3601+x证书复习题及参考答案
一、单选题(共100题,每题1分,共100分)
1.使用下面哪个函数过滤xss是最好的
A、str_replace()
B、htmlspecialchars()
C、preg_replace()
D、addslashes()
正确答案:B
2.以下哪个说法是正确的?
A、CSRF和XSS是一种攻击手法
B、CSRF造成不了大的危害
C、CSRF攻击是攻击者与目标服务器直接交互
D、CSRF攻击是攻击者与被攻击用户直接交互
正确答案:D
3.XSS不能用来干什么?
A、获取用户cookie
B、预测会话凭证
C、劫持用户会话
D、固定会话
正确答案:B
4.下面不是计算机网络面临的主要威胁的是?
A、计算机软件面临威胁
B、恶意程序威胁
C、计算机网络实体面临威胁
D、计算机网络系统面临威胁
正确答案:A
5.代码中如果使用str_replace(array(‘../’,’./’),’’,$dir)进行过滤,并且绕过后能够在linux系统执行成功则dir参数应为什么
A、..\\.\
B、..\
C、..\\.\
D、//.//
正确答案:D
6.Php程序中结束目前执行的循环的语句是?
A、Break
B、Exit
C、continue
D、switch
正确答案:A
7.理论上讲,哪种攻击方式可以破解所有密码问题?
A、字典攻击
B、弱口令攻击
C、万能密码
D、穷举攻击
正确答案:D
8.常用于过滤SQL注入的函数
A、addslashes()
B、intval()
C、empty()
D、htmlspecialchars()
正确答案:A
9.关于JAVA三大框架,说法正确的是?
A、三大框架是Struts+Hibernate+PHP
B、Hibernate主要是数据持久化到数据库
C、Struts不是开源软件
D、Spring缺点是解决不了在J2EE开发中常见的的问题
正确答案:B
10.PC安全不包括下列哪一个?
A、安装防病毒软件和防火墙软件
B、定期备份重要数据
C、不随意安装来历不明的软件
D、虚拟空间
正确答案:D
11.php中哪个语句可以输出变量类型?
A、echo
B、print_r()
C、sprint()
D、var_dump()
正确答案:D
12.UDP协议工作在TCP/IP的哪一层?
A、传输层
B、网络层
C、物理层
D、应用层
正确答案:A
13.typecho反序列化漏洞中,__get()函数中调用了哪个函数?
A、__get
B、get
C、call_user_func
D、_applyFilter
正确答案:B
14.TCP协议是攻击者攻击方法的思想源泉,主要问题存在于TCP的三次握手协议上,以下哪个顺序是正常的TCP三次握手过程:1.请求端A发送一个初始序号ISNa的SYN报文;2.A对SYN+ACK报文进行确认,同时将ISNa+1,ISNb+1发送给B;3.被请求端B收到A的SYN报文后,发送给A自己的初始序列号ISNb,同时将ISNa+1作为确认的SYN+ACK报文。
A、123
B、132
C、321
D、312
正确答案:B
15.入侵检测是一门新兴的安全技术,是作为继________之后的第二层安全防护措施。
A、服务器
B、路由器
C、交换机
D、防火墙
正确答案:D
16.哪个关键字可以在python中定义函数?
A、dcf
B、def
C、class
D、D.public
正确答案:B
17.服务器的响应头中,一般不会包含哪一个字段
A、Set-Cookie
B、Content-Type
C、Cookie
D、Connection
正确答案:C
18.下面说法正确的是?
A、系统对业务逻辑的每一步进行数据验证有助于防止业务逻辑漏洞的产生。
B、系统对业务逻辑的每一步进行日志验证有助于防止业务逻辑漏洞的产生。
C、系统对业务逻辑的每一步进行身份验证有助于防止业务逻辑漏洞的产生。
D、系统对业务逻辑的每一步进行权限验证有助于防止业务逻辑漏洞的产生
正确答案:A
19.攻击者在使用nmap对目标网络进行扫描时发现,某个主机开放了25和110端口,此主机最有可能是()
A、文件服务器
B、邮件服务器
C、WEB服务器
D、DNS服务器
正确答案:B
20.XSS不能来干什么?
A、钓鱼
B、劫持用户会话
C、DDOS
D、注入数据库
正确答案:D
21.点击Proxy组件中的哪个按钮将拦截下来的包丢弃
A、Action
B、Forward
C、Drop
D、Command
正确答案:C
22.一个IP地址C端,最多包括多少个可用IP地址?
A、128
B、256
C、254
D、64
正确答案:C
23.下列哪个特性