文档介绍：该【1+x网络安全评估测试题与参考答案 】是由【1660287****】上传分享，文档一共【26】页，该文档可以免费在线阅读，需要了解更多关于【1+x网络安全评估测试题与参考答案 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。1+x网络安全评估测试题与参考答案
一、单选题（共67题，每题1分，共67分）
. httponly可以防御什么?
A、Js代码获取cookie
B、Js代码获取网页内容
C、会话凭证预测
D、中间人攻击
正确答案：A
.《网络安全法》规定，网络运营者应当制定（），及时处置系统漏 洞计算机病毒网络攻击网络侵入等安全风险。
A、网络安全事件应急预案
B、网站安全规章制度
C、网络安全事件应急演练方案
D、网络安全事件补救措施
正确答案：A
.下面说法正确的是？
A、在输入和输出处都要过滤xss攻击
B、htm I spec i a I chars （）可以完全杜绝xss攻击
C、使用防止sql注入的函数也可以防御xss
D、只需要在输入处过滤xss就可以了
正确答案：A
.电信诈骗的特点不包括下列哪个？
A、犯罪活动的蔓延性比较大，发展很迅速
B、形式集团化，反侦查能力非常强
C、微信
D、诈骗手段翻新速度很快
正确答案：C
. D0M中不存在下面那种节点
A \兀素点
A、网络层
B、物理层
C、链路层
D、传输层
正确答案：A
.密码使用场景不包括下列哪个？
A、财产类
B、通讯类
C、隐私类
D、唯一性
正确答案：D
.中国菜刀是一款经典的webshell管理工具，其传参方式是（）。
A、GET方式
B、明文方式
C、COOK IE 方式
D、POST方式
正确答案：D
.盗取Cookie是用做什么?
A、劫持用户会话
B、固定用户会话
C、钓鱼
D、预测用户下一步的会话凭证
正确答案：A
. MD5文摘算法得出的文摘大小是？
128 位
160 位
C、128字节
D、160字节
正确答案：A
.以下哪种方法不能执行命令()
A、system(whoami)
B、evaI ('system(whoami),)
C、system ('whoami')
D、system ('evaI(whoami),) 正确答案：D
.在使用Burp的Intruder模块时，需要注意的是？
A、字典大小不能超过1M
B、字典路径不能含有中文
C、线程数量不能超过20
D、pay load数量不能超过2个 正确答案：B
.关于文件包含漏洞，以下说法中不正确的是？
A、文件包含漏洞在PHP Web Appl i cat ion中居多，而在JSP、ASP、 . NET程序中却非常少，这是因为有些语言设计的弊端 B、渗透网站时，若当找不到上传点，并且也没有 ur l_al low_include功能时，可以考虑包含服务器的日志文件 C、文件包含漏洞只在PHP中经常出现，在其他语言不存在 D、文件包含漏洞，分为本地包含，和远程包含 正确答案：C
.关于命令执行漏洞，以下说法错误的是？
A、该漏洞可导致黑客控制整个网站甚至控制服务器
B、命令执行漏洞只发生在PHP的环境中
C、没有对用户输入进行过滤或过滤不严可能会导致此漏洞
D、命令执行漏洞是指攻击者可以随意执行系统命令 正确答案：B
.将MAC地址转换为IP地址的协议是以下哪种协议？
A、ARP
B、RARP
C、IP
D、NTP
正确答案：B
.若一个用户同时属于多个用户组，则其权限适用原则不包括？
A、最大权限原则
B、文件权限超越文件夹权限原则
C、拒绝权限超越其他所有权限的原则
D、最小权限原则FTP
正确答案：D
. TCP协议采用以下哪种方式进行流量控制？
A、滑动窗口
B、超时重传
C、停止等待
D、重传机制
正确答案：A
.故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常 运行，后果严重的，将受到什么处罚？
A、拘留
B、处五年以下有期徒刑或者拘役
C\ 罚款
D、警告
正确答案：B
.反射型xss通过什么传参？
A、 POST
B、GET
C、 FROM
D、PUT
正确答案：B
. XSS跨站脚本攻击可以插入什么代码？
A、 JAVA
B、Javascr i pt
C、PHP
D、ASP
正确答案：B
.关于JAVA三大框架，说法正确的是？
A、三大框架是 Struts+Hi bernate+PHP
B、Hibernate主要是数据持久化到数据库
C、Struts不是开源软件
D、Spri ng缺点是解决不了在J2EE开发中常见的的问题
正确答案：B
.下列哪一项不是黑客在入侵踩点（信息搜集）阶段使用到的技术?
A、主机及系统信息收集
B、公开信息的合理利用及分析
C、IP及域名信息收集
D、使用sqlmap验证SQL注入漏洞是否存在
正确答案：D
.下列关于水平越权的说法中，不正确的是？
A、同级别（权限）的用户或同一角色不同的用户之间，可以越权访 问、修改或者删除的非法操作
B、可能会造成大批量数据泄露
C、可能会造成用户信息被恶意篡改
D、水平越权是不同级别之间或不同角色之间的越权
正确答案：D
. IIS命令执行中，我们通常用来测试命令执行的payload执行结 果是？
A、反弹 she I I
Bx shutdown
C、开启远程桌面连接
D、弹出计算器
正确答案：D
.关于存储型XSS,叙述错误的是？
A、攻击用户cookie必须通过存储型XSS漏洞实现
B、存储型XSS又称作持久型XSS
C、此类XSS不需要用户单击特定URL就能执行脚本
D、恶意脚本是事先被攻击者上传至数据库或服务器中的
正确答案：A
.宽字符SQL注入，主要利用的是哪种漏洞来实现的（）。
A、GBK和UTF-8编码不统一
B、GBK长字符和短字符编码不统一
C、UTF-8长字符和短字符编码不统一
D、GBK和UTF-8编码不一致
正确答案：A
. Cookie没有以下哪个作用？
A、维持用户会话
B、储存信息
C、执行代码
正确答案：C
.# iptables -A INPUT -m u32 —u32 '6&FF=Oxll' - j
DROP的作用是：（）o
A、在输入链，IP包中的协议字段为17则丢弃
B、在转发链，IP包中的协议字段为17则丢弃
C、在转发链，IP包中的协议字段为11则丢弃
D、在输入链，IP包中的协议字段为11则丢弃
正确答案：A
.数据库安全的第一道保障是？
A、操作系统的安全
B、数据库管理员
C、网络系统的安全
D、数据库管理系统层次
正确答案：C
. OSI参考模块分几层？
A、7
B、5
C、6
D、4
正确答案：A
.下列不是网站存在XSS漏洞的原因是()
A、网站未对用户下的敏感操作进行二次校验
B、网站对输出的数据未做处理
C、网站存在可供用户输入的交互模式
D、网站对用户输入的数据未作过滤
正确答案：A
二、多选题(共28题，每题1分，共28分)
.以下方法中可能存在命令执行漏洞的有
Ax String escapeshelI arg ( string $arg )
B、String exec ( string $command [, array &$output [, i nt &$return_var ]])
C、String she Il_exec ( string $cmd )
D、Vo i d passthru ( str i ng $command [, i nt &$return_var ]) 正确答案：BCD
.下面关于TCP协议描述，错误的是？
A、工作在网络层
B、有重传机制
C、有流量控制机制
D、断开需要3次握手
正确答案：AD
.下面对TCP协议描述，哪种不正确？
Av面向连接
B、面向无连接
C、可靠的传输
D、不可靠的传输
正确答案：BD
答案解析：TCP协议是面向连接、可靠的传输。
.下面哪个代码是不安全的，可能存在sql注入漏洞（）
正确答案：birth
答案 解析：score from tbl_student where name I ike '%$name$%> </select»;（[B > ]>Stmt = connect ion. prepareStatement（"seIect * from art i cIes where uid=?"）; stmt, set I nt（1
. Nmap软件是一款渗透测试常用的开源软件，它的主要功能有（）。
A、拓扑发现
B、漏洞扫描
C、主机扫描
D、端口扫描
正确答案：ABCD
. Kali Linux渗透系统中的哪些软件具有密码破解功能（）。
Ax John
B、Sn i ffer
C\ Hydra
D、Wi reshark
正确答案：AC
.国家实行网络安全等级保护制度。网络运营者应当按照网络安全 等级保护制度的要求，履行哪些安全保护义务：
A、制定内部安全管理制度和操作规程，确定网络安全负责人，落实 网络安全保护责任
B、采取防范计算机病毒和网络攻击网络侵入等危害网络安全行为的
技术措施
C、采取监测记录网络运行状态网络安全事件的技术措施，并按照规 定留存相关的网络日志不少于六个月
D、采取数据分类重要数据备份和加密等措施
E、向社会发布网络安全风险预警，发布避免减轻危害的措施
F、法律行政法规规定的其他义务
正确答案：ABCDF
.根据《网络安全法》的规定，任何个人和组织（）0
A、不得从事非法侵入他人网络干扰他人网络正常功能等危害网络安 全的活动
B、不得提供专门用于从事侵入网络干扰网络正常功能等危害网络安 全活动的程序
C、明知他人从事危害网络安全的活动的，不得为其提供技术支持 D、明知他人从事危害网络安全的活动的，可以为其进行广告推广 正确答案：ABC
.关于命令执行漏洞的成因，以下说法正确的是？
A、没有配置防火墙
B、使用了 PHP 中的 system, exec, she I l_exec 等函数
C、调用第三方组件存在代码执行漏洞
D、代码层过滤不严格
正确答案：BCD
. Metasploit框架中的模块都包含哪些模块类型（）。
A、Pay Ioads
Post
C\ Exploits
D、AUX
Ex Nops
F、 Encoders
正确答案：ABCDEF
.下列哪几条属于防电信诈骗十条中的守则：
A、手机短信内的链接都别点
B、闭口不谈卡号和密码
C、凡是索要短信验证码的全是骗子
D、钓鱼网站要提防
正确答案：ABD
.任何个人和组织应当对其使用网络的行为负责，不得设立用于 ()违法犯罪活动的网站通讯群组，不得利用网络发布涉及实施诈 骗，制作或者销售违禁物品管制物品以及其他违法犯罪活动的信息。
A、制作或者销售违禁物品
B、传授犯罪方法
C、制作或者销售管制物品
D、实施诈骗
正确答案：ABCD
.下面哪些应用使用了 UDP协议承载？
A、SMTP
B、DNS
TFTP
D、SNMP
正确答案：BCD
.下面那些层未在TCP/IP中定义？
A、传输层