网络安全竞赛试卷2
网络安全竞赛试卷2
您的姓名:
您的手机号码:
您的地市:
省分
合肥
淮北
亳州
宿州
蚌埠
阜阳
淮南
滁州
六安
马鞍山
芜湖
宣城
铜陵
池州
安庆
黄山
1、关于Wifi攻击,以下哪些做法能让保护我们的密码不被泄露?
A、PR攻击+网卡混杂模式监听
B、DNS被修改,劫持至钓鱼网站
C、蹭网卡强行共享他人Wifi,截取无线数据
D、关闭AP QoS功能
2、安全工具( )主要用于检测网络中主机的漏洞和弱点,并能给出针对性的安全性建议。
A、NMAP
B、Nessus
C、EtterCAP
D、WireShark
3、下列关于DVWA中sql注入漏洞-medium的说明错误的是()
A、前端页面设置了下拉选择表单
B、利用mysql_real_escape_string函数对特殊符号\x00,\n,\r,,’,”,\x1a进行转义
C、可以通过抓包改参数,提交恶意构造的查询参数
D、存在字符型注入
4、如果在某大型公司本地与异地分公司之间建立一个VPN连接,应该建立的VPN类型是()。
A、内部VPN
B、外部VPN
C、外联网VPN
D、远程VPN
5、黑客扫描某台服务器,发现服务器开放了4489、80、22等端口,telnet连接22端口,返回Servu信息,猜测此台服务器安装了哪种类型操作系统。
A、Windows操作系统
B、Linux操作系统
C、UNIX操作系统
D、Mac OS 操作系统
6、黑客通过以下哪种攻击方式,可能大批量获取网站注册用户的身份信息 ( )
A、越权
B、CSRF
C、SQL注入
D、以上都可以
7、常规端口扫描和半开式扫描的区别是?
A、没什么区别
B、没有完成三次握手,缺少ACK过程
C、半开式采用UDP方式扫描
D、扫描准确性不一样
8、关于黑客的主要攻击手段,以下描述不正确的是:
A、包括社会工程学攻击
B、包括暴力破解攻击
C、直接渗透攻击
D、盗窃系统资料
9、等级保护有几个安全保护级别?()
A、3个
B、4个
C、5个
D、6个
10、使用Burp抓包实验0x00截断时,下面做法可以完成绕过的是:
A、直接在抓的包中修改 filename 部分,将可以上传的扩展名前面加空格拼接到文件后面
B、直接在抓的包中修改 Content-Type
C、在 Burp 抓的包中选择 Hex(十六进制),修改符合条件的后缀名前面点的十六进制为 00
D、直接在抓的包中修改 filename 部分,将可以上传的扩展名前面加00拼接到文件后面
11、Python中的Socket模块里,用于发送UDP数据的是什么函数?
A、s.send()
B、s.recv()
C、s.sendall()
D、s.sendto()
12、下列方法()不能有效地防止SQL注入。
A、使用参数化方式进行查询
B、检查用户输入有效性
C、对用户输入进行过滤
D、对用户输出进行处理
13、开展安全基线核查可实现的目的不包括()?
A、确保信息系统数据库满足相关配置要求
B、降低系统和组件本身存在的脆弱性
C、满足等保的要求
D、发现OS(操作系统)中存在的系统漏洞
14、启动php安全模式后,下列哪个代码无法正常执行?
A、<?php echo “Hello World”; ?>
B、<?php phpinfo()?>
C、<?php system('whoami')?;>
D、<?phpinfo();?>
15、在SELECT语句中,()子句不能使用集合函数。
A、select
B、where
C、order by
D、having
16、下列哪项属于常规运维的内容?()
A、运行日志分析
B、安全事件监控
C、安全日志分析
D、以上都是
17、SQL注入攻击,针对的是以下哪种应用
A、Web应用
B、Email应用
C、FTP应用
D、Telnet应用
18、存储型XSS的特点是( )。
A、属于持久性XSS
B、属于非持久型XSS
C、通过修改页面的DOM节点形成
D、XSS脚本未发送至服务器端
19、下列漏洞中,哪些不属于注入漏洞?
A、命令执行
B、XSS
C、敏感信息泄漏
D、sql注入
20、S/Key口令是一种一次性口令生产方案,它可以对抗()
A、恶意代码木马攻击
B、拒绝服务攻击
C、协议分析攻击
D、重放攻击
21、以下哪些不是laaS提供的资源?
A、计算资源
B、存储资源
C、网络资源
D、开发环境
22、Windows操作系统下的ping命令,使用的是()协议。
A、UDP
B、ARP
C、ICMP
D、FTP
23、关于配置核查修复建议的说法,以下错误的是?()
A、在检查结果报表中,可以查看每个检查项对应的检查规则
B、在检查结果报表中,可以查看到每个检查项对应的加固配置方法
C、只要完全按照加固配置方法,即可修复对应漏洞
D、加固方法中的详细要求与对应检查脚本所采取的标准有关
24、以下哪些不是PaaS提供的服务?
A、软件开发环境
B、安全的沙盒工作环境
C、应用程序监控
D、软件计费使用
25、metasploit中,搜索cve2019-0708的指令是()?
A、find cve2019-0708
B、search cve2019-0708
C、show cve 2019-0708
D、search cve:2019-0708
26、Docker提供了丰富的命令集,与容器相关的是
A、login
B、images
C、rename
D、history
27、对于单次SQL注入最可能会用到下列哪组字符?
A、双引号
B、单引号
C、"#"
D、"--"
28、不属于WAF使用的攻击检测防护技术的是
A、包过滤技术
B、增强的输入验证
C、cookies保护
D、信息泄露保护
29、以下哪种工具可以进行SQL注入攻击
A、sqlmap
B、nmap
C、pwdump
D、burpsuit
30、vsftpd服务器中支持匿名用户、本地用户和虚拟用户3类用户帐号,下列关于3类用户描述正确的是()。
A、虚拟帐户首先是系统帐户
B、vsftpd默认不允许匿名用户登陆
C、所有虚拟用户具有相同的访问权限
D、虚拟用户使用pam认证
31、使用IE浏览器浏览网页时,出于安全方面的考虑,需要禁止执行JavaSCript,可以在IE中()。
A、禁用ACtiveX控件
B、禁用Cookie
C、禁用没有标记为安全的ACtiveX控件
D、禁用脚本
32、下面通配符可匹配多个任意字符的通配符是()。
A、*
B、?
C、[abcde]
D、[!a-e]
33、下列关于floor报错注入说法错误的是
A、也叫group报错注入
B、rand()用于产生1~100的随机数
C、floor() 返回小于等于该值的最大整数
D、floor()报错注入实际上就是floor,count,group by冲突报错
34、以下哪个是导致SQL注入的常见原因?
A、不安全的数据库配置
B、不当的错误处理
C、转义字符处理不合适
D、以上都是
35、下列关于DVWA中sql盲注漏洞-low的说明错误的是()
A、Low级别的代码对参数id有检查、过滤
B、存在字符型的盲注
C、数据库长度为4
D、数据库名dvwa
36、数据库中超级账户不能被锁定,其中Oracle的是(),mysql的是(),SQLServer的是:()。
A、sa,root,sys
B、admin,root,sa
C、sys,root,sa
D、sys,admin,sa
37、以下哪种符号在SQL注入攻击中经常用到?
A、$_
B、1.0
C、@
D、;
38、路由器对于接入权限控制,包括:
A、根据用户账号划分使用权限
B、根据用户接口划分使用权限
C、禁止使用匿名账号
D、以上都是
39、以下对TCP和UDP协议区别的描述,哪个是正确的
A、UDP用于帮助IP确保数据传输,而TCP无法实现
B、UDP提供了一种传输不可靠的服务,主要用于可靠性高的局域网中,TCP的功能与之相反
C、TCP提供了一种传输不可靠的服务,主要用于可靠性高的局域网中,UDP的功能与之相反
D、以上说法都错误
40、攻击者常见信息收集手段有?()
A、子域名爆破
B、端口扫描
C、Google Hacking
D、以上都是
41、反射型XSS的特点是( )。
A、属于持久型XSS
B、属于非持久型XSS
C、通过修改页面的DOM节点形成
D、XSS脚本存储在数据库中
42、哪些函数是PHP代码注入漏洞的敏感函数?
A、create_function
B、assert
C、preg_replace+\e
D、eval
43、IT系统的风控构成按照等保的划分维度,包括哪几个?
A、物理和环境安全
B、网络和通信安全
C、设备和计算安全
D、应用和数据安全
44、以下什么情况下可以实现cookie注入?
A、服务器端对GET、POST提交方式进行了过滤,但是对Cookie的数据没有进行过滤。
B、服务器端是使用Request方式获取客户端提交的数据的。
C、服务器端对GET、POST提交方式进行了过滤,同时对Cookie的数据进行过滤。
D、服务器端没有使用Request方式获取客户端提交的数据。
45、配置Unix系统的vsftpd为FTP服务器,如果仅允许少数用户访问FTP服务器,则需要下列必要的操作()。
A、在/etc/vsftpd.ftpuser中记录这些用户
B、在/etc/vsftpd.user_list中记录这些用户
C、在/etc/vsftpd/vsftpd.conf中设置:userlist_deny=NO
D、在/etc/vsftpd/vsftpd.conf中设置:userlist_deny=YES
E、在PAM认证模块中记录这些用户
46、以下属于弱口令是()
A、z5masdasd6345f
B、23456.0
C、CCAA
D、sdfsdf
47、针对暴力破解攻击,网站后台常用的()作为安全防护措施。
A、拒绝多次错误登录请求
B、修改默认的后台用户名
C、检测cookie referer的值
D、过滤特殊字符串
48、以下哪些是常见的PHP“ 一句话木马” ? ()
A、?php assert ($_POST(value));?>
B、<%execute(request("value"))%>
C、<?php @eval ($_POST(value)):?>
D、<%if(request.getParameter("!")!=null)(newjavio.FileOutputStream(application.getRealPath("\\") + request.getParmeter("!"))).write (request.getParameter("t").getByte())):%>
49、TCP端口connect扫描的缺点是什么
A、扫描的时间较长
B、容易被目标主机发现
C、实现复杂
D、只能用于Linux系统
50、使用二维码的注意事项有哪些?
A、选择信誉度比较高的正规商户
B、谨防“山寨”应用软件
C、不要乱扫未知的二维码
D、自己的付款二维码不可以随便出示
关闭
更多问卷
复制此问卷