网络安全竞赛试卷3
网络安全竞赛试卷3
您的姓名:
您的手机号码:
您的地市:
省分
合肥
淮北
亳州
宿州
蚌埠
阜阳
淮南
滁州
六安
马鞍山
芜湖
宣城
铜陵
池州
安庆
黄山
1、使用burp suite 的repeater重放攻击payload,状态码显示40x,意义是()?
A、payload 被重定向
B、payload攻击导致服务器内部错误
C、payload被服务器拒绝
D、payload攻击包接受后服务器返回正常响应,不一定成功
2、应使用哪一条命令来查看路由器上的防火墙状态信息?()
A、show firewall
B、show interface
C、show access-list all
D、show running-config
3、%00截断描述正确的是
A、php5.3.4版本存在漏洞
B、与php部署的操作系统无关
C、magic_quote_gpc为On
D、利用php的文件路径结束标志0x00
4、下列关于处理旧手机的说法正确的是()
A、通过个人渠道或小店高价出售
B、恢复手机之前的存储内容信息,是可以做到的
C、恢复出厂设置和删除文件就彻底删除了信息
D、对淘汰手机进行重复覆盖、复写处理可以保证内容不被恢复
5、以下哪一项不属于解析漏洞的危害?
A、盗取用户cookie
B、源代码泄露
C、网站挂马
D、权限提升
6、下列说法错误的是
A、"#"后所有的字符串都会被当成注释来处理
B、"--"(后面有个空格)后面的字符串都会被当成注释来处理
C、过滤和转义特殊字符可以预防SQL注入
D、利用MySQL的预编译机制不能预防SQL注入
7、下面关于battering_ram的说法,正确的是()。
A、这一模式是使用单一的payload组
B、它会重复payload并且一次把所有相同的payload放入指定的位置中
C、这种攻击适合那种需要在请求中把相同的输入放到多个位置的情况
D、以上说法都正确
8、区块链运用的技术不包含哪一项?
A、P2P网络
B、密码学
C、共识算法
D、大数据
9、下列哪项不是防范勒索病毒的措施?()
A、手动打开445端口
B、不随意点击不明的链接、文档、EXE等文件
C、下载勒索病毒免疫工具,对系统及时进行查杀
D、重要文件及时进行备份
10、以下哪些工具提供拦截和修改HTTP数据包的功能?
A、Burpsuite
B、Hackbar
C、sqlmap
D、Nmap
11、下哪几种工具可以进行sql注入攻击?
A、awvs
B、sqlmap
C、nmap
D、PwDump
12、以下关于TCP_SYN扫描说法正确的是
A、相对完整TCP连接,是半开放扫描
B、是一次未完成的,由一方有意中止的TCP连接
C、是一种常用的端口扫描
D、以上全部
13、改变文件所有者的命令是( )。
A、chmod
B、touch
C、chown
D、cat
14、TCP可为通信双方提供可靠的双向连接,在包过滤系统中,下面关于TCP连接描述错误的是()
A、要拒绝一个TCP时只要拒绝连接的第一个包即可。
B、TCP段中首包的ACK=0,后续包的ACK=1。
C、确认号是用来保证数据可靠传输的编号。
D、在CISCO过滤系统中,当ACK =1时,“established""关键字为T,当ACK =0时,“established""关键字为F。
15、下列哪项属于安全运维的内容?()
A、事件应急演练
B、运行指标监控
C、运行数据采集
D、以上都是
16、下列关于DVWA中sql注入漏洞-low的说明错误的是()
A、通过REQUEST方式接受传递的参数id
B、未设置任何过滤
C、存在的是字符型注入
D、数据库中只有一个表
17、url 为http://xxx.com/news.php?id=1 ,按照注入点类型来分类,可能会存在哪种类型的注入?
A、数字型注入
B、字符型注入
C、搜索型注入点
D、宽字节注入点
18、UDP 需要使用地址,来给相应的应用程序发送用户数据报()
A、端口
B、应用程序
C、因特网
D、物理
19、下列哪个攻击不在网络层()。
A、Smurf
B、Teardrop
C、IP欺诈
D、SQL注入攻击
20、关于验证码说法错误的是:
A、为了防止恶意破解密码,刷票,论坛灌水,刷页
B、可以有效防止黑客对特定注册用户特定程序进行暴力破解登陆
C、验证码通常使用一些线条和一些不规则的字符组成
D、通过手机短信发送的4位数验证码是非常安全的
21、下面上传突破说法错误的是:
A、客户端 JavaScript 可以通过 Burp 抓包修改进行上传
B、服务端 MIME 类型检测可以通过修改 Content-Type 进行上传
C、服务端文件扩展名检测可以通过服务端解析漏洞,上传其他扩展名文件进行突破
D、使用 a.asp;.jpg 对 IIS 8.0 服务器进行上传突破
22、Ping扫描是一 种()扫描。
A、网络
B、全开扫描
C、主机
D、系统
23、以下关于MariaDB的描述,不正确的是()。
A、是开放源代码
B、是一种关系数据库管理技术
C、不可替代MySQL
D、具有存储引擎
24、()是一种非持久性的攻击,它指的是恶意攻击者往Web页面里插入恶意代码
A、反射型XSS
B、存储型XSS
C、DOM型XSS
D、SQL注入
25、burp suite intruder中只针对一个position,使用一个payload set的是的攻击方法是()?
A、sniper
B、battering ram
C、pitchfork
D、cluster bomb
26、Unix系统中使用Samba服务器来实现Unix主机和Windows主机之间的共享,Samba服务器的默认安全级别是:
A、share
B、user
C、domain
D、server
27、以下哪项不是区块链目前的分类?
A、公有链
B、私有链
C、唯链
D、联盟链
28、以下哪个选项对于反射型XSS的描述是错误的?
A、可以结合CSRF来利用
B、攻击代码存储在客户端
C、攻击代码存储在服务端
D、可以劫持用户访问链接
29、下列关于命令注入说法错误的是()
A、命令注入属于高危风险,一旦发现就能对服务器进行任何操作
B、命令注入是由于不当的使用system、eval等命令导致的
C、对字符进行合理的转义可以一定程度防范命令注入
D、命令注入后攻击者可能获得整个服务器的权限。
30、sqlmap中,执行系统命令的参数是()
A、"--os-cmd"
B、"--os-shell"
C、"--os-pwn"
D、"--os-bof"
31、Why is declassification rarely chosen as an option for media reuse?
A、Purging is sufficient for sensitive data.
B、Sanitization is the preferred method of data removal.
C、It is more expensive than new media and may still fail.
D、Clearing is required first.
32、( )命令用来将当前用户转换为其它用户身份。
A、su
B、whoami
C、usermod
D、useradd
33、进阶安全运维工作包括哪些内容?()
A、网络架构分析
B、安全风险加固
C、安全演练设计
D、以上都是
34、在工控系统中,( )攻击随时可能中断生产。
A、中间人攻击
B、DDOS
C、人性式攻击
D、漏洞式攻击
35、下列关于“后门”的说法不正确的是?()
A、后门程序是绕过安全性控制而获取对程序或系统访问权的程序
B、后门程序都是黑客留下来的
C、后门程序能绕过防火墙
D、后门是一种登录系统的方法,它不仅绕过系统已有的安全设置,而且还能挫败系统上各种增强的安全设置。
36、Python中可以使用threading模块进行多线程程序的编写,一个新的线程的开启应当使用哪个函数?
A、t.join()
B、t.start_new_thread()
C、t.append()
D、t.sleep()
37、以下哪种服务可以用来发现潜在的入侵和高隐蔽性攻击,回溯攻击历史,预测即将发生的安全事件?
A、安骑士
B、Web应用防火墙
C、态势感知
D、云监控
38、数字证书的主要作用是?
A、加密大数据文件
B、验证公钥持有者身份
C、生成随机数
D、压缩传输数据
39、卫星链路的安全威胁主要是?
A、距离延迟
B、信号干扰与欺骗
C、带宽限制
D、设备重量
40、sqlmap中有着许多的绕过脚本,其中lowercase是一个很常见的tamper,它的作用是()
A、将字母转化为小写
B、使用小于号判断
C、在注入语句中加入lowercase字母
D、在每个字符中添加%
41、在信息安全防护体系设计中,保证“信息系统中数据不被非法修改、破坏、丢失等”是为了达到防护体系的()目标。
A、可用性
B、保密性
C、可控性
D、完整性
42、下列关于数字型注入和字符型注入,说法正确的是()。
A、url地址后面加and 1=1,页面显示正常,加and 1=2页面错误,这说明存在数字型注入。
B、url地址后面加'and '1'='1,页面显示正常,加'and '1'='2页面错误,这说明存在字符型注入。
C、url地址后面加and 1=1,页面显示正常,加and 1=2页面错误,这说明存在字符型注入。
D、url地址后面加'and '1'='1,页面显示正常,加'and '1'='2页面错误,这说明存在数字型注入。
43、以下哪些服务器曾被发现文件解析漏洞
A、apache
B、IIS
C、nginx
D、squid
44、与传统的网络安全防护方法相比,软件定义安全有哪些优点?
A、安全功能部署灵活简单
B、安全防护范围动态调整
C、安全功能易于创新
D、维护网络高可靠性
45、匿名 FTP 登录是 FTP 服务器的重要功能,所有使用匿名用户帐号登录 FTP 服务器的用户都可以访问服务器中发布的文件,当使用Unix系统中的vsftpd 作为 FTP 服务器时,匿名 FTP用户的用户名可以是()。
A、ftp
B、anonymous
C、public
D、nobody
46、用户准备在云计算平台上建立自己的业务系统时,需要关注哪些安全风险?
A、云平台本身的安全
B、ISV提供的应用的安全
C、用户自身的安全意识
D、硬件服务器的安全
47、某公司用vsftpd配置了一台FTP服务器,如果需要拒绝bill用户从远程通过FTP连接,则需要修改的文件为()。
A、/etc/ftpuser
B、/etc/vsftpd.ftpusers
C、/etc/vsftpd_userlist
D、/etc/vsftpd.deny
E、/etc/hosts.deny
48、下列对跨站脚本攻击(XSS)的描述不正确的有
A、XSS攻击是SQL注入攻击的一种变种
B、XSS攻击全称是Cross Site Script攻击
C、XSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求,迫使IIS连接数超出限制,当CPU资源或者带宽资源耗尽,那么网站也就被攻击垮了,从而达到攻击目的
D、XSS攻击可以分为反射型、存储型和DOM Based XSS
49、下列哪些选项是上传功能常用安全检测机制( )
A、客户端检查机制javascript验证
B、服务端MIME检查验证
C、服务端文件扩展名检查验证机制
D、URL中是否包含一些特殊标签<、>、script、alert
50、在RHEL中,用samba向windows提供共享服时,使用用户认证来保证合法访问,下列关于samba用户描述正确的是()。
A、samba用户必须是系统用户
B、可以使用smbuseradd添加samba用户
C、samba用户必须和系统用户同名
D、可以使用smbpasswd修改samba用户密码
E、samba用户必须是单独创建的用户,不能是系统用户
关闭
更多问卷
复制此问卷