红黑网络官方考级（4）天骄战队内测练习

1.以下不属于Session攻击常用防护措施的是（）

A.定期更换Session ID；B.通过URL传递隐藏参数；C.设置Http Only；D.开启透明化Session ID

2.在PHP开发中，不属于命令注入攻击的防范方法的是（）

A.尽量不要执行外部的应用程序或命令；B.对输入命令不做任何检查；C.使用安全函数处理相关参数；D.使用自定义函数或函数库实现外部应用程序或命令的功能

3.以下不属于Pyhton开发优点的是（）

A.可阅读性；B.非开源；C.可跨平台；D.可嵌入性

4.Python是一门有条理的、强大的面向对象的程序设计语言，以下对Pyhton的应用描述错误的是（）

A.Python是数据科学中最流行的语言之一；B.Python广泛应用于金融分析、量化交易领域；C.Python在网络游戏开发中也有较多应用；D.Python在各个领域中的应用不可替代。

5.在信息安全中密码至关重要，以下对密码的描述中错误的是（）

A.用户名密码是用户身份认证的关键因素；B.密码是保护服务器和用户敏感数据的关键因素；C.密码明文直接存储十分安全；D.弱口令密码易被破解

6.以下不属于文件上传漏洞的防范措施的是（）

A.使用固定数改写文件名和文件路径；B.对上传文件类型进行检查；C.将文件上传目录设置为不可执行；D.单独设置文件服务器的域名

7.软件安全性测试包括程序、网络、数据库安全性测试。以下关于软件安全测试的描述，错误的是（）

A.狭义的软件安全测试是执行安全测试用例的过程；B.广义的软件安全测试是所有关于安全性测试的活动；C.软件安全测试的对象只包括代码；D.软件安全测试与传统软件测试的测试用例不相同

8.以下属于常用的安全测试的方法的是（）

A.黑盒测试；B.白盒测试；C.灰盒测试；D.以上都是

9.PDCA循环的含义是将质量管理分为四个阶段，即计划（plan）、执行（do）、检查（check）、处理（Act）。以下不属于PDCA循环特点的选项是（）

A.开环系统，运行一次；B.顺序进行，循环运转；C.大环套小环，小环保大环，相互制约，相互补充；D.不断前进，不断提高

10.渗透测试通过以下哪种方法来评估系统的安全状况（）

A.模拟恶意黑客攻击；B.模拟用户正常操作；C.更新系统代码；D.以上都不正确

11.以下属于渗透测试的测试对象的是（）

A.操作系统；B.应用系统；C.网络设备；D.以上都是

12.最终安全审查的流程包括（）

A.评估资源可用性；B.确定合格的特征评估发现者的漏洞；C.评估和制定修复计划；D.以上都是

13.在Web应用系统中，数据层主要负责对数据的操作，以下属于数据层操作的是（）

A.对数据的读取；B.对数据的增加；C.对数据的修改；D.以上都是

14.以下关于WAF产品功能的描述中，不正确的是（）

A.WAF可以阻止非授权访问的攻击者窃取客户端或者网站上含有敏感信息的文件；B.WAF产品应该具备针对应用层DOS攻击的防护能力；C.基于URL的应用层访问控制和HTTP请求的合规性检查，都属于WAF的应用合规功能；D.WAF的应用交付能力可以完全保障用户的敏感信息的安全

15.近年来，随着云计算、大数据技术逐渐应用到安全领域，基于软件即服务（Software-as-a-service，SaaS）模式的Web 应用安全监测十分具有市场潜力，通常情况下的SaaS软件主要应用于哪些企业管理软件？（）

A.客户关系管理；B.人力资源管理；C.供应链管理；D.以上都是

16.Web网页就是万维网上的一个按照HTML格式组织起来的文件。当访问Web网站的某个页面资源不存在时，HTTP服务器发回的响应状态代码是（）

A.200；B.500；C.401；D.404

17.在接收到HTTP请求报文后，服务器会返回一个HTTP响应报文，HTTP响应报文由三部分组成。不属于HTTP响应报文的组成部分的是（）

A.状态行；B.响应头；C.响应实体；D.主机登录密码

18.HTTP是超文本传输协议，是为了提供一种发布和接收HTML页面的方法。HTTP服务默认TCP端口号是（）

A.80；B.21；C.23；D.25

19.HTTP报文分为请求报文和响应报文两种，HTTP请求报文的组成部分不包含（）

A.请求行；B.开放端口；C.请求实体；D.请求头

20.HTTP请求是指从客户端到服务器端的请求消息。下列选项中不是HTTP请求方法的是（）

A.BODY ；B.POST；C.HEAD；D.GET

21.HTTP消息（HTTP HEADER）又称HTTP头，包括请求头等四部分。请求头只出现在HTTP请求中，请求头允许客户端向服务器端传递请求的附加信息以及客户端自身的信息，常用的HTTP请求报头不包括（）

A.Line；B.Cookie；C.Accept；D.Host

22.HTTP访问控制主要针对网络层的访问控制，通过配置面向对象的通用包过滤规则实现控制域名以外的访问行为。以下属于具体访问控制的是（）

A.对访问者访问的URL的控制，允许或不允许访问设定的URL对象；B.对访问者的HTTP方法的控制，允许或不允许设定的HTTP方法访问；C.对访问者的IP的控制，允许或不允许设定的IP对象访问；D.以上都是

23.Web应用程序设计普遍采用三层架构，这三层架构不包含（）

A.业务表示层；B.数据访问层；C.物理层；D.逻辑层

24.一般情况下，以下属于SQL注入攻击特点的是（）

A.普遍性；B.隐蔽性；C.危害性；D.以上都是

25.SQL注入攻击方式有很多种，但本质上都是由SQL语言的属性来决定的。下列不属于SQL注入攻击的攻击方式的是（）

A.重言式攻击；B.非法或逻辑错误查询攻击；C.联合查询攻击；D.社会工程学攻击

26.在开发一个新Web应用系统时，最好采用安全的程序设计方法，以避免或减少SQL注入漏洞。下列属于避免SQL注入漏洞的程序设计是（）

A.使用存储过程；B.使用抽象层；C.处理敏感数据；D.以上都是

27.跨站请求伪造（Cross-Site Request Forgery，CSRF）是一种对网站的恶意利用。以下属于跨站请求伪造攻击的必要条件的是（）

A.浏览器自动发送标识用户对话的信息而无须用户干预；B.攻击者对Web 应用程序URL的了解；C.浏览器可以访问应用程序的会话管理信息；D.以上都是

28.关于Web应用防火墙，目前防御 CSRF 攻击的三种策略不包括（）

A.取消 HTTP Refresh字段的验证；B.验证 HTTP Referer字段；C.在请求地址中添加token并验证；D.在 HTTP头中自定义属性并验证

29.网络爬虫按照系统结构和实现技术，大致可以分为多种类型，以下属于爬虫分类的是（）

A.通用网络爬虫；B.聚焦网络爬虫；C.增量式网络爬虫；D.以上都是

30.目前网络爬虫的检测手段多种多样，往往需要综合利用，提高检测的准确率。下列属于网络爬虫的检测手段的是（）

A.检测HTTP User-Agent报头；B.检查HTTP Referer报头；C.检测客户端IP；D.以上都是

31.攻击者对Web服务器进行攻击的时候，首先通过各种渠道获取Web服务器的各种信息，尤其是Web服务器的各种敏感信息。常见敏感信息泄露方式不包括（）

A.Banner收集；B.源码泄漏；C.处理敏感信息不当；D.正常信息页面显示

32.关于Web应用防火墙，Web服务器防范敏感信息泄露的方式不包括（）

A.不采取认证措施；B.关键词检测；C.严格控制服务器的写访问权限；D.对IIS 目录采用严格的访问策略

33.长期以来，弱密码一直是各项安全检查、风险评估报告中最常见的高风险安全问题，成为攻击者控制系统的主要途径。弱口令漏洞有三大特点不包括（）

A.危害大；B.难猜测；C.修补难；D.易利用

34.网页篡改通过恶意破坏或更改网页内容导致网站无法正常工作。关于Web应用防火墙，攻击者常用的网页篡改方法不包括（）

A.社会工程学；B.在Web页面中插入HTML代码；C.控制DNS服务器；D.ARP攻击

35.网页防篡改系统对网页文件提供实时动态保护，对未经授权的非法访问行为一律进行拦截，防止非法人员篡改、删除受保护的文件，确保网页文件的完整性。一般网页防篡改措施的过程不包括（）

A.给正常文件颁发通行证；B.检测和防护SQL注入攻击；C.检测网络带宽；D.检测和防护DNS攻击

36.DDos攻击将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。关于DDoS的攻击现象一般不包括（）

A.被攻击主机上有大量等待的TCP连接；B.网络中充斥着大量的无用的数据包；C.源地址为假，制造高流量无用数据，造成网络拥塞，使目标主机无法正常和外界通讯；D.用户访问无网络延时，正常访问Web服务

37.关于DDoS攻击防范策略不包括（）

A.通过合理的配置系统，达到资源最优化和利用最大化；B.限制内网用户访问；C.通过加固TCP/IP协议栈来防范DDoS攻击；D.通过防火墙、路由器等过滤网关，有效地探测攻击类型并阻击攻击

38.Linux系统中通过编辑（）文件，可以修改密码设置，如密码设置最长有效期等。

A.Passwd；B.profile；C.login.defs；D.init.d

39.威胁情报的出现将网络空间安全防御从传统被动式防御转移到主动式防御里。传统情报应具备准确性、针对性和及时性等特征，以下不属于安全威胁情报的基本特征的是（）

A.时效性；B.相关性；C.模糊性；D.可操作性

40.威胁情报的用途多种多样，除去攻击检测方面的价值外，实际上威胁情报的使用场景更加广泛。下列不属于威胁情报的用途的是（）

A.安全体系建设与完善；B.攻击检测和防御；C.安全部门汇报；D.安全分析及事件响应

41.下列概念不属于WAF为解决Web安全问题而遵循的是（）

A.重塑网站边界；B.智能化防护理念；C.开放服务端口；D.纵深防御体系

42.以下属于网站敏感信息泄露的主要原因是（）

A.网站信息繁多；B.黑客攻击水平高；C.黑客数量多；D.以上都是

43.下列不属于常见的服务器端脚本程序的是（）

A.ASP；B.JSP；C.PHP；D.HTML

44.Web服务器可以解析各种动态语言，让动态语言生成的程序最终能显示在浏览的页面上。下列不属于常见的Web服务器的是（）

A.Microsoft IIS；B.Apple；C.Apache；D.Nginx

45.以下属于2019年OWASP十大安全漏洞的是（）

A.SQL注入；B.XSS漏洞；C.敏感信息泄露；D.以上都是

46.网络环境下的信息安全体系是保证信息安全的关键。以下不属于常用的信息安全技术的是（）

A.DNS系统；B.防火墙系统；C.入侵防护系统（PS）；D.访问控制系统

47.防火墙是一种位于内部网络与外部网络之间的网络安全系统。以下不属于防火墙作用的是（）

A.隔离不同信任级别网络；B.保护内部网络；C.数据备份；D.限制内部用户访问特殊站点

48.软件开发生命周期的思想方法是按什么分程的（）

A.时间；B.状态；C.空间；D.完成度

49.近十几年来，信息系统作为一个专门领域迅速形成和发展。以下不属于构成信息系统核心要素的是（）

A.人；B.漏洞；C.技术；D.组织

50.信息系统是以信息为系统核心因素而构成的为人类服务的一类重要工具。以下关于信息系统功能的说法，错误的是（）

A.信息系统中信息处理一般包括信息的输入、存储、处理、输出和控制；B.企业信息系统可以将基础信息处理成对企业生产经营和管理有用的信息；C.信息系统中，信息加工的方法一般是基于数据仓库技术的联机分析处理和数据挖掘技术；D.企业信息系统的业务处理只有联机事务处理一种类型

更多问卷复制此问卷