扫描答案：D112.信息安全应急响应，是指一个组织为了应对各种安全意外事件的发生所采取的防范措施，既包括预防性措施，也包括事件发生后的应对措施。应急响应方法和过程并不是唯一的，通常应急响应管理过程为()。A、准备、检测、遏制、根除、恢复和跟踪总结B、准备、检测、遏制、根除、跟踪总结和恢复C、准备、检测、遏制、跟踪总结、恢复和根除D、准备、检测、遏制、恢复、跟踪总结和根除答案：A113.网络窃听（sniffer）可以捕获网络中流过的敏感信息，下列说法错误的是A、密码加密后，不会被窃听B、cookie字段可以被窃听C、报文和帧可以窃听D、高级窃听者还可以进行arpspoof中间人攻击答案：A114.最早研究计算机网络的目的是()。A、直接的个人通信B、共享硬盘空间、打印机等设备C、共享计算资源D、大量的数据交换答案：C115.下列哪些不属于恶意代码()A、病毒B、后门C、逻辑炸弹D、爬虫答案：D116.等级保护的核心思想是()A、对保护对象按等级划分，按标准进行建设、管理和监督B、按最高标准划分等级，从严要求C、按最低标准划分等级，降低成本D、依法定级，依法建设答案：A117.安装补丁和升级属于（）。A、物理根除B、单机根除C、网络根除答案：B118.网络运营是指什么？（）A、网络的管理者B、网络的所有者C、网络的服务者D、以上都对答案：D119.使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于（）攻击类型。A、拒绝服务B、文件共享C、BIND漏洞D、远程过程调用答案：A120.你是单位安全主管，由于微软刚发布了数个系统漏洞补丁，安全运维人员给出了针对此漏洞修补的四个建议方案，请选择其中一个最优先方案执行()。A、由于本次发布的漏洞目前尚未出现利用工具，因此不会对系统产生实质性危害B、本次发布的漏洞目前尚未出现利用工具，因此不会对系统产生实质性危害，所以可以先不做处理C、对于服务器等重要设备，立即使用系统更新功能安装这批补丁，用户终端计算机由于没有重要数据，由终端自行升级D、对于重要的服务，应在测试环境中安装并确认补丁兼容性问题后再正式生产环境中部署答案：D121.以下哪个不属于等级保护实施过程中涉及的角色()A、用户B、主管部门C、运营、使用单位D、网络安全服务机构答案：A122.以下哪种符号在SQL注入攻击中经常用到？A、$B、1C、D、；答案：D123.任何个人和组织有权对危害网络安全的行为向网信、电信、（）等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。A、纪检B、财政C、公安D、法院答案：C124.IDS是？A、入侵检测系统B、入侵防御系统C、网络审计系统D、主机扫描系统答案：A125.把一句话木马如xx.asp;.jpg上传到服务器后，如果没有回显文件路径，不属于寻找方法的是（）A、在上传完后可以通过右键复制图片地址B、通过抓包工具进行抓包，看看有没有暴露上传路径C、根据经验，尝试进行猜测（在后台没有重命名情况下)D、对目标网站进行端口扫描答案：C126.在几千年历史长河中，中国人民始终革故鼎新、自强不息，开发和建设了祖国辽阔秀丽的大好河山，开拓了波涛万顷的辽阔海疆，开垦了物产丰富的广袤粮田，治理了桀骜不驯的千百条大江大河，战胜了数不清的自然灾害，建设了星罗棋布的城镇乡村，发展了门类齐全的产业，形成了多姿多彩的生活。今天，中国人民拥有的一切，凝聚着中国人的聪明才智，浸透着中国人的辛勤汗水，蕴涵着中国人的巨大牺牲。这些都集中体现了中华民族精神中的（）。A、伟大创造精神B、伟大团结精神C、伟大奋斗精神D、伟大梦想精神答案：C127.哪种处理文件上传的方式较为安全()。A、JavaScript限制上传类型B、服务端限制content-type文件类型C、文件头验证文件类型D、后缀名白名验证和随机文件名称答案：D128.查看端口的命令是()。A、netstatB、pingC、routeD、tracert答案：A129.渗透测试中，以下哪个术语用于描述在攻击过程中隐藏跟踪和覆盖痕迹？A、反向连接B、隐蔽传输协议C、渗透攻击D、MZ（DemilitarizedZone）答案：B130.HTTP协议中Allow字段主要作用是A、通知客户端能够支持协议的版本B、通知服务器能够支持协议的版本C、通知客户端能够支持哪些方法D、通知服务器能够支持哪些方法答案：D131.用户收到了一封可以的电子邮件，要求用户提供银行账户和密码，这属于何种攻击手段A、缓存溢出攻击B、钓鱼攻击C、暗门攻击D、dos攻击答案：B132.数据完整性指的是（）。A、保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密B、提供连接实体身份的鉴别C、防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致D、确保数据数据是由合法实体发出的答案：C133.《网络安全法》提到网络安全保障体系和网络安全标准体系，它们之间的关系是（）？A、并列关系B、网络安全标准体系是网络安全保障体系的组成部分C、网络安全保障体系是网络安全标准体系的组成部分D、没关系答案：B134.下列（）不属于渗透测试的分类A、白盒测试B、黑盒测试C、灰盒测试D、模糊测试答案：D135.如果一台集线器与6台计算机相连，该集线器包括多少个冲突域和广播域()。A、6个广播域和1个冲突域B、6个广播域和6个冲突域C、1个广播域和6个冲突域D、1个广播域和1个冲突域答案：D136.电子邮件地址的一般格式为()。A、IP地址域名B、用户名域名C、用户名D、用户名IP地址答案：B137.SQLmap中–tables命令实现的效果是（）A、列出所有数据库名字B、列出所有字段名字C、列出所有表的名字D、列出指定数据库指定表中的所有字段的名字答案：C138.以下不是局域网特点的是()。A、局域网有一定的地理范围B、局域网经常为一个单位所有C、局域网内通信速度和广域网一致D、局域网内更方便共享网络资源答案：C139.网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全（），避免重复认证、检测。A、机制B、检测C、结果D、检测结果互认答案：D140.《网络安全法》适用于哪些网络活动：（）A、网络建设B、网络运营，网络维护C、网络使用D、以上三个都是答案：D141.PKI的主要组成不包括()。A、证书授权CAB、SSLC、注册授权RAD、证书存储库CR答案：B142.20世纪80年代以来，以信息技术为核心的新技术革命有力推动了经济全球化的快速发展，人类社会越来越成为你中有我、我中有你的命运共同体。中国抓住了这个难得机遇，通过对外开放，主动参与经济全球化，综合国力上了一个大台阶。随着中国特色社会主义进入新时代，中国日益走近世界舞台中央。在这种情况下弘扬爱国主义精神，必须做到的是（）。A、全面复兴中国传统文化B、重新评价中国近现代史C、坚持立足民族又面向世界D、推动世界经济、政治、文化一体化答案：C143.下面那项不属于个人信息？（）A、出生日期B、家庭住址C、个人就诊信息D、公司名字答案：D144.ARP报文封装在()中传送。A、IP数据报B、UDP报文C、PPP报文D、以太网帧答案：D145.对企业网络最大的威胁是()。A、黑客攻击B、外国政府C、竞争对手D、内部员工的恶意攻击答案：D146.注册或者浏览社交类网站时，不恰当的做法是()?A、尽量不要填写过于详细的个人资料B、不要轻易加好友C、充分利用社交网站的安全机制D、充分信任他人答案：D147.防火墙作为一种被广泛使用的网络安全防御技术，其自身有一些限制,它不能阻止（）。A、内部威胁和病毒威胁B、外部攻击C、外部攻击、外部威胁和病毒威胁D、外部攻击和外部威胁答案：A148.以下用于在网络应用层和传输层之间提供加密方案的协议是A、PGPB、SSLC、IPSecD、ES答案：B149.以下BurpSuite模块中，（）模块最适合用于对网站登录凭证实施暴力破解。A、ProxyB、RepeaterC、IntruderD、Sequencer答案：C150.计算机病毒的特性不包括()。A、传染性B、隐蔽性C、破坏性D、自生性答案：D151.TCP和UDP属于()协议。A、网络层B、数据链路层C、传输层D、以上都不是答案：C152.在()属性对话框中，可以设置几次无效登录后就锁定账户。A、账户锁定阈值B、密码策略C、账户锁定时间D、复位账户锁定计数器答案：A153.在WAF产品中，通常不包括下列()类。A、云WAFB、嵌入式WAFC、软件WAF类D、硬件WAF类答案：B154.安全工作组须为各部门的网络安全事件应急工作提供必要的（）保障。A、通信B、人员C、经费D、设备答案：C155.以下关于NAT说法中，错误的是A、NAT主要有两种类型B、NAT路由器至少有一个有效的外部全球地址C、动态NAT的地址池中有多个全球地址用来对内部地址进行映射，但不固定绑定D、端口地址转换PAT中一个外网地址可以和多个内网地址进行映射，同时在该地址上加上一个由NAT设备指定的TCP/UDP的端口号来进行区分答案：A156.关于黑客的SQL注入攻击说法错误的是A、它的主要原因是程序对用户输入缺乏过滤B、一般情况下防火墙对它无法防范C、对它进行防范时要关注操作系统的版本和安全补丁D、注入成功后可以获取部分权限答案：C157.近期，互联网上发现一个新的且在互联网上快速传播的DDoS僵尸网络Fodcha，已监测到这种恶意软件每天有超过100人成为DDoS攻击的目标。DDoS攻击一般破坏目标的()。A、可靠性B、可用性C、完整性D、机密性答案：B158.网络安全等级保护中，通常需要准备一些备品、备件，其主要目的是确保等保对象的()。A、保密性B、完整性C、可用性D、可审计性答案：C159.实施网络安全等级保护制度的法律依据是()A、网络安全法B、数据安全法C、个人信息保护法D、国家安全法答案：A160.网络系统中针对海量数据的加密，通常不采用（）方式A、会话加密B、公钥加密C、链路加密D、端对端加密答案：B161.以下哪一项属于国家强制性技术规范()A、《信息安全技术网络安全等级保护基本要求》B、《计算机信息系统安全保护等级划分准则》C、《信息安全技术网络安全等级保护定级指南》D、《信息安全技术网络安全等级保护安全设计技术要求》答案：B162.什么是HTML?()A、HTML指的是超文本标记语言：HyperTextMarkupLanguageB、HTML是一种编程语言C、HTML使用头部标签来描述网页答案：A163.数据生命周期分为几个阶段。A、6个B、5个C、4个D、3个答案：A164.宏病毒可以感染()。A、可执行文件B、引导扇区/分区表C、Word/Excel文档D、数据库文件答案：C165.SQL注入出password的字段值为“YWRtaW44ODg=”，这是采用了哪种加密方式（）A、MD5B、ASE64C、AESD、ES答案：B166.无线WIFI()加密方式密码可被轻易破解?A、WEBB、MD5C、WPA/AESD、WEP答案：D167.在特定区域对网络通信采取限制等临时措施须经：（）A、网信办批准B、公安部决定C、国务院决定或批准D、工信部决定答案：C168.密码分析学是研究密码破译的科学，在密码分析过程中，破译密文的关键是（）。A、截获密文B、截获密文并获得密钥C、截获密文，了解加密算法和解密算法D、截获密文，获得密钥并了解解密算法答案：D169.TCP/IP协议栈中的IP协议对应到OSI七层网络模型的()。A、物理层B、数据链路层C、网络层D、会话层答案：C170.Mysq数据库的默认端口号是（）A、3306B、1433C、53D、22答案：A171.信息的表现形式多样化，包括音讯、语言、文字、图表、符号等，这主要体现了信息的A、共享性B、时效性C、可转换性D、依附性答案：C172.使用nmap进行ping扫描时使用的参数（）A、-sPB、-pC、-p0D、-A答案：A173.“四个自信”中更基础、更广泛、更深厚的自信是（）。A、道路自信B、理论自信C、制度自信D、文化自信答案：D174.某网站有专人负责定期刷新该网站的信息内容，利用数据挖掘和分析技术删除无效信息，这是为了保持信息的().A、可传递性B、共享性C、可转换性D、时效性答案：D175.利用什么技术可以解决商家只能看到购买信息，但是不能看到支付信息，而银行只能看到支付信息，不能看到购买信息的问题。（）A、数字信封B、多密钥对C、双重签名D、公共密钥答案：C176.以下关于WebShell描述错误的是?A、WebShell是一张网页B、WebShell又被成为网页后门C、利用上传的WebShell必须使用WebShell管理工具才行进行任意代码或命令执行D、WebShell通常由asp、aspx、php、jsp等Web应用程序语言进行开发答案：C177.下列哪个工具不能用于信息搜集（）A、sqlmapB、digC、nmapD、arp-scan答案：A178.以下关于中华民族精神说法错误的是（）。A、它的核心是爱国主义B、它的核心是为人民服务C、它是时代精神的依托，时代精神则是它的现实体现D、它的基本内涵是团结统一，爱好和平，勤劳勇敢与自强不息答案：B179.渗透测试中，以下哪项不是渗透测试报告中常见的内容？()A、发现的漏洞描述B、漏洞的影响程度C、渗透测试工具的使用方法D、建议的修复措施答案：C180.WEB欺骗不易被察觉，而又具有较大的危险性，长期保护的方法有A、禁止浏览器中的JavaScript功能B、确保浏览器的链接状态可见C、时刻关注点击的URL链接在浏览器状态行的正确提示D、改变浏览器，使之具有反映真实URL信息的功能答案：D181.渗透测试过程中存在的最大安全风险在于()A、透测试方法陈旧B、测试过程技术实力不过关C、测试试过程产生泄漏D、测试过程对业务产生影响答案：D182.下面哪个不属于大型网站系统的特点()A、高并发、大流量B、高可用C、海量数据D、用户分布窄，网络复杂答案：D183.国家（）部门负责统筹协调网络安全工作和相关监督管理工作。A、公安部门B、网信部门C、工业和信息化部门D、通讯管理部门答案：B184.共产党人的最高理想就是在全世界实现共产主义的社会制度。下列选项中，符合马克思、恩格斯预想的共产主义社会基本特征的是（）。A、享乐成为人们生活的第一需要B、消费资料实行“各尽所能，按劳分配”C、生产力高度发展、物质财富极大丰富D、阶级和阶级斗争仍在一定范围内存在答案：C185.用户登录需提供()，以防止固定密码暴力猜测账号A、图片验证码B、口令C、证书D、秘钥答案：A186.等级保护总共分为()个等级A、2级B、3级C、4级D、5级答案：D187.在常用的传输媒体中，带宽最宽、信号传输衰减最小、抗干扰能力最强的是()。A、双绞线B、无线信道C、同轴电缆D、光纤答案：D188.对局域网来说，网络控制的核心是()。A、工作站B、网卡C、网络服务器D、网络互连设备答案：C189.按照《网络安全法》规定，属于网络安全服务机构的有：（）A、微软B、腾讯C、安全测评机构D、阿里云答案：C190.对发生计算机安全事故和案件的计算机信息系统，如存在安全隐患的，（）应当要求限期整改A、人民法院B、公安机关C、发案单位的主管部门D、以上都可以答案：B191.关于OSPF协议的描述，错误的是()。A、对于规模很大的网络，OSPF通过划分区域不能提高路由更新收敛速度B、每一个区域OSPF拥有一个32位的区域标识符C、在一个OSPF区域内部的路由器不知道其他区域的网络拓扑D、在一个区域内的路由器数一般不超过200个答案：A192.网络运营者应当对收集用户信息建立什么制度（）A、身份真实性验证制度B、用户信息保护制度C、信息匿名化处理制度D、违法信息审查制度答案：B193.计算机网络中防火墙，在内网和外网之间构建一道保护屏障。以下关于一般防火墙说法错误的是（）。A、过滤进、出网络的数据B、管理进、出网络的访问行为C、能有效记录因特网上的活动D、对网络攻击检测和告警答案：C194.（）是防御方为了改变网络攻防博弈不对称局面而引入的一种主动防御技术，本质上是一种没有任何产品价值的安全资源，其价值体现在被探测、攻击或者攻陷的时候。A、应急响应策略B、入侵检测技术C、漏洞检测技术D、蜜罐技术答案：D195.php://filter/read=convert.base64-encode/resource=./././././etc/passwd，PHP页面存在文件包含漏洞，上述Payload可以获得哪些信息A、Linux系统中所有的用户名B、Windows系统中所有的用户名C、系统中用户组信息D、用户密码答案：A196.风险处理的衡量标准是()。A、风险减小了B、风险减小到零了C、风险被控制了D、风险被减小到可接受的程度了答案：D197.信息与网络安全应急处置工作原则是（）。A、统一领导B、分级负责C、协同作战D、以上都是答案：D198.网页文件实际上是一种()。A、声音文件B、图形文件C、图像文件D、文本文件答案：D199.被誉为“瑞士军刀”的工具是（）A、nmapB、SQLMAPC、netcatD、BurpSuite答案：C200.以下()不是杀毒软件。A、瑞星B、WordC、NortonAntivirusD、金山毒霸答案：B201.下列（）协议采用TCP协议的80号端口。A、HTTPB、TFTPC、RIPD、FTP答案：A202.有一种攻击是不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪。这种攻击叫做（）。A、重放攻击B、拒绝服务攻击C、反射攻击D、服务攻击答案：B203.网络信息安全就是要防止非法攻击和病毒的传播，保障电子信息的有效性，从具体的意义上来理解，需要保证以下()。A、保密性、完整性、可用性B、保密性、完整性、可控性C、完整性、可用性、可控性D、保密性、完整性、可用性、可控性、不可否认性答案：D204.目前Metasploit最强大和最具吸引力的核心功能是（）A、威胁建模B、情报搜集C、渗透攻击D、漏洞分析答案：C205.为保证计算机网络系统的正常运行，对机房内的三度有明确的要求，其三度是指()。A、温度、湿度和洁净度B、照明度、湿度和洁净度C、照明度、温度和湿度D、温度、照明度和洁净度答案：A206.在访问WEB站点时候，为了防止第三方截包偷看传输内容，可以采取的行动为A、将整个internet划分成Internet、intranet、可信、受限等不同区域B、在主机浏览器中加载自己的证书C、浏览站点前索要web站点的证书D、通信中使用SSL技术答案：D207.国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责（）和监督管理工作。A、网络安全B、设备安全C、信息安全D、网络安全保护答案：D208.以下哪种方法不属于僵尸网络传播过程中的手段？（）A、主动攻击漏洞B、电子邮件轰炸C、即时通信软件D、恶意网站脚本答案：B209.计算机网络中，所有的计算机都连接到一个中心节点上，一个网络节点需要传输数据，首先传输到中心节点上，然后由中心节点转发到目的节点，这种结构被称为()。A、总线结构B、环型结构C、星型结构D、网状结构答案：C210.用户A通过计算机网络给用户B发送消息，称其同意签订协议。随后，A又表示反悔，不承认发过该消息。为了避免这种情况的发生，应在网络通信中采用()。A、防火墙技术B、消息认证技术C、数据加密技术D、数字签名技术答案：D211.1949年，（）发表了题为《保密系统的通信理论》一文，为密码技术的研究奠定了理论基础，由此密码学成了一门科学。A、ShannonB、DiffieC、HellmanD、Shamir答案：A212.已定级备案的系统关键数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大，运营公司可承受的事件属于（）事件。A、一级B、二级C、三级D、四级答案：B213.以下哪种技术可用于防范跨站请求伪造攻击？()A、使用输入验证和输出编码B、强制访问控制C、实施反射型XSS过滤D、实施CSRF令牌验证答案：D214.()不是数字证书的内容。A、公开密钥B、数字签名C、证书发行机构的名称D、私有密钥答案：D215.PHPCGI远程代码执行漏洞使用哪个参数来执行任意代码()A、-s显示文件源码B、-d指定配置项C、-b启动fastCGI进程D、=-c指定php.ini文件的位置答案：B216.网络安全等级保护基本要求中的技术要求不包括下列()项。A、安全建设管理B、安全通信网络C、安全计算环境D、安全管理中心答案：A217.完整的渗透流程为：信息收集、漏洞扫描、()、获取webshell、权限提升、维持权限等。A、漏洞验证B、内网渗透C、DD0SD、缓冲区溢出答案：A218.DDoS攻击破坏了()。A、可用性B、保密性C、完整性D、真实性答案：A219.根据前述安全扫描技术的分类，现在流行的漏洞扫描工具，根据其场合分为两大类：基于网络的漏洞扫描器和基于主机的漏洞扫描器，基于主机的漏洞扫描器不具有如下哪个优点A、扫描的漏洞数量多B、价格便宜C、集中化管理D、网络流量负载小答案：B220.网络安全等级保护的核心工作是()。A、对网络信息系统划分等级，按照相应等级进行安全设计B、对网络信息系统的保护能力划分等级C、对网络信息系统按照相应等级的基本要求实施安全建设和安全运维D、对网络信息系统按照时间间隔要求实施测评答案：C221.口令破解的最好方法是（）。A、暴力破解B、组合破解C、字典攻击D、生日攻击答案：B222.PDR模型与访问控制的主要区别()。A、PDR把安全对象看作一个整体B、PDR作为系统保护的第一道防线C、PDR采用定性评估与定量评估相结合D、PDR的关键因素是人答案：A223.网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构（）或者安全检测符合要求后，方可销售或者提供。A、认证设备合格B、安全认证合格C、认证网速合格D、认证产品合格答案：B224.下列哪个不是Meterpreter的技术优势（）A、纯内存工作模式B、平台通用性C、明文传输D、易于扩展答案：C225.根据《网络安全法》的规定，国家实行网络安全（）保护制度A、结构B、行政级别C、分层D、等级答案：D226.使用SQLmap对网站的数据库进行SQL注入时带上-columns命令实现的效果时()A、列出所有表的名称B、列出所有数据库的名称C、列出指定数据库指定表中的所有字段的名称D、列出所有字段名称答案：D227.使用网络扫描有哪些功能或获取()信息A、发现存活主机、IP地址B、发现用户隐私信息C、发现主机存在的漏洞并利用D、不能发现开启的服务类型答案：A228.渗透测试中，以下哪个术语用于描述通过电子邮件或其他方式引诱用户提交敏感信息的攻击？()A、钓鱼攻击B、XSS攻击C、SQL注入攻击D、DoS攻击答案：A229.小王的手机流量不够了，经搜索发现周围有一个未设置密码的Wifi信号可以使用，遂使用之。请问，小王后续可能会()?A、被盗取手机通讯录信息B、被黑客通过wifi记录个人敏感信息C、被社工D、以上都是答案：D230.渗透测试中，以下哪个术语用于描述通过电子邮件或其他方式引诱用户提交敏感信息的攻击A、钓鱼攻击B、XSS攻击C、SQL注入攻击D、DoS攻击答案：A231.渗透测试中，以下哪个术语指的是在攻击之前没有任何关于目标系统的信息？()A、白盒测试B、灰盒测试C、黑盒测试D、威胁建模答案：C232.下面哪个不是渗透攻击的阶段之一（）A、漏洞分析阶段B、报告生成阶段C、威胁建模阶段D、漏洞复现阶段答案：D233.以下哪一项不属于XSS跨站脚本漏洞的危害（）A、钓鱼欺骗B、身份盗用C、SQL数据泄露D、网站挂马答案：C234.《网络安全法》规定哪些情况下需要实名：（）A、网络接入B、域名注册C、设备入网D、以上都是答案：D235.（）是对信息系统弱点的总称，是风险分析中最重要的一个环节A、脆弱性B、威胁C、资产D、损失答案：A236.网络安全法，对于个人信息描述错误是：（）A、任何个人和组织不得非法获取个人信息B、任何个人和组织不得非法出售个人信息C、任何个人和组织可以随意获得个人信息D、非法获取个人信息的机构将进行处罚答案：C237.“一带一路”建设的核心内容是（）。A、政策沟通、设施联通、贸易畅通、资金融通、民心相通B、协同发展、竞争有序、安全高效、合作共赢C、政治互信、经济融合、文化包容D、开放、互利、普惠、平衡答案：A238.在Web应用程序渗透测试中，以下哪个漏洞类型可能导致远程命令执行？()A、跨站脚本攻击(XSS)B、文件包含漏洞C、缓冲区溢出攻击D、XML外部实体注入(XXE)答案：B239.()可以在网上对电子文档提供发布时间的保护。A、数字签名B、数字证书C、数字时间戳D、消息摘要答案：C240.防火墙采用的最简单的技术是（）。A、安装保护卡B、隔离C、包过滤D、设置进入密码答案：C241.目前网页中最常用的两种图像文件格式为GIF和()。A、BMPB、TIFC、PSDD、JPG答案：D242.SQLserver的默认DBA账号是什么A、dministratorB、saC、rootD、SYSTEM答案：B243.下列选项中，防范网络监听最有效的方法是()。A、安装防火墙B、采用无线网络传输C、数据加密D、漏洞扫描答案：C244.常用的web攻击方法，不包括？A、利用服务器配置漏洞B、恶意代码上传下载C、构造恶意输入（SQL注入攻击、命令注入攻击、跨站脚本攻击）D、业务测试答案：D245.以下哪项不是网信部门统筹有关部门维护关键信息基础设施安全保护的措施:（）A、开展风险评估B、实施安全应急演练C、每三年进行一次风险评估D、提供应急处置技术支持答案：C246.关于网络应用模型的叙述，错误的是()。A、在P2P模型中，结点之间具有对等关系B、在客户/服务器(C/S)模型中，客户与客户之间可以直接通信C、在C/S模型中，主动发起通信的是客户，被动通信的是服务器D、在向多用户分发一个文件时，P2P模型通常比C/S模型所需的时间短答案：B247.基于网络的漏洞扫描器的组成不包括A、漏洞数据库模块B、用户配置控制模块C、发现漏洞模块D、当前活动扫描知识库答案：C248.linux下使用（）命令可以查看二进制文件中的字符串。A、catB、moreC、stringsD、tail答案：C249.对于使用HTTPReferer验证防御方法，以下哪项无法绕过()A、修改攻击者页面文件名为请求服务器地址B、修改攻击者url路径中含有请求服务器地址C、Referer字段值为空D、无Referer字段答案：C250.SMTP是基于传输层的()协议。A、TCPB、UDPC、既可以是TCP也可以是UDPD、直接使用网络层协议答案：A251.《网络安全法》维护了以下哪些利益与权益：（）A、网络空间主权B、国家安全C、社会公共利益D、以上三个都是答案：D252.网络病毒与一般病毒相比，()。A、隐蔽性强B、潜伏性强C、破坏性大D、传播性广答案：D253.以下哪种技术可用于防范配置文件泄露漏洞？()A、定期更新软件和补丁B、实施输入验证和输出编码C、对敏感配置文件进行适当的权限控制D、使用安全的会话管理机制答案：C254.在IP首部的字段中，与分片和重组无关的字段是()。A、校验和B、标识C、标志D、片偏移量答案：A255.在每天下午5点使用计算机结束时断开终端的连接属于()。A、外部终端的物理安全B、通信线的物理安全C、偷听数据D、网络地址欺骗答案：A256.日常上网过程中，下列选项，存在安全风险的行为是（）A、将电脑开机密码设置成15位强密码B、安装盗版操作系统C、在微信聊天过程中不点击任何不明链接D、不同网站使用不同的用户名和口令答案：B257.对网络系统进行渗透测试，通常是按什么顺序来进行的()A、控制阶段、侦查阶段、入侵阶段B、入侵阶段、侦查阶段、控制阶段C、侦查阶段、入侵阶段、控制阶段D、侦查阶段、控制阶段、入侵阶段答案：C258.在Web渗透测试中，以下哪项不是常见的目标之一？()A、获取管理员权限B、访问数据库服务器C、获取用户机密数据D、发送垃圾邮件答案：D259.以下哪项不是XSS漏洞利用的场景()A、盗取合法用户会话信息B、上传蠕虫C、执行script代码D、跳转到原本不可达的内网地址答案：D260.以下关于跨站脚本的说法，不正确的是A、跨站脚本攻击常见的cookie窃取方式B、跨站攻击是指入侵者在远程web页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行C、输入检查，是指对用户的输入进行检查，检查用户的输入是否符合一定规则D、可利用脚本插入实现攻击的漏洞都叫做XSS答案：D261.使用菜刀链接一句话木马发生错误时，下列检查方法最不合适的是A、马上重传一句话木马B、通过浏览器再访问，查看是否被成功解析C、查看是否填入了正确的密码D、在菜刀中查看是否选择了正确的脚本语言答案：A262.（）是一种通过不断对网络服务系统进行干扰，影响其正常的作业流程，使系统响应减慢甚至瘫痪的攻击方式。A、暴力攻击B、拒绝服务攻击C、重放攻击D、欺骗攻击答案：B263.终端服务是windows操作系统自带的，可以通过图形界面远程操纵服务器。在默认的情况下，终端服务的端口号是()。A、25B、3389C、80D、1399答案：B264.向有限的空间输入超长的字符串是（）攻击手段。A、缓冲区溢出B、网络监听C、拒绝服务D、IP欺骗答案：A265.ARP属于()协议。A、网络层B、数据链路层C、传输层D、以上都不是答案：A266.addslashes()函数不能过滤下列哪些字符A、NULLB、/C、\D、“答案：B267.在计算机病毒检测手段中，校验和法的优点是()。A、不会误报B、能识别病毒名称C、能检测出隐蔽性病毒D、能发现未知病毒答案：D268.在Web应用程序中，以下哪种漏洞可以导致会话劫持？()A、跨站脚本攻击(XSS)B、跨站请求伪造(CSRF)C、SQL注入D、配置错误答案：B269.nc工具可以监听的端口数最大是（）个A、65536B、100C、256D、9898答案：A270.病毒和木马的根本区别是A、病毒是一种可以独立存在的恶意程序，只在执行时才会起破坏作用，木马是分成服务端和控制端两部分的程序，只在控制端发出命令后才起破坏作用B、病毒是一种可以独立存在的恶意程序，只在传播时才会起破坏作用，木马是分成服务端和控制端两部分的程序，只在控制端发出命令后才起破坏作用C、病毒是一种可以跨网络运行的恶意程序，只要存在就会起破坏作用，木马是驻留在被入侵者计算机上的恶意程序，一旦驻留成功就有破坏作用D、病毒是一种自我隐藏的恶意程序，木马是不需要自我隐藏的恶意程序答案：A271.公民个人强化环境意识，更加主动地学习绿色发展理念，更加自觉地珍爱自然、亲近自然，从自身做起，从日常养成做起，节约一滴水、一度电，多种一棵树，少丢一次垃圾，增加一次绿色低碳出行，杜绝各种奢侈消费，以高度的自觉投身美丽中国建设。这些都体现了（）。A、建立良好人际关系的要求B、进行创造性实践活动的要求C、科学地对待人生境遇的要求D、大力推进生态文明建设的要求答案：D272.MetasploitFramework中，可以使用（）来枚举本地局域网中的所有活跃主机。A、dir_scannerB、empty_udpC、arp_sweepD、arp_neighbo答案：C273.IPv6地址中，正确的回环地址是()。A、::1B、1：1：1：1：1：1：1：1C、.D、.答案：A274.防火墙一般都具有网络地址转换功能（NAT），NAT允许多台计算机使用一个（）连接网络。A、Web浏览器B、IP地址C、代理服务器D、服务器名答案：B275.一句话木马，如:<%evalrequest(pass)%>中，pass代表什么A、一句话木马的连接密码B、一句话木马连接成功后的提示C、一个不可变的标志符号D、毫无意义的一个单词答案：A276.在Web渗透测试中，以下哪个工具常用于发现目标网站的隐藏目录和文件？A、DirbB、MetasploitC、NmapD、Wireshark答案：A277.如果有一个http响应中返回的状态码是404，那么说明（）A、这个页面可以正常访问B、页面不存在C、没有权限访问该页面D、服务器发生错误答案：B278.如果检测到FTP服务没有限制匿名登录，那么我们应该用（）账户入侵FTP服务A、dminB、AnonymousC、guestD、niming答案：B279.在云计算服务安全责任分配中，客户仅需要承担自身数据安全、客户端安全等相关责任；云服务商承担其他安全责任，这最有可能是（）模式。A、SaaSB、PaaSC、IaasD、不明确答案：A280.ICMP报文是被封装在()中而传输的。A、IP数据报B、TCP报文C、UDP报文D、以上都不是答案：A281.已知上级目录下的db目录包含敏感文件db.rar，以下哪个请求可以下载到该文件（）A、?download=db.rarB、?download=./db/db.rarC、?download=db/db.rarD、?download=./db/db.rar答案：B282.Linux系统下UID为0的用户拥有管理员权限，该用户的用户名默认为()A、rootB、adminC、administratorD、system答案：A283.SQLmap中–columns命令实现的效果是（）A、列出所有数据库名字B、列出所有字段名字C、列出所有表的名字D、列出指定数据库指定表中的所有字段的名字答案：B284.从安全属性对各种网络攻击进行分类，截获攻击是针对（）的攻击。A、机密性B、可用性C、完整性D、真实性答案：A285.通过非直接技术的攻击手法称为()攻击手法。A、会话劫持B、社会工程学C、特权提升D、应用层攻击答案：B286.HTTPS常用的默认端口是()A、110B、443C、80D、8080答案：B287.设置复杂的口令，并安全管理和使用口令，其最终目的是（）。A、攻击者不能非法获得口令B、规范用户操作行为C、增加攻击者破解口令的难度D、防止攻击者非法获得访问和操作权限答案：D288.在web网站的后台linux系统中，某文件的访问权限信息是“-rwxr--r--”，以下对该文件的说明中，正确的是A、文件所有者有读写和执行权限，其他用户没有读写执行权限B、文件所有者有读写和执行权限，其他用户只有读权限C、文件所有者和其他用户都有读写和执行权限D、文件所有者和其他用户都只有读和写权限答案：B289.某Web网站向CA申请了数字证书，用户登录该网站时候，通过验证CA签名，可以确认该数字证书的有效性。从而()A、向网站确认自己的身份B、获取访问网站的权限C、和网站进行双向认证D、验证该网站的真伪答案：D290.以下哪项不是渗透测试报告的典型部分?()A、已识别的漏洞列表B、在测试期间收集的所有敏感数据C、发现的每个问题的风险评级D、确定问题的缓解指导答案：B291.对网络系统进行渗透测试，通常是按什么顺序来进行的：()A、控制阶段、侦查阶段、入侵阶段B、入侵阶段、侦查阶段、控制阶段C、侦查阶段、入侵阶段、控制阶段D、侦查阶段、控制阶段、入侵阶段答案：C292.甲方和乙方采用公钥密码体制对数据文件进行加密传送，甲方用乙方的公钥加密数据文件，乙方使用()对数据文件进行解密。A、甲的公钥B、甲的私钥C、乙的公钥D、乙的私钥答案：D293.消息摘要可用于验证网络传输收到的消息是否是原始的、未被篡改的消息原文。产生消息摘要可采用的算法是()。A、哈希B、DESC、PIND、RSA答案：A294.用每一种病毒体含有的特征代码对被检测的对象进行扫描，如果发现特征代码，就表明了检测到该特征代码所代表的的病毒，这种病毒的检测方法称为()。A、比较法B、特征代码法C、行为监测法D、软件模拟法答案：B295.（）负责在突发网络安全事件时的应急处置调度指挥工作。A、线网管控中心B、党群C、监察审计部D、安全监察部答案：A296.强制性国家标准的编号前缀是()。A、GB/TB、MBC、GBD、GB/Z答案：C297.Nmap探测中-Pn参数表述作用A、进行ICMP主机探测B、不进行ICMP主机探测C、进行主机存活探测D、不进行主机存活探测答案：D298.Windows主机推荐使用()格式A、NTFSB、FAT32C、FATD、LINUX答案：A299.以下哪个法律规定了我国实行网络安全等级保护制度()A、网络安全法B、国家安全法C、保密法D、国家等级保护法答案：A300.BurpSuite是用于攻击（）的集成平台。A、WEB应用程序B、小程序C、APPD、数据库答案：A301.下列不是网站存在XSS漏洞的原因是()A、网站存在可供用户输入的交互模式B、网站对用户输入的数据未作过滤C、网站未对用户下的敏感操作进行二次校验D、网站对输出的数据未做处理答案：A302.渗透测试工具arp-scan的功能是()A、主机发现B、暴力破解C、加密解密D、发现漏洞答案：A303.VirtualPrivateNetwork的加密手段为（）。A、具有加密功能的防火墙B、具有加密功能的路由器C、VirtualPrivateNetwork内的各台主机对各自的信息进行相应的加密D、单独的加密设备答案：C304.关于反射型XSS的描述，叙述正确的是A、反射型XSS也称作持久型跨站脚本B、反射型XSS主要用于将恶意脚本附加到URL地址参数中C、反射型XSS具有很大危害，可以攻击到平台大量用户D、反射型XSS漏洞原理与存储型XSS一致答案：B305.信息通过网络进行传输的过程中,存在着被篡改的风险,为了解决这一安全隐患通常采用的安全防护技术是()。A、信息隐藏技术B、数据加密技术C、消息认证技术D、数据备份技术答案：C306.metasploit框架中列出所有渗透攻击模块的命令是()A、showpayloadsB、msfencode-lC、msfencode-aD、showexploits答案：D307.等级保护对象定级，以下哪个说法是正确的()A、机构领导决定保护对象等级B、机构根据相关标准和流程对保护对象进行定级C、公安部门决定保护对象等级D、主管部门决定保护对象等级答案：B308.以下哪部法律是我国保障网络安全的基本法()A、《国家安全法》B、《保密法》C、《治安管理处罚法》D、《中华人民共和国网络安全法》答案：D309.黑客利用IP地址进行攻击的方法有：（）。A、IP欺骗B、解密C、窃取口令D、发送病毒答案：A310.在Web渗透测试中，以下哪个工具常用于扫描目标网站的漏洞并生成报告？A、NessusB、MetasploitC、NmapD、Wireshark答案：A311.如果目标服务器开启的SSH服务，我们应该使用什么方式去登录A、只能使用用户名密码登录B、只能使用证书登录C、根据服务器设置，可以使用账号密码登录D、使用反弹Shell登录答案：C312.计算机感染病毒后，症状可能有()。A、计算机运行速度变慢B、文件长度变长C、不能执行某些文件D、以上都对答案：D313.为保障网络安全，防止外部网对内部网的侵犯，多在内部网络与外部网络之间设置（）。A、密码认证B、入侵检测C、数字签名D、防火墙答案：D314.等级保护定级对象不包括下列()项。A、基础信息网络B、信息系统C、工业控制系统D、核心服务器答案：D315.注入语句：http://xxx.xxx.xxx/abc.asp?p=YYanddb_name()>0不仅可以判断服务器后台数据库是否为SQLServer,还可以得到（）A、当前链接数据库的用户数量B、当前链接数据库的用户名C、当前正在使用的用户口令D、当前正在使用的数据库名答案：D316.社会主义核心价值体系是社会主义意识形态的本质体现，主要包括四个方面的基本内容：马克思主义指导思想、中国特色社会主义共同理想、以爱国主义为核心的民族精神和以改革创新为核心的时代精神、社会主义荣辱观。其中，社会主义荣辱观解决的是（）。A、举什么旗的问题B、遵循什么样的行为规范的问题C、走什么路、实现什么样的目标的问题D、应当具备什么样的精神状态和精神面貌的问题答案：B317.作为安全人员我们应该（）A、遵纪守法坚守道德底线B、打法律的插边球C、提高自己技术水平让别人抓不到证据D、入侵网站后不干扰其正常业务即可答案：A318.mysql-hhost-uuser-ppassword命令的含义如下，哪些是正确的A、-h后host为对方主机名或者ip地址B、-u后为数据库用户名C、-p后为密码D、以上都对答案：D319.MySQL数据库（5.5以上版本）中哪个系统数据库保存着MySQL服务器所维护的所有其他数据库的信息？（）A、sysB、performance_schemaC、mysqlD、information_schema答案：D320.在远程管理Linux服务器时，以下（）方式采用加密的数据传输A、rshB、telnetC、sshD、rlogin答案：C321.下列网络攻击方式中，（）实施的攻击不是网络钓鱼的常用手段。A、利用社会工程学B、利用虚假的电子商务网站C、利用假冒网上银行、网上证券网站D、利用蜜罐答案：D322.WAF是()有什么作用？A、web扫描B、web应用防护系统C、web流量清洗D、web流量检测答案：B323.最早的计算机网络与传统的通信网络最大的区别是()。A、计算机网络带宽和速度大大提高B、计算机网络采用了分组交换技术C、计算机网络采用了电路交换技术D、计算机网络的可靠性大大提高答案：B324.高级持续性威胁APT攻击利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式，它是一种以()目的为前提的特定攻击A、公共安全B、商业或者政治C、安全测试D、入侵检测答案：B325.在Web渗透测试中，以下哪项不是常见的目录遍历攻击的目标？()A、获取敏感文件B、执行任意命令C、访问未授权资源D、修改配置文件答案：B326.下面()是对信息完整性的正确阐述。A、信息不被篡改、假冒和伪造B、信息内容不被指定以外的人所获悉C、信息在传递过程中不被中转D、信息不被他人所接收答案：A327.渗透测试工具netdiscover的功能是()A、加密解密B、暴力破解C、主机发现D、发现漏洞答案：C328.渗透测试人员通过对目标主机进行端口扫描可直接获得()。A、目标主机的操作系统信息B、目标主机的登录口令C、目标主机的硬件设备信息D、目标主机端口的状态信息答案：D329.判断出网站的CMS对渗透的意义是以下哪一种?()A、方便联系作者获取相关漏洞信息B、查找网上已曝光的程序漏洞，若开源则通过对目标的源码进行代码审计C、学习CMS网站代码开发D、下载最新版的CMS源码，并进行审计答案：B330.关于命令执行漏洞与代码执行漏洞，描述正确的是()A、命令执行漏洞与代码执行漏洞一样B、命令执行漏洞与代码执行漏洞毫无关联C、命令执行漏洞直接调用操作系统命令，也可叫做OS命令执行D、代码执行漏洞是靠操作系统命令调用脚本代码命令答案：C331.以下属于早期静态页面遇到安全问题A、暗链B、恶意代码注入C、SQL注入D、反射型XSS答案：A332.GB/T31168《信息安全技术云计算服务安全能力要求》中，不属于对服务关闭和数据迁移的要求的是（）。A、在客户与其服务合约到期时，