第一期网络安全应用检测人员安全培训课程-试题A卷.docx

《第一期网络安全应用检测人员安全培训课程-试题A卷.docx》由会员分享，可在线阅读，更多相关《第一期网络安全应用检测人员安全培训课程-试题A卷.docx（15页珍藏版）》请在第一文库网上搜索。

1、第一期网络安全应用检测人员安全培训课程试题A卷答题时间为50分钟，50道选择题。请自行安排好时间，在50分钟内作答。所有人请于12月8日前完成。1、以下扫描工具中，专业的WEB扫描软件是？（）单选题*A、Cisco Auditing ToolsB、Internet Security ScannerC、Acunetix Web Vulnerability（正确答案）D、ISS Database Scanner2、下列的sqlmap命令中，哪条命令可判断注入点的权限为DBA权限？（）单选题*A、sqlmap.py -u -D DBB、sqlmap.py -u -os-shellC、sqlmap.p

2、y -u HM -current-userD、sqlmap.py-u一is-dba（正确答案）3、中华人民共和国网络安全法是多久开始施行的？（）|单选题*A、2018年6月30日B、2017年7月30日C、2017年6月1日:正确答案）D、2018年7月1日4、一下哪种漏洞不能借助web扫描软件来发现？（）单选题*A、XSSB、SQL SAc、弱口令D、越权访问（正确答案）5、htmlspecialchars（）函数的作用是把预定义的字符转换为HTML实体，其中预定义的字符不包括下面哪个字符？（）单选题*A、（双引号）”B、（小于号）C、（和号）&D、（冒号）:（正确答案）6、burpsuit

3、e抓到的数据包不包括（）单选题*A、IP或域名B、端口C、状态码D、MAC地址（正确答案）7、哪个是test.orz的子域名（）单选题*A、test.orz. 1B、Btest.orz（正确答案）C、test.orz.1.2D、Ltest.org8、wireshark可以（）单选题*A、修改数据包B、重放数据包C、查看数据帧正确答案）D、爬取网站目录9、哪个地址与123.4同C段()单选题*A、11.2.3.4B、1.22.3.4C、1.2.33.4D、123.44(正确答案)10、哪项不是Content-Type的图片格式()单选题*A、image/gifB、image/pngC、image

4、/jpegD、image/pic(正确答案)11、以下哪个选项不是SQL盲注类型()单选题*A、延时B、报错C、布尔D、联合查询正确答案)12 .以下SQL盲注语法中哪一个正确且可以通过它来判断数据库名称()单选题*A、and (length(database()10B、and (ascii(substr(database()/)vl26(正确答案)C、and (substr(database(), 1,1 )10013 .以下哪一个HTTP请求头可以伪造IP ()单选题*A、User-AgentB、CookieC、X-Forwarded-For（正确答案）D、Host14 .以下关于二次注入

5、的概述不正确的是（）单选题*A、二次注入执行了两个SQL语句B、二次注入是指已存储（数据库、文件）的用户输入被读取后再次进入到SQL查询语句中导致的注入C、普通注入数据直接进入到SQL查询中，而二次注入则是输入数据经处理后存储，取出后，再次进入到SQL查询。D、当网站对特殊字符进行转义后就不能进行二次注入 确答案）15 .以下关于跨站脚本攻击的概述不正确的是（）单选题*A、反射型XSS不需要与用户交互即可完成攻击;确答案）B、XSS是一种客户端代码注入攻击C、在部分情况下，由于输入的限制，注入的恶意脚本比较短。但可以通过引入外部的脚本，并由浏览器执行，来完成比较复杂的攻击策略。D、XSS可能造

6、成拒绝服务攻击。16 .HTTPS基于哪个端口（）单选题*A、39B、445C、443（正确答案）D、 808017 .传输层保护的网络采用的主要技术是建立在（）基础上的。单选题求A、可靠的传输服务，安全套接字层SSL协议（正确答案）B、不可靠的传输服务，S-HTTP协议C、可靠的传输服务，S-HTTP协议D、不可靠的传输服务，安全套接字层SSL协议18 .HTTP响应由状态行、（）、空行和响应正文四部分组成。单选题*A、请求头部B、消息头部（正确答案）C、方法符号D、状态代码19 .由于公司的需要，我们需要对服务器配置HTTPS,应该按照怎样的顺序进行配置（）1）在IIS-WEB服务器上安装

7、证书,使该站点变为SSL站点2）用户用https协议实现web数据的安全浏览3）win2008 web服务器申请证书4）证书服务器审查颁发证书5）web服务器下载颁发的证书单选题*A、12345B、 24315C、 52431D、34512（正确答案）20.目录扫描获取的信息取决于（）单选题求A、字典正确答案）B、漏洞C、端口D、IP21、关于SQL的说法，以下错误的是：（）单选题*A、SQL是由美国国家标准局（ANSI）通过的数据库语言美国标准B、SQL是数据库脚本文件的扩展名C、SQL可用于读取、更新、增加或删除数据库中保存的信息D、SQL可以执行编译后代码，编译可以达到加密和优化代码运行

8、，使查询运行更快正确答案）22、以下阐述中，属于SQL注入产生原因的是：（）不当的类型处理不安全的数据库配置合理的查询集处理不当的错误处理转义字符处理不合适多个提交处理不当单选题*A、B、C、D、（正确答案）23、对SQL注入漏洞来说，以下哪个符号的安全威胁最大，需要在数据输入时进行数据过滤？（）单选题*A、B、.（正确答案）C、-=D、十24、以下哪种符号在SQL注入攻击中经常用到？（）单选题*A、$_B、1c、D、；（正确答案）25、相对于手工注入，使用注入工具的好处有：（）灵活性好不用反复写入SQL语句提高效率、准确率可以大批量测试SQL注入|单选题| *A、B、C、（正确答案）D、26

9、、XSS攻击的危害不包括下面哪一条？（）单选题*A、盗取用户CookieB、网站挂马C、读取任意系统文件（正确答案）D、钓鱼攻击27、以下属于逻辑漏洞的是（）任意密码重置短信轰炸交易支付金额修改跨站请求伪造越权访问单选题*A、B、C、D、（正确答案）28 .下面哪一项不是XSS危害（）|单选题I*A、访问用户浏览器历史和剪贴板内容。B、劫持流量C、身份盗窃D、执行用户系统命令确答案）29 .当你访问刚部署的网站，发现通过在URL路径上输入/文件夹/,发现可看到网站的目录结构等信息,即是目录遍历。那么最优先解决这个问题的方法是（）【单选题*A、编辑目录浏览模块正确答案）B、编辑错误页面设置C、更

10、改删除目录结构D、更改网站代码30、关于SQLMap,以下说法错误的是：（）单选题*A、完全支持 MySQL、Oraclex PostgreSQL、Microsoft SQL Server 等多种数据库管理系统B、支持自动识别密码哈希格式并通过字典破解密码哈希C、不能通过SQL注入点直接连接数据库正确答案）D、SQLM叩是由Python编写的一个自动化SQL注入工具31、下面哪些属于SQL注入漏洞的危害？（）*A、可获取到服务器管理员权限正确答案）B、可造成数据库信息泄露（正确答案）C、可探测服务器端口开放情况D、可造成DDOS攻击32、找网站物理路径的思路有哪些？（）*A、找网站的报错信息（

11、正确答案）B、找网站的源码包C、找网站的测试文件（正确答案）D、找网站的开发人员正确答案）33、威胁网络安全的主要因素有哪些？（）*A、自然灾害B、意外事故C、计算机犯罪（正确答案）D、“黑客”行为（正确答案）34、burpsuite有哪些模块（）*A、proxy（正确答案）B、intruder（正确答案）C、repeater（正确答案）D、decoder（正确答案）35、wireshark拦截的数据包包含OSI七层模型的哪些层（）*A、物理层正确答案）B、应用层（正确答案）C、网络层（正确答案）D、控制层36、OWASP Top 1（） 2017不包括下面哪几条？ （AK） *A、功能级访问

12、控制缺失（正确答案）B、跨站脚本（XSS）C、注入D、使用含有已知漏洞的组件E、敏感信息泄露F、不足的日志记录和监控G、不安全的反序列化H、安全配置错误I、失效的访问控制J、XML外部实体（XXE）K、不安全的直接对象引用正确答案）L、失效的身份认证37、以下哪几种字符集是宽字节编码（）*A、ASCIIB、GB2312（正确答案）C、GBK（正确答案）D、UTF8：正确答案）38、一下属于安全设备的是（）*A、交换机B、路由器C、防火墙正确答案）D、1DS/IPS（正确答案）39、一般我们通过网页后缀来判断网站是否使用了 struts2框架，那么以下哪几种属于struts2框架后缀（）*A、.

13、action（正确答案）B、jspxc、do（正确答案）D、.jsp40、以下哪几种字符集是宽字节编码（）*A、ASCIIB、GB2312（正确答案）C、GBK（正确答案）D、UTF8：正确答案）41、XSS类型有哪几种（）*A、反射型:正确答案）B、存储型正确答案）C、DOM型（正确答案）D、缓存型42、以下关于struts2漏洞描述正确的是（）*A、struts2大部分漏洞的主要产生原因是OGNL表达式的问题（正确答案）B、struts2有些漏洞危害巨大，可以直接执行系统命令，造成系统被控制（正确答案）C、struts2漏洞可以直接获取数据库权限，造成数据库数据泄露D、及时更新struts2能有效防御（正确答案）43、以下关于HTTP和HTTPS描述错误的是（）*A、HTTPS协议需要到CA申请证书。B、HTTP协议是无状态的，无连接的。C、HTTP和HTTPS使用的是同种连接方式，但是HTTPS通过加密。（正确答案）D、在OSI网络模型中，HTTP和HTTPS者5工作于应用层。（正确答案）E、HTTPS协议握手阶段比较费时，会使页面的加载时间延长近。F、HTTPS是绝对安全的，因为它对数据进行加密。（王确答案）44、HTTP状态码对应的解释。正确的是（）*A、100s ：指示信息表示请求已接收，不继续处理B、200s ：成功表示请求已被成功接收、理解、接受 确答案）C、30