2020年掘安杯网络安全技能挑战赛理论练习–问卷填…

  • Post author:
  • Post category:其他


2020年掘安杯网络安全技能挑战赛理论练习–问卷填…

1 of 8

https://ks.wjx.top/wjx/join/complete.aspx?q=548…

2020年掘安杯网络安全技能挑战赛理论练习

成绩单

255/360

43/62

您的得分

答对题数

答题解析

全部题目

错题集

1. 信息安全的基本属性是___。 [分值:5]

您的回答:D. A, B, C 都是

(得分:5)

2. 假设使用一种加密算法, 它的加密方法很简单: 将每一个字母加5, 即a加密 成f。 这种算法的密钥就是5, 那么它属于___。 [分值:5]

您的回答:D. 单向函数密码技术 正确答案为:A. 对称加密技术

3. 密码学的目的是___。 [分值:5]

您的回答:C. 研究数据保密

(得分:5)

4. A 方有一对密钥(K A 公开 , K A 秘密 ), B 方有一对密钥(K B 公开 , K B 秘密 ), A 方向 B 方发送数字签名 M, 对信息 M 加密为: M’= K B 公开 (K A 秘密 (M))。 B方收到密文的解密方案是 ___。 [分值:5]

您的回答:C. K A 公开 (K B 秘密 (M’))

(得分:5)

5. 数字签名要预先使用单向Hash函数进行处理的原因是___。 [分值:5]

您的回答:C. 缩小签名密文的长度, 加快数字签名和验证签名的运算速度

(得分:5)

6. 身份鉴别是安全服务中的重要一环, 以下关于身份鉴别叙述不正确的是__。 [分值:5]

您的回答:B. 身份鉴别一般不用提供双向的认证

(得分:5)

7. 防火墙用于将 Internet 和内部网络隔离___。 [分值:5]

您的回答:B. 是网络安全和信息安全的软件和硬件设施

(得分:5)

8. PKI支持的服务不包括___。 [分值:5]

您的回答:B. 目录服务

4/26/20,

11:54 PM 2020年掘安杯网络安全技能挑战赛理论练习–问卷填…

2 of 8

https://ks.wjx.top/wjx/join/complete.aspx?q=548…

正确答案为:D. 访问控制服务

9. 设哈希函数 H 有 128 个可能的输出(即输出长度为 128 位) , 如果 H 的 k 个随 机输入中至少有两个产生相同输出的概率大于 0. 5, 则 k 约等于__。 [分值:5]

您的回答:D. 2∧256 正确答案为:B. 2∧64

10. Bell-LaPadula 模型的出 发点是维护系统的___, 而 Biba 模型与 Bell-LaPadula 模型完全对立, 它修正了 Bell-LaPadula 模型所忽略的信息的___问题。 它们存在共同的缺 点: 直接绑定主体与客体, 授权工作 困难。 [分值:5]

您的回答:C.保密性 完整性

(得分:5)

11. 公司员工收到了一封可疑邮件,要求提供组织架构和人员名单,这种方式是那种攻击() [分值:5]

您的回答:D 钓鱼攻击

(得分:5)

12. 多久更换一次计算机的密码较为安全() [分值:5]

您的回答:B 3个月

(得分:5)

13. FTP是TCP/IP协议中 ( )协议的简称。 [分值:5]

您的回答:B) 文件传输

(得分:5)

14. 万维网的网址以http为前导,表示遵从 ( )协议。 [分值:5]

您的回答:B) 超文本传输

(得分:5)

15. 允许计算机之间互通邮件必须具备的服务是() [分值:5]

您的回答:C)SMTP

(得分:5)

16. 下列不属于防火墙的功能的是( ) [分值:5]

您的回答:D)病毒检测

(得分:5)

17. 以下哪个不是常见的网络拓扑结构( )。 [分值:5]

您的回答:D)梯形结构

(得分:5)

18. 下列属于合法IP地址的是( )。 [分值:5]

您的回答:D)202,37,145,168 正确答案为:C)192.168.10.1

19. 用户收到了一封可疑的电子邮件,要求用户提供账户名及密码,这是属于何种攻击手段: [分值:5]

您的回答:B、钓鱼攻击

(得分:5)

20. 下面那个是以512位分组的报文摘要算法() [分值:5]

您的回答:A、MD5

(得分:5)

21. PPTP和L2TP不支持隧道验证的是() [分值:5]

4/26/20,

11:54 PM 2020年掘安杯网络安全技能挑战赛理论练习–问卷填…

3 of 8

https://ks.wjx.top/wjx/join/complete.aspx?q=548…

您的回答:B、L2TP

(得分:5)

22. TCP的协议数据单元被称为() [分值:5]

您的回答:C、分段

(得分:5)

23. 某工作站无法访问域名为www.abc.com的服务器,此时使用ping命令按照该服务器的IP地址进行测试,发 现响应正常。但是按照服务器域名进行测试,发现超时。此时可能出现的问题是() [分值:5]

您的回答:D、有可能是域名服务器解析故障

(得分:5)

24. JOE是公司的一名业务代表,经常要在外地访问公司的财务信息系统,他应该采用的安全.廉价的通讯方 式是()? [分值:5]

您的回答:D. 远程访问VPN

(得分:5)

25. 有关L2TP(Layer 2 Tunneling Protocol)协议说法有误的是()? [分值:5]

您的回答:A. L2TP只能通过TCT/IP连接

(得分:5)

26. 以下关于计算机病毒的特征说法正确的是()? [分值:5]

您的回答:D. 破坏性和传染性是计算机病毒的两大主要特征

(得分:5)

27. 在如图所示

该填入()。? [分值:5]

您的回答:D. b+1 正确答案为:C. a+1

的TCP 连接的建立过程中,SYN 中的Y 部分应

28. 一台MSR 路由器通过S1/0 接口连接Internet,GE0/0 接口连接局域网主机,局域网主机所在网段为10.0.

0.0/8,在Internet 上有一台IP 地址为202.102.2.1 的FTP 服务器。通过在路由器上配置IP 地址和路由,目前 局域网内的主机可以正常访问Internet(包括公网FTP 服务器),如今在路由器上增加如下配置: firewall enable acl number 3000 rule 0 deny tcp source 10.1.1.1 0 source-port eq ftp destination 202.102.

2.1 0,然后将此ACL 应用在GE0/0 接口的inbound 和outbound 方向,那么这条ACL 能实现下列哪些意图?

(A)?[单选题] [分值:5]

您的回答:C. 只禁止源地址为10.1.1.1 的主机到目的主机202.102.2.1 的端口为TCP 20 的FTP 数据连接 正确答案为:A. 对从10.1.1.1 向202.102.2.1 发起的FTP 连接没有任何限制作用

29. 许心痕学长在扫描某台主机时发现某台服务器的数据库端口是开放的,他尝试使用暴力破解模组,猜出了 这台服务器数据库账号密码,那么请问许心痕学长可能扫到了哪个端口? [分值:5]

4/26/20,

11:54 PM 2020年掘安杯网络安全技能挑战赛理论练习–问卷填…

4 of 8

https://ks.wjx.top/wjx/join/complete.aspx?q=548…

您的回答:3306

(得分:5)

30. 许心痕学长在“网络攻防阶段”使用“永恒之蓝”多线程攻击脚本攻击了对手多台主机得分,请问“永恒之蓝”攻 击模组默认使用哪个端口进行缓冲区溢出攻击? [分值:5]

您的回答:443

正确答案为:445

31. 许心痕学长给了你一个IP地址,为192.168.123.200/24,同时告诉了你DNS为59.51.78.210,但是他没告 诉你默认网关是多少,你认为以下哪项最有可能? [分值:5]

您的回答:192.168.123.1

(得分:5)

32. 我们说的MAC地址,又称之为物理地址,他的表现方式是什么进制呢? [分值:5]

您的回答:十六进制

(得分:5)

33. 防火墙技术是一种()安全模型 [分值:5]

您的回答:被动型

(得分:5)

34. 在发现病毒后,第一件要做的事是() [分值:5]

您的回答:断网

(得分:5)

35. 向有限的空间输入超长的字符串是哪一种攻击手段?() [分值:5]

您的回答:缓冲区溢出

(得分:5)

36. 当页面中<a href=”aaaa”>click<a>中aaaa为可控的,

您的回答:C.javascript:alert(1)

正确答案为:B.<script>alert(1)</script>

答案解析:

以下哪个输入无法实现xss攻击验证() [分值:5]

可控位置位于””之间, 需要先闭合引号, 否则只是字符串无法执行。

37. 关于csrf漏洞以下不正确的是() [分值:5]

您的回答:A.网站内部和外部都可能发起攻击 正确答案为:B.只能通过站外发起攻击

答案解析:

网站内部, 也可以发出CSRF攻击。

38. 在java中xxe漏洞不支持以下哪种协议 ()

您的回答:D.FILE

正确答案为:C.SCP

答案解析:

[分值:5]

java xml解析外部实体引用支持http https ftp file jar mailto等协议。

39. 下面哪种处理文件上传的方式较为安全 ()

您的回答:D.文件后缀名白名单验证和随机文件名称

答案解析:

[分值:5]

(得分:5)

4/26/20,

11:54 PM 2020年掘安杯网络安全技能挑战赛理论练习–问卷填…

5 of 8

https://ks.wjx.top/wjx/join/complete.aspx?q=548…

abc都是易被篡改的。

40. 下面哪种处理文件上传的方式是错误的 ()

您的回答:D.使用单独的服务器存放上传的文件 正确答案为:A.通过黑名单验证上传的文件后缀名称

答案解析:

[分值:5]

黑名单是危险易绕过的, 攻击者会通过上传jspx或者hTmL等方式尝试绕过黑名单限制。

41. 已知上级目录下的db目录包含敏感文件db.rar, 以下哪个请求可以下载到该文件() [分值:5]

您的回答:B.?download=../db/db.rar

答案解析:

(得分:5)

在路径操作中可以通过../跳到上级目录。开发中建议将文件路径存入数据库, 用户通过请求ID下载文件, 使其不受用户控制。

42. 这段代码会产生什么漏洞 Runtime.getRuntime().exec(request.getParameter(“cmd”)); ()

您的回答:B.命令执行漏洞

(得分:5)

答案解析:

执行命令参数为用户可控。

[分值:5]

43. png文件头的二进制编码是() [分值:5]

您的回答:C、89 50 4E 47

(得分:5)

44. 下面代码中可以实现怎样的攻击 () <code> String userid=request.getParameter(“userid”); String pass=request.getParameter(“password”); JdbcConnection conn = new JdbcConnection(); Object[] params = new Object[2]; params[0] = pass; params[1] = userid; final String sql = “update user set pass=? where userid=?”; conn.execUpdate(sql,params); conn.closeConn(); <code> [分值:5]

您的回答:B.通过控制userid和password进行sql注入攻击 正确答案为:A.通过控制userid和password越权修改其他用户密码

答案解析:

此处通过用户请求的userid判断所修改密码的用户身份, 篡改userid即可越权修改其他用户密码。

45. 下面哪个代码是不安全的, 可能存在sql注入漏洞 () [分值:5]

您的回答:A. <select id=”selectStudentByName” parameterClass=”String” resultClass=”Student”> select name,birth,score f rom tbl_student where name like ‘%$name$%’ </select>┋B. stmt = connection.prepareStatement(“select * from articles whe

4/26/20,

11:54 PM 2020年掘安杯网络安全技能挑战赛理论练习–问卷填…

6 of 8

https://ks.wjx.top/wjx/join/complete.aspx?q=548…

re uid=?”); stmt.setInt(1, id); rs = stmt.executeQuery();┋C. stmt = connection.prepareStatement(“select * from articles where title like ‘%” + keyword + “%’ order by id”); rs = stmt.executeQuery();┋D. <select id=”selectStudentById” parameterClass=”in t” resultClass=”Student”> select * from tbl_student where id=#id# </select> 正确答案为:A. <select id=”selectStudentByName” parameterClass=”String” resultClass=”Student”> select name,birth,scor e from tbl_student where name like ‘%$name$%’ </select>|C. stmt = connection.prepareStatement(“select * from articles wh ere title like ‘%” + keyword + “%’ order by id”); rs = stmt.executeQuery(); 答案解析: 使用字符串拼接方式和不经预编译方式执行sql语句都是有风险的。

46. 万能密码有哪些() [分值:10]

您的回答:A、’ or ‘1’=’1┋C、’ or 1=1# 正确答案为:A、’ or ‘1’=’1|B、 1’||’1|C、’ or 1=1#|D、1’||1#

47. 本期课件中有哪几种一句话木马() [分值:10]

您的回答:A、<%eval request(“x”)%>┋B、<?php @eval($_POST[“x”]);?>┋C、<%@ Page Language=”Jscript”%><%eval(R equest.Item[“x”],”unsafe”);%> (得分:10)

48. 服务端文件扩展名验证分那两类 () [分值:10]

您的回答:B、白名单┋C、黑名单

(得分:10)

49. 数据库基本单元有哪些()多选题 [分值:10]

您的回答:A、数据库服务器┋B、数据库┋C、数据表┋D、数据字段┋E数据行

(得分:10)

50. 属于XXS防御方案的有 [分值:5]

您的回答:实体编码转换┋输入控制┋输出控制┋安装杀毒软件 正确答案为:实体编码转换|输入控制|输出控制

51. 属于文件上传但不限于危害是 [分值:5]

您的回答:网页篡改,挂马┋服务器被控制,植入后门 正确答案为:网页篡改,挂马|服务器被控制,植入后门|敏感数据泄漏|被深入渗透

52. 属于文件上传防御方案的是 [分值:5]

您的回答:强制重命名┋文件目录不给予执行权限┋安装杀毒软件┋上传文件重新渲染生成 正确答案为:强制重命名|文件目录不给予执行权限|部署单独文件存放服务器|上传文件重新渲染生成

53. XSS漏洞的分类有哪些()? [分值:5]

您的回答:A.存储型┋B.反射型┋C.DOM BASED

(得分:5)

54. XSS的漏洞解决方案中,那些是正确的? [分值:5]

您的回答:A.在COOKIE属性中,设置HttpOnly,来防止客户端读取Cookie值┋B.输入检查┋C.输出检查 正确答案为:A.在COOKIE属性中,设置HttpOnly,来防止客户端读取Cookie值|B.输入检查|C.输出检查|D.禁止HTTP的OPTIO N请求方法

55. 针对防范SQL注入攻击,以下正确的做法有()。 [分值:5]

您的回答:A.检查变量数据类型和格式┋B.过滤特殊符号┋C.绑定变量,使用预编译语句┋D.当访问数据库时,应用程序应尽可

4/26/20,

11:54 PM 2020年掘安杯网络安全技能挑战赛理论练习–问卷填…

7 of 8

https://ks.wjx.top/wjx/join/complete.aspx?q=548…

能的使用最低权限的账户

(得分:5)

56. php代码 system(“php /home/rong/www/loancore/webroot/is_batch.php”); 存在命令注入漏洞 [分值:10]

您的回答:对 正确答案为:错

57. PHP代码 echo $_GET[‘callback’] 存在SQL注入漏洞 [分值:10]

您的回答:错

(得分:10)

58. 只要不允许用户上传php后缀文件就可以 [分值:10]

您的回答:错

(得分:10)

59. 前端有安全防护设备时,开发时不需要考虑SQL注入漏洞 [分值:10]

您的回答:错

(得分:10)

60. “回显服务器收到的请求,主要用于测试或诊断”,是指HTTP中那种请求方法? [分值:5]

您的回答:D.TRACE

(得分:5)

61. 使用第三方lib库时,尽可能使用最新版本,防止出现已知安全漏洞 [分值:10]

您的回答:对

(得分:10)

62. 权限漏洞是目前防护设备的盲区 [分值:10]

您的回答:对

(得分:10)

保存报告

PM



版权声明:本文为m0_47210241原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。