2025 攻防竞赛核心题库及标准答案.docxVIP

2025攻防竞赛核心题库及标准答案

考试时长：120分钟满分：100分

一、单项选择题（每题2分，共20分）

1.以下哪种攻击方式主要利用Web应用中数据库查询的输入验证缺陷实施攻击？（）

A.XSS攻击B.SQL注入攻击C.CSRF攻击D.文件上传攻击

2.在逆向工程中，用于静态分析二进制文件、查看函数逻辑的常用工具是（）

A.x64dbgB.GDBC.IDAProD.Wireshark

3.RSA加密算法中，用于解密数据的关键参数是（）

A.公钥指数eB.模数nC.私钥dD.密文c

4.以下哪种漏洞属于内存破坏类漏洞，常通过输入超长字符串覆盖程序返回地址实现利用？（）

A.逻辑漏洞B.栈溢出漏洞C.配置错误D.权限绕过漏洞

5.网络取证分析中，用于捕获和分析网络流量包的工具是（）

A.GhidraB.NmapC.WiresharkD.PyCryptodome

6.以下哪种认证方式基于“你拥有的东西”实现身份验证，安全性相对较高？（）

A.用户名/密码B.数字证书C.指纹识别D.短信验证码

7.Web安全中，以下哪个标签常用于构造XSS攻击的恶意代码？（）

A.scriptB.divC.tableD.img

8.以下哪种工具是常见的网络漏洞扫描工具，可用于探测目标主机开放端口及服务信息？（）

A.PhotoshopB.NmapC.OfficeD.Chrome

9.信息安全CIA三要素中，“确保数据不被未授权篡改”对应的要素是（）

A.机密性B.完整性C.可用性D.可控性

10.在Pwn题利用中，构造Payload时，用于填充栈空间至返回地址的部分通常是（）

A.系统函数地址B.垃圾字节C.命令参数地址D.返回地址

二、多项选择题（每题3分，共15分，多选、少选、错选均不得分）

1.以下属于Web应用常见安全漏洞的有（）

A.SQL注入B.栈溢出C.文件上传漏洞D.SSRF漏洞

2.逆向工程分析时，常用的分析方法包括（）

A.静态分析B.动态调试C.流量捕获D.内存取证

3.RSA加密算法的常见攻击方式有（）

A.小模数分解攻击B.低指数攻击C.共模攻击D.暴力破解攻击

4.网络安全防御体系中，常用的防御技术包括（）

A.防火墙B.入侵检测系统（IDS）C.数据加密D.蜜罐技术

5.取证分析中，可能包含隐藏信息的载体有（）

A.图片文件B.内存镜像C.网络流量包D.二进制可执行文件

三、判断题（每题1分，共10分，对的打“√”，错的打“×”）

1.SQL注入攻击中，使用注释符（--或#）可帮助闭合SQL语句中的多余引号。（）

2.逆向工程只能对未加壳的二进制文件进行分析，加壳文件无法破解。（）

3.对称加密算法的加密和解密使用相同的密钥，加密效率通常高于非对称加密。（）

4.栈溢出漏洞的利用不受操作系统防护机制（如ASLR、NX）的影响。（）

5.图片隐写技术可将秘密信息隐藏在图片的像素数据或文件结构中，表面无明显异常。（）

6.防火墙可有效阻止所有类型的网络攻击，是网络安全的唯一保障。（）

7.数字签名不仅能验证数据完整性，还可实现身份认证和防止抵赖。（）

8.Pwn题中，ROP（返回导向编程）技术可用于绕过NX（不可执行）防护机制。（）

9.弱密码容易被暴力破解或字典攻击破解，对系统安全无明显威胁。（）

10.Python的gmpy2库可用于执行RSA加密算法中的大整数模幂运算。（）

四、简答题（每题5分，共25分）

1.简述Web安全中SQL注入漏洞的原理及基本防御措施。

2.逆向工程分析CrackMe程序时，常用的关键分析步骤有哪些？

3.简述RSA加密算法的基本加密和解密流程。

4.说明栈溢出漏洞的利用原理，列举至少两种常用的防护机制。

5.简述网络取证分析的基本流程，列举两种常见的取证分析工具及其用途。

五、综合实操题（每题15分，共30分）

1.Web渗透实操题

场景：某登录页面代码片段如下，已知该页面存在SQL注入漏洞，要求构造Payload获取users表中管理员（username为admin）的密码（存储在password列）。

关键代码：$sql=SELECT*FROMusersWHEREusername=.$_POST[username].ANDpasswo