2025年网络工程师《网络安全技术》应用安全防护专项练习.docVIP

2025年网络工程师《网络安全技术》应用安全防护专项练习

一、单项选择题（共20题，每题2分）

1.以下哪种攻击利用了Web应用程序对用户输入过滤不严格的缺陷？

A.端口扫描

B.SQL注入

C.ARP欺骗

D.拒绝服务攻击（DDoS）

答案：B

解析：SQL注入攻击的核心是应用程序未对用户输入的SQL语句进行有效过滤，导致恶意代码被数据库执行；其他选项中，端口扫描是信息收集手段，ARP欺骗针对网络层，DDoS是资源耗尽攻击，均不直接依赖输入过滤缺陷。

2.防止XSS攻击的关键措施是？

A.限制数据库权限

B.对用户输入进行HTML编码

C.关闭不必要的服务端口

D.部署入侵检测系统（IDS）

答案：B

解析：XSS（跨站脚本攻击）通过向页面注入恶意脚本实现，对输出内容进行HTML编码可阻止脚本执行；其他选项分别针对数据库安全、网络层防护和监测，非XSS核心防护。

3.CSRF攻击的主要危害是？

A.窃取用户会话Cookie

B.强制用户执行非自愿操作

C.破坏服务器硬件

D.篡改数据库表结构

答案：B

解析：CSRF（跨站请求伪造）利用用户已认证的会话，诱导用户执行特定操作（如转账、修改信息）；窃取Cookie是XSS的常见后果，破坏硬件和篡改数据库非其主要目标。

4.HTTPS协议默认使用的端口是？

A.80

B.443

C.21

D.22

答案：B

解析：HTTPS基于TLS/SSL加密，默认端口为443；80是HTTP默认端口，21是FTP，22是SSH。

5.以下哪项属于应用层防火墙（WAF）的功能？

A.过滤IP地址

B.检测SQL注入攻击

C.限制TCP连接数

D.防范MAC地址欺骗

答案：B

解析：WAF工作在应用层，可识别并阻断针对Web应用的攻击（如SQL注入、XSS）；过滤IP、限制连接数是传统防火墙功能，MAC欺骗防护属于二层交换机功能。

6.为防止文件上传漏洞，最有效的措施是？

A.限制上传文件大小

B.检查文件扩展名并验证MIME类型

C.对上传文件重命名

D.关闭服务器写权限

答案：B

解析：文件上传漏洞常因仅校验扩展名（可绕过）导致恶意脚本执行，同时校验MIME类型（文件实际内容类型）可更严格控制；限制大小和重命名无法阻止恶意文件执行，关闭写权限影响正常功能。

7.OAuth2.0的核心目的是？

A.实现单点登录（SSO）

B.安全地授权第三方应用访问资源

C.加密传输数据

D.验证用户身份

答案：B

解析：OAuth2.0是授权框架，允许用户授权第三方应用访问其资源（如社交媒体数据）而不泄露密码；SSO是身份认证范畴，加密由TLS实现，用户身份验证由认证协议（如OpenID）完成。

8.以下哪种漏洞属于逻辑漏洞？

A.弱口令

B.越权访问

C.XSS

D.缓冲区溢出

答案：B

解析：逻辑漏洞指应用程序业务逻辑设计缺陷（如未验证用户权限直接访问敏感资源）；弱口令是认证缺陷，XSS是输入输出处理问题，缓冲区溢出是代码安全问题。

9.防止会话劫持的关键是？

A.使用HTTPS加密会话Cookie

B.定期更换数据库密码

C.限制同一IP登录次数

D.启用防火墙端口过滤

答案：A

解析：会话劫持通过窃取未加密的Cookie实现，HTTPS加密可防止Cookie在传输中被截获；其他选项分别针对数据库安全、暴力破解和网络层防护。

10.以下哪项是输入验证的错误做法？

A.白名单校验（仅允许合法字符）

B.黑名单校验（禁止已知危险字符）

C.对输入长度进行限制

D.对输入类型进行格式校验（如邮箱格式）

答案：B

解析：黑名单校验（禁止危险字符）存在绕过风险（如编码、变形字符），白名单（仅允许合法字符）更安全；其他选项均为正确输入验证措施。

11.存储型XSS与反射型XSS的主要区别是？

A.存储型会将恶意脚本保存到服务器

B.反射型攻击需用户主动访问特定链接

C.存储型仅影响当前用户

D.反射型攻击危害更大

答案：A

解析：存储型XSS的恶意脚本会被存储在服务器（如数据库），所有访问该页面的用户都会触发；反射型XSS的脚本仅临时反射回用户浏览器，需用户点击恶意链接。

12.以下哪种加密算法常用于HTTPS的密钥交换？

A.AES

B.RSA

C.SHA-256

D.MD5

答案：B

解析：RSA是非对称加密算法，常用于HTTPS中服务器与客户端的密钥交换；AES是对称加密（用于数据加密），SHA-256和MD5是哈希算法（用于完整性校验）。

13.应用程序日志应重点记录的内容不包括？

A.用户登录失败记录

B.数据库查询语句

C.敏感数据（如密码明文）

D.关键操作（如修改权限）

答案：C

解析：日志中记录敏感数据（如密码明文）会导致泄露风险，应记录哈希值或脱敏处理；其他选项均为安全日志的关键内容。

14.