网络安全 1+X测试题+参考答案

网络安全1+X测试题+参考答案一、单选题（共82题，每题1分，共82分）1.故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，将受到什么处罚()？A、警告B、拘留C、处五年以下有期徒刑或者拘役D、罚款正确答案：C2.PHP的序列化操作生成的哪种格式()？A、二进制B、TXTC、JSOND、XML正确答案：C3.TCP/IP模型分几层()？A、4B、5C、6D、7正确答案：A4.当Web服务器访问人数超过了设计访问人数上限，将可能出现的HTTP状态码是()A、200B、503C、302D、403正确答案：B5.如果在代码执行时，引号被过滤则可以使用以下哪个方式解决()A、使用ord()函数进行拼接B、使用chr()函数进行拼接C、全部使用单引号，并且并将单引号转义掉D、全部使用双引号，并且并将双引号转义掉正确答案：B6.在渗透测试过程中，“确定渗透测试的范围和目标”事项，应在()阶段完成。A、信息收集B、前期交互C、威胁建模D、渗透攻击正确答案：B7.netuser说法正确的是()A、查看系统补丁情况B、添加或修改用户账号或显示用户账号信息C、查看Mysql用户详细信息D、添加或修改mysql用户账号正确答案：B8.以下()是利用Rsync未授权访问，并实现下载的功能？A、rsyncrsync://IP/srcB、rsync-avrsync://IP/src/etc/passwd/root/passwd.txtC、rsync-avshellrsync://IP/src/var/www/html/shellD、以上命令均不正确正确答案：B9.SQLi注入漏洞不会出现在位置()A、GET参数B、CookieC、RefererD、HTTP请求报文的HOST字段正确答案：D10.以下哪个方法可以防御CSRF()？A、过滤掉可以形成html标签的<符号B、在表单页面添加token，然后后端验证改tokenC、部署云wafD、使用addslashes()函数正确答案：B11.Tomcat日志功能在哪里进行设置()？A、web.xmlB、server.xml网站目录C、tomcat-user.xml用户名和密码D、users.xml正确答案：B12.下面说法正确的是()？A、系统对业务逻辑的每一步进行身份验证有助于防止业务逻辑漏洞的产生。B、系统对业务逻辑的每一步进行日志验证有助于防止业务逻辑漏洞的产生。C、系统对业务逻辑的每一步进行数据验证有助于防止业务逻辑漏洞的产生。D、系统对业务逻辑的每一步进行权限验证有助于防止业务逻辑漏洞的产生。正确答案：C13.Kali的前身是()。A、ParrotSecurityOSB、BackBoxC、BackTrackD、BlackArch正确答案：C14.mysql数据库默认使用哪个端口()?A、1521B、3306C、3389D、1306正确答案：B15.以下哪项不是关系型数据库()?A、MysqlB、MssqlC、MongodbD、Oracle正确答案：C16.利用Redis向服务器写SSH公钥的方法，主要的实现条件是()？A、Redis具有root权限B、Redis具有写Web目录权限C、Redis没有更改默认端口D、Redis数据具有内容正确答案：A17.DVWA-CSRF-Medium的防御方法是()？A、检查referer头中是否有host头的内容B、检查请求发起的ip地址C、过滤掉了单引号D、过滤掉了双引号正确答案：A18.下列哪个超全局变量可以绕过magic_quotes_gpc过滤()A、$_SERVERB、$_SESSIONC、$_COOKIED、$_POST正确答案：A19.Kali是基于()Linux的发行版。A、DebianB、CentOSC、FedoraD、openSUSE正确答案：A20.电信诈骗识别公式中的因素不包括下列哪个()？A、无法确定人物身份B、用电话、网络、短信等沟通工具见不到真人C、隐私类D、汇款、转账要求正确答案：C21.以下说法正确的是()？A、未授权访问只发生在管理员页面B、未授权访问不可避免C、未授权访问只出现在数据库软件上D、目录列表可以通过修改配置文件彻底杜绝正确答案：D22.IEEE802.1x协议主要用来()？A、虚拟局域网管理B、流量优先级控制C、网络访问控制D、生成树管理正确答案：C23.type(1+2L*3.14)的结果是()？A、<class‘long’>B、<class‘float’>C、<class‘int’>D、<class‘str’>正确答案：B24.通过TCP序号猜测，攻击者可以实施下列哪一种攻击()。A、端口扫描攻击B、ARP欺骗攻击C、网络监听攻击D、TCP会话劫持攻击正确答案：D25.常用于过滤SQL注入的函数()A、addslashes()B、intval()C、empty()D、htmlspecialchars()正确答案：A26.数据库安全的第一道保障是()？A、网络系统的安全B、数据库管理系统层次C、数据库管理员D、操作系统的安全正确答案：A27.%00空字节代码解析漏洞说法错误的是()。A、NginxB、NginxC、图片中嵌入PHP代码然后通过访问D、Ngnix在遇到%00空字节时与后端PHP处理不一致正确答案：D28.下列哪一个不属于信息安全范畴()？A、电源安全B、运行安全C、实体安全D、人员安全正确答案：A29.屏蔽路由器型防火墙采用的技术是基于？()A、代理服务技术B、三种技术的结合C、应用网关技术D、数据包过滤技术正确答案：C30.为了提高信息搜索效率，Google搜索引擎制定了适合于自身的搜索语法，若要指定特定网站或子域名进行搜索，可以使用()关键字。A、filetype:B、Info:C、site:D、cache:正确答案：C31.Waf工作在哪个层()？A、表示层B、应用层C、会话层D、网络层正确答案：B32.typecho反序列化漏洞中，__get()函数中调用了哪个函数()？A、_applyFilterB、__getC、call_user_funcD、get正确答案：D33.下面SHELL变量名有效的是()A、trust_no_1B、_2$3C、-2-timeD、2020temp正确答案：A34.htaccess文件文件解析说法错误的()。A、htaccess叫分布式配置文件B、属于IIS服务器配置相关指令C、属于Apache服务器配置相关指令D、htaccess主要的作用有:URL重写、自定义错误页面、MIME类型配置以及访问权限控制等正确答案：B35.黑客攻击某个系统之前，首先要进行信息收集，那么通过技术手段收集如何实现？()A、通过发送加壳木马软件或者键盘记录工具B、通过查找最新的漏洞库去反查具有漏洞的主机C、攻击者通过Windows自带命令收集有利信息D、通过搜索引擎来来了解目标网络结构、关于主机更详细的信息正确答案：D36.关于redis说法错误的是()A、未授权漏洞可以免ssh钥登录B、利用未授权漏洞不能登录服务器C、redis是可能存在未授权访问漏洞D、6379是默认端口号正确答案：B37.入侵检测系统通过()发现入侵行为。A、流量收集B、权限分析C、访问控制D、特征匹配正确答案：D38.Web服务器通过CGI协议的格式，向PHP-FPM（FastCGI进程服务器）传输信息，其底层（传输层）是采用()协议完成承载？A、HTTPB、TCPC、UDPD、DNS正确答案：B39.固定会话攻击中，最关键的步骤是()？A、用户点击链接B、用户成功登陆C、攻击者修改目标用户SessionD、攻击者记录Session正确答案：C40.HTTP协议建立在以下哪一个协议的基础上()A、UDPB、TCPC、SSLD、FTP正确答案：B41.关于上传漏洞与解析漏洞，下列说法正确的是()。A、上传漏洞只关注文件名B、从某种意义上来说，两个漏洞相辅相成C、只要能成功上传就一定能成功解析D、两个漏洞没有区别正确答案：B42.关于IP提供的服务，下列哪种说法是正确的()。A、IP提供可靠的数据投递服务，因此它不能随意丢弃报文B、IP提供可靠的数据投递服务，因此数据报投递可以受到保障C、IP提供不可靠的数据投递服务，因此数据包投递不能受到保障D、IP提供不可靠的数据投递服务，因此它可以随意丢弃报文正确答案：C43.typecho反序列化漏洞中，__get()函数尝试获取哪个变量()？A、authorB、screenNameC、categoryD、name正确答案：B44.下面哪个选项用于设置cookie()？A、setcookie()函数B、$HTTP_COOKIE_VARS变量C、$_COOKIE变量D、isset()函数正确答案：A45.密码使用场景不包括下列哪个()？A、隐私类B、通讯类C、财产类D、唯一性正确答案：D46.以下关于空间搜索说法正确的是()。A、现行主流的空间搜索引擎只有shodanB、网络空间搜索的目标是网络中存在主机的相关信息，包括IP、端口等C、网络空间搜索和内容搜索普通网页没有区别D、空间搜索引擎不能搜索网络中的工控系统设备正确答案：B47.勒索病毒主要利用的是哪个系统漏洞进行网络攻击的()。A、MS17-010漏洞B、MS08-067漏洞C、MS18-051漏洞D、MS16-059漏洞正确答案：A48.CSRF是什么()？A、跨站请求伪造B、跨站脚本攻击C、注入攻击手法D、信息收集工具正确答案：A49.PHP-CGI本质是一个()A、服务应用APIB、fastCGIC、脚本语言D、fpm正确答案：A50.下列哪一项不是黑客在入侵踩点（信息搜集）阶段使用到的技术()？A、主机及系统信息收集B、使用sqlmap验证SQL注入漏洞是否存在C、IP及域名信息收集D、公开信息的合理利用及分析正确答案：B51.盗取Cookie是用做什么()？A、劫持用户会话B、固定用户会话C、钓鱼D、预测用户下一步的会话凭证正确答案：A52.执行哪个函数会生成二进制格式数据()？A、writeObjectB、readObjectC、XMLEncoderD、XMLDecoder正确答案：A53.IP数据报分片后的重组通常发生在()。A、目的主机上B、数据报经过的路由器上C、源主机和数据报经过的路由器上D、源主机上正确答案：A54.密码使用的场景通讯类不包括下列哪个()？A、QQB、微信C、陌陌D、购物账户正确答案：D55.检查数据库安全配置时，下列哪项相对而言不是常规检查项()A、数据库版本B、数据库的用户及其权限C、运行数据库的账号D、数据库中的密码是否加密保存正确答案：D56.Iptables防火墙有()个内置表。A、4B、6C、3D、5正确答案：A57.Iptables防火墙包括()和iptables外壳程序。A、Iptables表B、NetfilterC、FirewalldD、链正确答案：B58.可以将html标签输出转义的函数()A、addslashes()B、htmlspecialchars()C、strip_tags()D、htmlspecialchars_decode()正确答案：B59.和POST方法比较起来，GET方法()A、GET方法比POST方法安全B、GET方法不如POST方法快C、GET方法不如POST方法安全D、以上都不对正确答案：C60.下列哪个方法不是HTTP协议的请求方法()A、HEADB、SELECTC、PUTD、OPTIONS正确答案：B61.域名解析主要是实现域名和IP地址的映射，系统进行域名解析时，首先会查询()是否存在该域名对应IP的映射记录。A、本地Hosts文件B、本地DNS服务器C、根域名服务器D、权威域名服务器正确答案：A62.关于apache安全配置说法错误的是()A、开启杀毒软件防护B、禁止目录执行脚本程序C、网站目录禁止写入权限D、单独建立用户,以低权限运行保证服务器安全正确答案：A63.MVC设计模式是常见的web应用框架，对于V（view，视图）描述正确的是()。A、属于软件设计模式的底层基础，主要负责数据维护B、负责向用户呈现全部或部分数据C、通过软件代码控制模型和视图之间的交互D、以上选项均不正确正确答案：B64.Iptables防火墙设置默认规则的命令是()。A、iptables-FB、iptables-PC、iptables-AD、iptables-D正确答案：B65.Python导入模块方式错误的是()？A、import**B、from**import**C、import**from**D、import**as**正确答案：C66.Linux服务器安全加固说法错误的()A、防火墙配置B、安装NginxC、ssh访问策略D、系统服务优化正确答案：B67.PUT方法是用来干什么的()？A、下载文件B、查询文件C、上传文件D、删除文件正确答案：C68.()利用以太网的特点，将设备网卡设置为“混杂模式”，从而能够接受到整个以太网内的网络数据信息？A、木马程序B、缓冲区溢出攻击木马C、拒绝服务攻击D、嗅探程序正确答案：D69.下列哪条是产生文件包含漏洞的原因()？A、用户输入恶意代码B、服务器漏洞C、管理员管理不善D、文件来源过滤不严并用户可用正确答案：D70.假如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包，这时你可以使用以下哪一种类型的进攻手段()。A、拒绝服务B、缓冲区溢出C、暴力攻击D、地址欺骗正确答案：D71.FTP协议使用哪个端口传送文件数据()A、19B、22C、20D、21正确答案：C72.DVWA-CSRF-Medium的防御方法如何绕过()？A、将自己服务器的页面文件命名为为目标host头的名字B、伪造自己的ip地址C、使用注释符来绕过单引号D、使用单引号来代替双引号正确答案：A73.下面哪个命令查看Linux当前的工作路径()A、lsB、dirC、idD、pwd正确答案：D74.宽字节注入利用漏洞原理主要是基于()A、汉字编码中gbk和uft-8的不统一B、数据库对输入长度控制不严引起C、URL提交请求中的大小写没有过滤引起D、URL提交请求中的特殊符号引起正确答案：A75.下列哪一个是web容器()A、IISB、JSPC、UDPD、MD5正确答案：A76.盗取Cookie是为了做什么()？A、劫持用户会话B、DDOSC、钓鱼D、SQL注入正确答案：A77.下列哪些描述同SSL相关()。A、公钥使用户可以创建会话密钥，验证数字签名的真实性以及加密数据B、公钥使用户可以交换会话密钥，解密会话秘钥并验证数字签名的真实性C、私钥使用户可以创建数字签名，加密数据和解密会话密钥D、私钥使用户可以加密通信数据。正确答案：B78.对社工库的描述正确的是()A、社工库是社会仓库，用于存放社会应急救援物质B、社工库是将先前泄露的信息汇集、整合而成的数据库C、社工库是记录社会人员取得工程师证书的数据库D、以上说法均不正确正确答案：B79.DOM中不存在下面那种节点()A、元素节点B、文本节点C、属性节点D、逻辑节点正确答案：D80.下列关于nslookup说法错误的是哪一项()？A、nslookup是用来监测网络中DNS服务器是否可以实现域名解析的工具B、利用nslookup可以获取域名对应的ipC、与ping的区别在于，nslookup返回的结果更丰富，而且主要针对dns服务器的排错，收集dns服务器的信息D、nslookup只能在linux系统中使用正确答案：D81.理论上讲，哪种攻击方式可以破解所有密码问题()？A、万能密码B、穷举攻击C、弱口令攻击D、字典攻击正确答案：B82.下列哪些不属于代码执行函数()A、array_map()B、assert()C、system()D、eval()正确答案：C二、多选题（共18题，每题1分，共18分）1.通常，下列哪些可作为入侵检测系统的特征()。A、端口号B、IP地址C、操作指令D、数据序列正确答案：ACD2.为什么要有反序列化操作？()A、数据需要以最小的长度进行传输B、数据需要以一定格式进行传输C、数据需要以保密的形式进行传输D、需要将内存中的对象状态保存下来正确答案：BD3.下面哪些攻击方式能获取服务器权限()A、DDOS攻击B、Web攻击C、远程溢出攻击D、端口渗透攻击正确答案：BCD4.根据《网络安全法》的规定，任何个人和组织()。A、不得从事非法侵入他人网络、干扰他人网络正常功能等危害网络安全的活动B、不得提供专门用于从事侵入网络、干扰网络正常功能等危害网络安全活动的程序C、明知他人从事危害网络安全的活动的，不得为其提供技术支持D、明知他人从事危害网络安全的活动的，可以为其进行广告推广正确答案：ABC5.外部数据流与Iptables防火墙本机通信需要通过()链。A、OUTPUT链B、INPUT链C、FORWARD链D、PREROUTING链正确答案：ABD6.Web目录扫描的常见方法或工具有()A、Robots.txtB、搜索引擎C、DirbD、御剑正确答案：ABCD7.网络运营者收集、使用个人信息，应当遵循()的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。A、必要B、合法C、真实D、正当正确答案：ABD8.如何防范命令执行漏洞，以下说法正确的是？()A、对于PHP语言来说，不能完全控制的危险函数最好不要使用过滤不严或被绕过B、一定要使用系统执行命令C、在使用动态函数之后，确保使用函数是指定函数之一；D、进入执行命令函数/方法之前，变量一定要做好过滤对敏感字符进行转义正确答案：ACD9.t