1+x网络安全评估考试题（附答案）.docxVIP

1+x网络安全评估考试题（附答案）

一、单选题（共66题，每题1分，共66分）

1.TCP协议采用以下哪种方式进行流量控制?

A、滑动窗口

B、超时重传

C、停止等待

D、重传机制

正确答案：A

2.如何防御包含漏洞，以下说法错误的是？

A、文件名中要包含目录名

B、限制包含的文件范围

C、避免由外界制定文件名

D、对于远程文件包含，设置php.ini配置文件中allow_url_include=off

正确答案：A

3.以下哪种攻击可以获取目标的cookie？

A、XSS

B、Sql注入

C、文件包含

D、变量覆盖

正确答案：A

4.Windows操作系统中查看ARP缓存表的命令是（）。

A、arp-a

B、arp-d

C、arp-s

D、arp-n

正确答案：A

5.下面哪个选项不是NAT技术具备的优点？

A、保护内部网络

B、节省合法地址

C、提高连接到因特网的速度

D、提高连接到因特网的灵活性

正确答案：C

6.关于文件包含漏洞，以下说法中不正确的是？

A、文件包含漏洞在PHPWebApplication中居多,而在JSP、ASP、http://ASP.NET程序中却非常少，这是因为有些语言设计的弊端

B、渗透网站时，若当找不到上传点，并且也没有url_allow_include功能时，可以考虑包含服务器的日志文件

C、文件包含漏洞只在PHP中经常出现，在其他语言不存在

D、文件包含漏洞，分为本地包含，和远程包含

正确答案：C

7.密码使用场景不包括下列哪个？

A、通讯类

B、唯一性

C、财产类

D、隐私类

正确答案：B

8.alert()函数是用来干什么的？

A、关闭当前页面

B、打开新页面

C、重新打开页面

D、弹窗

正确答案：D

9.IIS命令执行中，我们通常用来测试命令执行的payload执行结果是？

A、shutdown

B、开启远程桌面连接

C、弹出计算器

D、反弹shell

正确答案：C

10.OSI第四层是哪一层（应用层为第7层）？

A、网络层

B、传输层

C、物理层

D、链路层

正确答案：B

11.PHP语言中，单引号和双引号区别

A、单引号会将内部变量解析后输出，双引号会将字符原义输出

B、单引号会将内部字符进行过滤，双引号不会将内部恶意字符过滤

C、单引号会将字符原义输出，双引号会将内部变量解析后输出

D、单引号不会将内部恶意字符过滤，双引号会将内部字符进行过滤

正确答案：C

12.反射型xss通过什么传参？

A、GET

B、POST

C、FROM

D、PUT

正确答案：A

13.点击Proxy组件中的哪个按钮将拦截下来的包丢弃

A、Action

B、Forward

C、Drop

D、Command

正确答案：C

14.网络运营者应当为（）国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

A、公安机关

B、网信部门

C、检察院

D、工信部门

正确答案：A

15.关键信息基础设施的运营者采购网络产品和服务，可能影响（）的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

A、信息安全

B、国家安全

C、网络安全

D、政府安全

正确答案：B

16.下面哪个不是IP协议的头部信息?

A、首部长度

B、生存时间

C、端口号

D、版本号

正确答案：C

17.Burpsuite代理HTTP流量时作为什么角色

A、TCP中继

B、代理服务器

C、路由器

D、网关

正确答案：B

18.下面关于htmlspecialchars()说法错误的是？

A、该函数用于转译字符（在后面加上反斜线）

B、该函数用于对一些字符进行xss实体编码

C、该函数可用于过滤xss

正确答案：A

19.XSS跨站脚本攻击可以插入什么代码？

A、JAVA

B、Javascript

C、PHP

D、ASP

正确答案：B

20.路由器是工作在以下哪一层的设备？

A、传输层

B、网络层

C、链路层

D、物理层

正确答案：B

21.关于命令执行漏洞，以下说法错误的是？

A、该漏洞可导致黑客控制整个网站甚至控制服务器

B、命令执行漏洞是指攻击者可以随意执行系统命令

C、命令执行漏洞只发生在PHP的环境中

D、没有对用户输入进行过滤或过滤不严可能会导致此漏洞

正确答案：C

22.下列哪一项不是黑客在入侵踩点（信息搜集）阶段使用到的技术？

A、IP及域名信息收集

B、使用sqlmap验证SQL注入漏洞是否存在

C、公开信息的合理利用及分析

D、主机及系统信息收集

正确答案：B

23.XSS不能用来干什么？

A、获取用户cookie

B、预测会话凭证

C、固定会话

D、劫持用户会话

正确答案：B

24.会话固定的原理是？

A、让目标使用自己构造好的凭证登录

B、让目标误以为攻击者是服务器

C、预测对方登录可能用到