渗透测试技术 习题及答案汇总 刘兰 第1--8章 .docx

第一章习题及参考答案

一、单项选择题

1．《中华人民共和国网络安全法》自2017年6月1日起施行。（）

A．正确 B．错误

2．我国制定《中华人民共和国网络安全法》的目的是（）。

A．保障网络安全，维护网络空间主权和国家安全、群众公共利益

B．保护公民、法人和其他组织的合法权益

C．促进经济社会信息化健康发展

D．以上都是

3．违反《中华人民共和国网络安全法》规定，构成违反治安管理行为的，依法给予治安管理处罚，构成犯罪的，依法追究（）。

A．刑事责任 B．行政责任 C．民事责任

4．网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。（）

A．正确 B．错误

5．任何组织和个人不得窃取或以其他非法方式获取个人信息，不得非法出售或非法向他人提供个人信息。（）

A．正确 B．错误

二、简答题

1．什么是渗透测试？渗透测试的一般流程是什么？

渗透测试是一种安全测试方法，旨在检测系统、网络或应用程序的漏洞，并尝试利用这些漏洞来模拟黑客的攻击行为，以此来修复漏洞。渗透测试旨在帮助用户识别并修复潜在的安全漏洞，以提高系统的安全性。

渗透测试的一般流程是：预先准备与信息收集、漏洞扫描与分析、漏洞利用与攻击实施、维持访问与持久化、清理与撤离。

2．一份完整的渗透测试报告应包含哪些内容？

一份完整的渗透测试报告应该包含：报告结构与内容、漏洞描述与风险评估、改进建议、渗透测试报告编写的准则和建议。

3．常见的安全漏洞有哪些？

常见的安全漏洞包括：

1）SQL注入：攻击者通过恶意SQL语句访问数据库。

2）跨站脚本（XSS）：攻击者在网页中插入恶意代码，窃取用户数据。

3）缓冲区溢出：通过超出程序预期的数据输入导致系统崩溃或执行恶意代码。

4）弱密码：简单或重复使用的密码易被破解。

5）未授权访问：缺乏正确的身份验证机制，导致资源被非法访问。

6）未修补的漏洞：软件或系统未及时更新补丁，易被攻击者利用。

7）文件包含漏洞：攻击者利用不安全的文件引用来执行恶意代码。

这些漏洞可能被攻击者利用，导致系统受损或数据泄露。

4．与网络安全相关的法律法规有哪些？

《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》。

5.常见的网络防护技术有哪些？

常见的网络防护技术包括以下几种：

1）防火墙（Firewall）：控制进出网络的数据流量。

2）入侵检测与防御系统（IDS/IPS）：监控并阻止潜在的攻击。

3）虚拟专用网络（VPN）：加密远程连接，确保数据安全。

4）数据加密：保护数据传输的隐私性和完整性。

5）访问控制：确保只有授权用户能访问特定资源。

6）防病毒软件：检测并清除恶意软件。

7）DDoS防护：应对和缓解拒绝服务攻击。

这些技术可以有效提高网络安全，防范多种威胁。

第二章练习题

一、选择题

1、下列哪个不是搜索引擎（）。

A.撒旦 B.钟馗之眼

C.天眼查 D.bing

2、下列哪个工具不能用于信息搜集（）。

A.sqlmap B.dig

C.dnsenum D.nslookup

3、下列哪个在线工具可以进行Web程序指纹识别（）。

A.nmap B.OpenVAS

C.御剑 D.whatweb

4、在GoogleHacking中，下面哪一个是搜索指定文件类型的语句（）。

A.intext B.intitle

C.site D.filetype

5、以下哪个不是msf的基本常用命令？（）。

A.showexploits B.search

C.use D.showinfo

二、简答题

1、请简要说明信息收集的概念和作用。

2、请简要说明Windows信息收集的类别与方法。

3、请简要说明网络信息收集中常见的端口及攻击方向。

4、请简要说明网络信息收集中识别防火墙的方法。

5、请简要说明域名信息收集中常见的查询方法。

答案

一、选择题

1-5、AADDC

二、简答题

1、答：信息收集是指通过各种方式获取所需要的信息。它是信息利用的第一步，也是关键的一步。信息收集的目标广泛多样，包括服务器信息、网站信息、域名信息、人员信息等。信息收集的作用主要是为渗透测试提供更多关于被测试者的信息，从而扩大攻击面并为钓鱼攻击等手段打好基础。信息收集对于渗透测