1+x网络安全评估模拟习题含答案
一、单选题(共66题,每题1分,共66分)
1.下面说法正确的是?
A、使用防止sql注入的函数也可以防御xss
B、htmlspecialchars()可以完全杜绝xss攻击
C、只需要在输入处过滤xss就可以了
D、在输入和输出处都要过滤xss攻击
正确答案:D
2.路由器是工作在以下哪一层的设备?
A、网络层
B、传输层
C、物理层
D、链路层
正确答案:A
3.Apache解析漏洞中,相关配置是?
A、AddHandler
B、Httpdinit
C、ApacheHandler
D、Phpinit
正确答案:A
4.防火墙通常被比喻为网络安全的大门,但它不能?
A、鉴别什么样的数据包可以进出企业内部网
B、阻止基IP包头的攻击
C、阻止病毒入侵
D、阻止非信任地址的访问
正确答案:C
5.HUB是工作在以下哪一层的设备?
A、物理层
B、链路层
C、网络层
D、传输层
正确答案:A
6.下面关于htmlspecialchars()说法错误的是?
A、该函数可用于过滤xss
B、该函数用于转译字符(在后面加上反斜线)
C、该函数用于对一些字符进行xss实体编码
正确答案:B
7.著名的nmap软件工具不能实现下列哪一项功能?
A、操作系统类型探测
B、安全漏洞扫描
C、端口扫描
D、whois查询
正确答案:D
8.在使用Burp的Intruder模块时,需要注意的是?
A、字典大小不能超过1M
B、字典路径不能含有中文
C、线程数量不能超过20
D、payload数量不能超过2个
正确答案:B
9.下列关于水平越权的说法中,不正确的是?
A、水平越权是不同级别之间或不同角色之间的越权
B、可能会造成大批量数据泄露
C、可能会造成用户信息被恶意篡改
D、同级别(权限)的用户或同一角色不同的用户之间,可以越权访问、修改或者删除的非法操作
正确答案:A
10.Cookie的属性中,Value是指什么?
A、过期时间
B、关联Cookie时间
C、Cookie的名字
D、Cookie的值
正确答案:D
11.SqlMap一般调用其文件夹内哪一类文件来绕过WAF检测()。
A、Nano脚本
B、Scripts脚本
C、Tamper脚本
D、Nmap脚本
正确答案:C
12.将MAC地址转换为IP地址的协议是以下哪种协议?
A、ARP
B、RARP
C、IP
D、NTP
正确答案:B
13.()利用以太网的特点,将设备网卡设置为“混杂模式”,从而能够接受到整个以太网内的网络数据信息?
A、木马程序
B、缓冲区溢出攻击木马
C、拒绝服务攻击
D、嗅探程序
正确答案:D
14.AWVS是一款什么用途的渗透测试工具()。
A、漏洞扫描
B、SQL注入
C、XSS攻击
D、暴力破解
正确答案:A
15.关于PHP文件包含利用方法,错误的是()
A、利用php://input伪协议需开启allow_url_include配置
B、文件包含漏洞常可以配合文件上传漏洞共同利用
C、远程文件包含需服务器开启allow_url_fopen配置
D、利用文件包含漏洞需被包含文件为.php格式
正确答案:D
16.路由器是工作在以下哪一层的设备?
A、物理层
B、链路层
C、网络层
D、传输层
正确答案:C
17.入侵检测系统的第一步是?
A、信息收集
B、数据包过滤
C、信号分析
D、数据包检查
正确答案:A
18.XSS跨站脚本攻击劫持用户会话的原理是?
A、窃取目标cookie
B、使目标使用自己构造的cookie登录
C、修改页面,使目标登录到假网站
D、让目标误认为攻击者是他要访问的服务器
正确答案:A
19.Nmap用来隐蔽扫描的命令是以下哪一选项?
A、-sF
B、-sX
C、-sN
D、-sS
正确答案:C
20.盗取Cookie是用做什么?
A、劫持用户会话
B、固定用户会话
C、钓鱼
D、预测用户下一步的会话凭证
正确答案:A
21.下列哪一项不是黑客在入侵踩点(信息搜集)阶段使用到的技术?
A、主机及系统信息收集
B、IP及域名信息收集
C、公开信息的合理利用及分析
D、使用sqlmap验证SQL注入漏洞是否存在
正确答案:D
22.下列哪一个不属于信息安全三要素CIA?
A、机密性
B、可用性
C、完整性
D、个人电脑安全
正确答案:D
23.ARP协议封装格式最后4字节是以下哪个选项?
A、目标IP地址
B、源MAC
C、硬件类型
D、协议类型
正确答案:A
24.下列哪一个是web容器
A、IIS
B、JSP
C、UDP
D、MD5
正确答案:A
25.XSS不能来干什么?
A、钓鱼
B、劫持用户会话
C、DDOS
D、注入数据库
正确答案:D
26.alert()函数是用来干什么的?
A