網絡安全1+X模考試題及答案一、單選題（共82題，每題1分，共82分）1.在Mysql數據庫中，下列哪個庫保存了Mysql所有的信息()A、information_schemaB、performance_schemaC、testD、mysql正確答案：A2.非關系型數據庫通常都有一個什么問題()？A、默認的庫會造成信息泄露B、默認以ROOT賬號運行C、默認沒有開啟驗證D、網絡端口暴露在互聯網正確答案：C3.在滲透測試過程中，“利用所獲取到的信息，標識出目標系統上可能存在的安全漏洞與弱點”事項，應在()階段完成。A、滲透攻擊B、漏洞分析C、前期交互D、威脅建模正確答案：D4.以下哪一選項是搜索網段地址（比如C段）的語法關鍵字()？A、hostnameB、portC、netD、city正確答案：C5.在建立企業網絡架構時，我們通常為依照什么來劃分安全域()？A、網絡設備物理接口B、業務安全等級C、服務器IP地址D、服務器性能正確答案：B6.Cookie的屬性中，Domain是指什么()？A、過期時間B、關聯Cookie的域名C、Cookie的名稱D、Cookie的值正確答案：B7.通常情況下，Iptables防火墻內置的()表負責網絡地址轉換。A、FILTERB、RAWC、MANGLED、NAT正確答案：D8.在centos中，用戶root的默認工作路徑是()A、/home/rootB、/usr/rootC、/usrD、/root正確答案：D9.在ModSecurity中進行添加安全規則的命令是()。A、SecEngineB、SecRuleC、SecAddD、SecAction正確答案：B10.在MAC中，誰來檢查主體訪問客體的規則()？A、管理員B、用戶C、安全策略D、客體正確答案：C11.Linux服務器安全加固說法錯誤的()A、防火墻配置B、系統服務優化C、ssh訪問策略D、安裝Nginx正確答案：D12.ModSecurity安全規則的組成包括()個部分。A、3B、4C、6D、5正確答案：B13.下列對XSS的解釋最準確的是()A、構造精妙的關系數據庫的結構化查詢語言對數據庫進行非法訪問B、引誘用戶點擊虛擬網絡連接的一種攻擊方法C、將惡意代碼嵌入到用戶瀏覽器的Web頁面中，從而達到惡意的目的D、一種很強大的木馬攻擊手段正確答案：C14.__get()魔術方法在什么時候執行()？A、類被當成字符串時B、調用函數的方式調用一個對象時C、當程序試圖調用一個未定義或不可見的成員變量時D、當程序試圖寫入一個不存在或者不可見的成員變量時正確答案：C15.orderby是()？A、條件語句B、分組語句C、排序語句D、子查詢語句正確答案：C16.下列哪項類型數據是不可變化的()？A、字典B、列表C、集合D、元組正確答案：D17.以下哪項不是關系型數據庫()?A、MssqlB、OracleC、MysqlD、Mongodb正確答案：D18.Linux的crontab文件用于()A、記錄用戶最后的登錄時間B、記錄管理員的操作C、執行計劃任務D、保存用戶名密碼正確答案：C19.typecho反序列化漏洞中，call_user_func函數的參數$filter為什么是可控的()？A、該函數可以不用此參數B、程序未對用戶提交數據進行過濾C、因為是Feed類傳過來的參數D、該參數是類Request類中的變量正確答案：D20.traceroute工具可以看到網絡路徑是因為利用了IP頭中的哪個字段()A、上層協議封裝類型B、校驗和C、目標IP地址D、TTL正確答案：B21.關閉windows系統默認共享的方法不包括()A、利用netshare命令B、利用計算機管理器C、本地安全策略管理器D、利用服務管理器正確答案：C22.typecho反序列化漏洞中，為什么創建的Typecho_DB會執行__toString()魔術方法()？A、嘗試獲取此對象的變量B、嘗試創建此對象C、嘗試打印此對象D、嘗試將此對象與字符串進行拼接正確答案：D23.Metasploit框架中的Meterpreter后滲透功能經常使用哪個函數來進行進程遷移()。A、persistence函數B、getpid函數C、sysinfo函數D、migrate函數正確答案：D24.下列哪些事件不屬于網絡攻擊事件：()A、分布式拒絕服務攻擊B、后門攻擊C、漏洞攻擊D、軟硬件自身故障正確答案：D25.Iptables防火墻包括()和iptables外殼程序。A、Iptables表B、FirewalldC、鏈D、Netfilter正確答案：D26.Windows系統采用了那種訪問控制模型()？A、LACB、DACC、MACD、RBAC正確答案：D27.下列是SQLi輔助工具()A、sqlmapB、digC、dnsenumD、nslookup正確答案：A28.在以下人為的惡意攻擊行為中，屬于主動攻擊的是？()A、數據嗅探B、數據流分析C、非法訪問D、身份假冒正確答案：D29.Iptables防火墻進行地址轉換在哪個表里面()？A、rawB、mangleC、natD、filter正確答案：C30.Iptables禁止數據輸入到防火墻本身，在()鏈里DROP掉即可。A、PREROUTINGB、INPUTC、OUTPUTD、FORWARDE、POSTROUTING正確答案：B31.當Web服務器訪問人數超過了設計訪問人數上限，將可能出現的HTTP狀態碼是()A、403B、503C、200D、302正確答案：B32.是什么導致了一個網站拿不到另一個網站設置的cookie()？A、瀏覽器同源策略B、瀏覽器的js代碼C、瀏覽器禁止惡意js腳本運行D、服務器默認設置正確答案：A33.《中華人民共和國網絡安全法》施行時間是()：A、2016年11月7日B、2017年1月1日C、2017年6月1日D、2016年12月31日正確答案：C34.盜取Cookie是用做什么()？A、用于登錄B、DDOSC、釣魚D、會話固定正確答案：A35.php的源碼是()？A、封閉的B、完全不可見的C、需購買的D、開放的正確答案：D36.下列文件擴展名和MIME類型對應錯誤的是()A、.jpgimage/jpgB、.jsapplication/x-javascriptC、.pngimage/pngD、.pdfapplication/pdf正確答案：A37.關于SSRF說法錯誤的是()。A、SSRF就是利用服務器發起請求（請求來自客戶端提交的）B、SSRF可以掃描內網開放服務C、利用file、gopher、dict協議讀取本地文件、執行命令等D、SSRF和CSRF漏洞危害是一樣的正確答案：D38.下面不屬于端口掃描技術的是()？A、TCPconnect掃描攻B、TCPFIN掃描C、IP包分段掃描D、Land掃描正確答案：D39.在linux系統中，下面哪個命令用于新建用戶()A、userB、groupaddC、usermodD、useradd正確答案：D40.ICMP泛洪利用了()。A、ARP命令的功能B、traceroute命令的功能C、ping命令的功能D、route命令的功能正確答案：C41.中國菜刀是一款經典的webshell管理工具，其傳參方式是()。A、GET方式B、明文方式C、COOKIE方式D、POST方式正確答案：D42.電信詐騙識別公式中的因素不包括下列哪個()？A、隱私類B、無法確定人物身份C、匯款、轉賬要求D、用電話、網絡、短信等溝通工具見不到真人正確答案：A43.typecho反序列化漏洞中，__get()函數嘗試獲取哪個變量()？A、nameB、categoryC、screenNameD、author正確答案：C44.利用Firefox瀏覽器的()插件，可基于URL的參數在一個或多個代理之間進行切換。A、HackbarB、FlagfoxC、FoxyProxyD、User-Agent正確答案：C45.李明在使用Nmap對目標網絡進行掃描時發現，某一個主機開放了25SMTP和110POP3端口，此主機最有可能是什么()？A、文件服務器B、郵件服務器C、WEB服務器D、DNS服務器正確答案：B46.下面說法正確的是()？A、只需要在輸入處過濾xss就可以了B、使用防止sql注入的函數也可以防御xssC、在輸入和輸出處都要過濾xss攻擊D、htmlspecialchars()可以完全杜絕xss攻擊正確答案：C47.常用于過濾SQL注入的函數()A、intval()B、htmlspecialchars()C、empty()D、addslashes()正確答案：D48.上傳漏洞前端白名單校驗中，用什么工具可以繞過()。A、burpsuiteB、nmapC、菜刀D、蟻劍正確答案：A49.IP數據報分片后的重組通常發生在()。A、數據報經過的路由器上B、目的主機上C、源主機上D、源主機和數據報經過的路由器上正確答案：B50.IPSecVPN支持()工作模式，便于對私有網絡建立VPN。A、傳輸模式B、隧道模式C、AHD、ESP正確答案：B51.下列哪些描述同SSL相關()。A、公鑰使用戶可以創建會話密鑰，驗證數字簽名的真實性以及加密數據B、私鑰使用戶可以創建數字簽名，加密數據和解密會話密鑰C、公鑰使用戶可以交換會話密鑰，解密會話秘鑰并驗證數字簽名的真實性D、私鑰使用戶可以加密通信數據。正確答案：C52.和POST方法比較起來，GET方法()A、GET方法比POST方法安全B、GET方法不如POST方法快C、GET方法不如POST方法安全D、以上都不對正確答案：C53.密碼使用的場景通訊類不包括下列哪個()？A、QQB、陌陌C、購物賬戶D、微信正確答案：C54.PHP結合Apache的方式不存在的是()。A、ModelB、CGI方式C、FastCGID、API正確答案：D55.FTP協議使用哪個端口傳送文件數據()A、21B、20C、22D、19正確答案：B56.XSS跨站腳本攻擊可以插入什么代碼()？A、PHPB、JSPC、HTMLD、ASP正確答案：C57.入侵檢測系統與入侵防御系統的最大區別是()A、入侵防御系統效率高B、入侵防御系統可阻止入侵行為C、入侵檢測系統比入侵防御系統功能強大D、入侵檢測系統可阻止入侵行為正確答案：B58.以下關于TCP和UDP協議的描述中，正確的是()。A、TCP是端到端的協議，UDP是點到點的協議B、TCP是點到點的協議，UDP是端到端的協議C、TCP和UDP都是端到端的協議D、TCP和UDP都是點到點的協議正確答案：C59.通過修改HTTPheaders中的哪個鍵值可以偽造來源網址()A、X-Forwarded-ForB、RefererC、User-AgentD、Accept正確答案：B60.下列關于ARP協議及ARP欺騙說法錯誤的是()。A、通過重建ARP表可以一勞永逸的解決ARP欺騙B、ARP欺騙的一種方式是欺騙路由器或交換機等網絡設備，使得路由器或交換機等網絡設備將數據包發往錯誤的地址，造成被攻擊主機無法正確接收數據包。C、除了攻擊網絡設備外，還可以偽造網關，使本應發往路由器或交換機的數據包發送到偽造的網關，造成被攻擊主機無法上網。D、ARP協議的作用是實現IP地址與物理地址之間的轉換正確答案：A61.以下說法正確的是()？A、目錄列表可以通過修改配置文件徹底杜絕B、未授權訪問只出現在數據庫軟件上C、未授權訪問只發生在管理員頁面D、未授權訪問不可避免正確答案：A62.關于類的序列化,下列說法哪些是正確的()。A、類的序列化與serialVersionUID毫無關系B、如果完全不兼容升級，不需要修改serialVersionUID值C、POJO類的serialVersionUID不一致會編譯出錯D、POJO類的serialVersionUID不一致會拋出序列化運行時異常正確答案：D63.以下關于CSRF的描述，說法錯誤的是()。A、CSRF攻擊一般發起在第三方網站，而不是被攻擊的網站,被攻擊的網站無法防止攻擊發生B、攻擊者通過CSRF攻擊可以獲取到受害者的登錄憑證C、攻擊利用受害者在被攻擊網站的登錄憑證，冒充受害者提交操作D、跨站請求可以用各種方式：圖片URL、超鏈接、CORS、Form提交等等正確答案：A64.$_SESSION[]的用途是什么()？A、用于注冊全局變量B、用于初始化會話C、用于存儲當前會話的變量D、以上都不是正確答案：C65.DVWA-CSRF-Low中哪個方法可以攻擊()？A、對輸入密碼部分進行注入攻擊B、使用update注入方法C、構造網頁病誘導目標在未退出登錄的情況下點擊D、使用xss攻擊正確答案：C66.Tomcat任意文件上傳漏洞上傳文件使用的是什么請求方法()？A、PUTB、POSTC、GETD、DELETE正確答案：A67.不是本地文件包含利用()A、包含日志文件獲取webshellB、一句話木馬C、上傳圖片GetshellD、讀取文件，讀取php文件正確答案：B68.測試JAVA反序列化漏洞，有時需要提供一個二進制文件，測試過程中我們應該怎么生成這個文件()?A、直接修改二級制文件B、編寫POC，先序列化要傳入的對象C、使用網絡上的二進制文件D、使用網絡上現有的工具正確答案：B69.SQLi兩大基本類別是()A、字符型、數字型B、有回顯注入、盲注C、報錯注入、延時注入D、盲注、數字型注入正確答案：A70.下列不是常見系統命令函數()A、assert()B、system()C、exec()D、shell_exec()正確答案：A71.以下哪個不是Python合法的標識符()？A、helloB、int64C、70logD、name_正確答案：C72.Iptables防火墻設置默認規則的命令是()。A、iptables-FB、iptables-PC、iptables-AD、iptables-D正確答案：B73.IIS短文件名機制是因為()A、為了兼容16位MS-DOS程序B、為了兼容32位MS-DOS程序C、為了兼容64位MS-DOS程序D、為了兼容8位MS-DOS程序正確答案：A74.TCP的端口號最大為65535，為什么()？A、因為TCP/IP協議棧規定不能超過65535B、因為IP協議頭部只允許了16位空間作為端口號C、因為TCP協議頭部只允許了16位空間作為端口號D、因為TCP協議頭部設計時在端口號為65536時會發生嚴重的溢出的漏洞正確答案：C75.下面哪個命令查看Linux當前的工作路徑()A、dirB、lsC、pwdD、id正確答案：C76.采用TCP/IP數據封裝時，以下哪個端口號范圍標識了所有常用應用程序()。A、0到255B、256到1023C、0到1023D、1024到2047正確答案：C77.下面屬于將文件中的數據讀取為一個Java對象()。A、ObjectInputStreamB、ObjectOutputStreamC、NumberFormatD、DecimalFormat正確答案：A78.htaccess文件文件解析說法錯誤的()。A、htaccess叫分布式配置文件B、屬于IIS服務器配置相關指令C、屬于Apache服務器配置相關指令D、htaccess主要的作用有:URL重寫、自定義錯誤頁面、MIME類型配置以及訪問權限控制等正確答案：B79.在使用Linux的VIM編輯器的命令模式中，我們使用什么鍵可以上移光標()A、kB、jC、lD、h正確答案：A80.可以將html標簽輸出轉義的函數()A、addslashes()B、strip_tags()C、htmlspecialchars()D、htmlspecialchars_decode()正確答案：C81.如下代碼所示<?php$a='phpinfo();';extract($_GET,EXTR_SKIP);eval($a);?>則下列哪項能夠進行執行覆蓋成功變量a,并打印出當前用戶()A、無法覆蓋B、a=system(‘whoami’)C、a=system(whoami)D、a=system(‘whoami’);正確答案：A82.下面關于serialVersionUID的作用說法錯誤的是()。A、Java的序列化機制是通過在運行時判斷類的serialVersionUID來驗證版本一致性的B、在進行反序列化時serialVersionUID不相同時，不會出現版本異常C、serialVersionUID有兩種顯示的生成方式D、序列化時為了保持版本的兼容性，即在版本升級時反序列化仍保持對zhi象的唯一性正確答案：B二、多選題（共18題，每題1分，共18分）1.下面哪個函數執行了JAVA的反序列化操作？()A、writeObjectB、readObjectC、XMLEncoderD、XMLDecoder正確答案：BD2.隱藏Apache服務器信息的方法包括()A、隱藏HTTP頭部信息B、禁止顯示錯誤信息C、自定義錯誤頁面，消除服務器的相關信息D、修改服務IP地址正確答案：ABC3.WAF繞過方法包括()A、改變大小寫B、改變編碼C、替換字符串D、字符串變形正確答案：ABCD4.以下哪些選項是子域名收集原因的正確描述？()A、子域名枚舉可以在測試范圍內發現更多的域或子域，這將增大漏洞發現的幾率。B、有些隱藏的、被忽略的子域上運行的應用程序可能幫助我們發現重大漏洞。C、在同一個組織的不同域或應用程序中往往存在相同的漏洞。D、以上答案都不正確。正確答案：ABC5.手機驗證碼常見漏洞總結()。A、客戶端驗證繞過B、無效驗證C、短信轟炸D、驗證碼爆破正確答案：ABCD6.下面哪個是PHP的魔術函數？()A、__wakeup()B、__construct()C、__set()D、__invoke()正確答案：ABCD7.操作系統安全主要包括()等方面A、賬戶密碼安全和文件共享安全B、文件權限管理和用戶權限管理C、文件夾選項和安全選項D、日志審計和遠程訪問權限管理正確答案：ABD8.描述網絡入侵行為通常根據()等特征A、標志位B、包長度C、特定字符串D、端口號正確答案：ABCD9.CSRF攻擊具備