2025年大学生网络安全知识竞赛题库及答案.docxVIP

2025年大学生网络安全知识竞赛题库及答案

一、单项选择题（每题2分，共40分）

1.以下哪项是《中华人民共和国网络安全法》规定的关键信息基础设施运营者应当履行的义务？

A.每季度进行一次网络安全检测

B.对重要系统和数据库进行容灾备份

C.仅存储境内用户个人信息

D.无需向社会发布网络安全风险预警

答案：B

解析：《网络安全法》第三十四条规定，关键信息基础设施运营者应当对重要系统和数据库进行容灾备份，A选项应为“每年至少进行一次检测评估”，C选项“仅存储”表述错误（确需出境的需安全评估），D选项需按规定发布预警。

2.攻击者通过构造特殊HTTP请求，使服务器返回包含敏感信息的错误页面（如数据库连接字符串），这种攻击方式属于？

A.CSRF

B.XXE

C.信息泄露

D.路径遍历

答案：C

解析：信息泄露指因系统配置不当或代码缺陷，导致敏感信息意外暴露。CSRF是跨站请求伪造，XXE是XML外部实体注入，路径遍历是通过目录跳转访问未授权文件。

3.以下哪种加密算法属于非对称加密？

A.AES-256

B.SHA-256

C.RSA

D.DES

答案：C

解析：RSA使用公钥和私钥对，属于非对称加密；AES、DES是对称加密，SHA-256是哈希算法。

4.某高校图书馆Wi-Fi认证页面要求输入学号和身份证号后6位，这种设计的主要安全风险是？

A.弱口令风险

B.敏感信息明文传输

C.会话劫持

D.拒绝服务攻击

答案：B

解析：身份证号后6位属于敏感信息，若未通过HTTPS传输，可能被中间人截获。弱口令指密码复杂度不足，会话劫持需获取会话ID，拒绝服务攻击是流量淹没。

5.根据《个人信息保护法》，处理未满多少周岁未成年人个人信息的，应当取得其父母或其他监护人的同意？

A.14周岁

B.16周岁

C.18周岁

D.12周岁

答案：A

解析：《个人信息保护法》第三十一条明确，处理不满十四周岁未成年人个人信息的，应取得其父母或其他监护人同意。

6.攻击者利用目标系统未及时更新的漏洞（如CVE-2024-1234）发起攻击，这种攻击属于？

A.社会工程学攻击

B.零日攻击

C.已知漏洞攻击

D.钓鱼攻击

答案：C

解析：零日攻击指利用未公开漏洞（0day），已知漏洞攻击（Nday）指利用已公开但未修复的漏洞，CVE编号已发布说明是已知漏洞。

7.以下哪项是防范SQL注入攻击的最佳实践？

A.对用户输入进行简单字符串替换（如替换“;”为“”）

B.使用预编译语句（PreparedStatement）

C.在数据库层面禁用DROP命令

D.限制数据库连接的IP地址

答案：B

解析：预编译语句将用户输入与SQL指令分离，从根本上防止注入。简单替换易被绕过（如编码绕过），禁用DROP无法防范查询型注入，限制IP是网络层防护非应用层。

8.某同学收到邮件：“您的校园卡积分即将过期，点击链接领取”，链接指向“/积分兑换”，但URL实际为“/积分兑换”（注意域名差异），这种攻击属于？

A.域名劫持

B.钓鱼邮件

C.水坑攻击

D.中间人攻击

答案：B

解析：钓鱼邮件通过仿冒可信域名诱导用户输入信息。域名劫持是篡改DNS解析结果，水坑攻击针对特定群体的网站投毒，中间人攻击是拦截通信。

9.以下哪种场景符合“最小权限原则”？

A.实验室服务器管理员使用root账户日常登录

B.学生社团网站数据库账号仅具备查询权限

C.图书馆电脑默认安装所有系统更新

D.校园网出口防火墙开放全部80/443端口

答案：B

解析：最小权限原则要求仅授予完成任务所需的最小权限，社团网站数据库无需修改权限，仅查询符合要求。root账户日常使用违反原则，默认安装更新是补丁管理，开放全部端口违反最小化开放。

10.区块链技术中，以下哪项机制用于保证交易记录的不可篡改性？

A.共识算法（如PoW）

B.哈希链（HashChain）

C.智能合约

D.分布式存储

答案：B

解析：每个区块包含前一区块的哈希值，形成哈希链，修改任一区块会导致后续所有区块哈希值改变，从而暴露篡改。共识算法保证记账权，智能合约是执行逻辑，分布式存储是冗余备份。

11.某APP在用户注册时要求读取通讯录、位置信息，但功能描述仅提及“社交分享”，这种行为违反了《个人信息保护法》的哪项原则？

A.目的明确原则

B.最小必要原则

C.公开透明原则

D.质