|
|
-[南开大学]20春学期(1709、1803、1809、1903、1909、2003)《攻防技术基础》在线作业
试卷总分:100 得分:100
第1题,在软件产品完成开发并发布后,往往在功能、安全性、运行稳定性等方面不能满足用户要求或者暴露出问题,为此,需要对软件进行()。9 s g# x0 m2 x7 ^9 c
A、管理
B、维护
C、测试
D、更新
正确答案:7 I! W7 T" Y2 q; J
第2题,进程使用的内存区域有()。
A、代码区和数据区
B、数据区和堆栈区. e* a% x$ S6 ]
C、代码区、数据区和堆栈区0 L1 V, _9 L1 N! T6 n
D、数据区和代码区
正确答案:# I- a+ P6 g6 S' o; d
第3题,以下命令解释错误的是()。
A、mv 移动或重命名 }! z; y& s" l5 z- r7 X
B、grep在文本文件中查找某个字符串
C、ln创建链接文件
D、ps 查看磁盘大小/ k$ {6 k: W" B! s( `
正确答案:
5 I; O/ E- {7 w
第4题,以下哪项上传的文件不会造成危害()。
A、木马1 n/ f2 E2 k: |5 R- W5 q
B、文本文件
C、恶意脚本
D、Webshell) Q9 ]- b1 b7 o# u
正确答案:
8 }! n/ b' n' h% B' ~( X# g
答案来源:谋学网(www.mouxue.com),数据执行保护DEP技术可以限制内存堆栈区的代码为(),从而防范溢出后代码的执行。
A、不可执行状态
B、可执行状态
C、不可编译状态% w0 h& x3 K2 z8 w8 w r" _
D、捕获异常状态
正确答案:/ E$ W3 [% h& d8 z {! G( G% P
: U% k- {5 t( Q. ^1 h$ V
. V8 _$ q; |/ @9 o5 f# K; Q) s! Y
第6题,()成立于1999年9月,是工业和信息化部领导下的国家级网络安全应急机构。
A、BugTraq
B、CNCERT
C、CNNVD% A J$ s# S, |7 p7 q
D、EDB7 d- Z$ N8 i7 U- f
正确答案:
6 c! y1 l1 _4 n K e- T
第7题,蠕虫病毒的传染目标是()。
A、计算机内的文件系统! x& Y- d6 d4 k0 e2 k% m9 q
B、计算机内的病毒/ |* B4 T o9 s, G1 b! D
C、计算机内的木马
D、互联网内的所有计算机
正确答案) W6 r1 r+ Z* a
J: m" L+ |& B1 S
第8题,以下有关SQL说法错误的是()。7 i8 k7 ~' o4 F# c: a8 P
A、SQL是用于访问和处理数据库的标准的计算机语言。
B、SQL由数据定义语言(DDL)和数据操作语言(DML)两部分组成。
C、DDL用于定义数据库结构,DML用于对数据库进行查询或更新。
D、DDL主要指令有SELECT、CREATE等。! f2 C$ ?5 k: w! y6 t
正确答案:
$ u4 ^% E! P7 g
第9题,网页与HTML对应的关系是()。
A、一对一: V; U" g* Z' d- M9 v% i$ {
B、多对一! x5 h$ M* `/ J; U. k5 X
C、一对多
D、多对多
正确答案:
答案来源:谋学网(www.mouxue.com),前整个渗透测试方提体系中最容易被忽略、最不被重视、最易受人误解的一环是()。
A、前期交互
B、漏洞分析
C、信息搜集
D、威胁建模
正确答案:
( Q+ S) \. Z" j! F+ L, e
第11题,()是指厂商已经发布补丁或修补方法,大多数用户都已打过补丁的漏洞。0 Q5 H. J7 d5 T" A, }* Q+ s# n
A、0day漏洞* V* A, I' U2 V' e' k
B、1day漏洞: ^: a+ \1 D+ r
C、未公开漏洞
D、已公开漏洞
正确答案
0 | J1 {9 j+ n$ F. w O
/ o3 |$ b; y3 Q
答案来源:谋学网(www.mouxue.com),下面有关XSS描述错误的是()。 t; W H3 r; l6 x9 u
A、XSS根据其特征和利用手法的不同,主要分成两大类型:一种是反射式跨站脚本;另一种是持久式跨站脚本。, p8 ~+ Y: W1 r _6 `/ z
B、反射式跨站脚本也称作非持久型、参数型跨站脚本。主要用于将恶意脚本附加到URL地址的参数中。
C、反射式跨站脚本也称作非持久型、参数型跨站脚本。主要用于将恶意脚本附加到URL地址的参数中。3 g/ ]3 s; Z0 `+ K2 r
D、存储式XSS中的脚本来自于Web应用程序请求。4 o& i: c8 U! e
正确答案9 u4 A- M4 U( ?% h# q
) D" e$ t! M5 n, l2 G
第13题,IDA PRO简称IDA,是一个交互式()工具。
A、调试
B、汇编
C、编译7 @6 G) p' h2 M4 L
D、反汇编0 I, R0 v& C% u+ w) N
正确答案$ s. m( v& s' q2 a0 I& q" z
, l x7 F, Z" Y/ l+ ]6 @
第14题,以下哪项指令全部属于算数运算指令()
A、MOV、ADD、ADC' Z7 T5 U+ F: y" I* E
B、PUSH、POP、LOOP
C、INC、SUB、AND
D、ADD、SBB、MUL
正确答案
, B X) Q( W5 ?6 }- k9 l
答案来源:谋学网(www.mouxue.com),网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限以及各类账户信息并从中谋取()的一条产业链。3 g) q( M8 N! k
A、非法经济利益# l+ A5 |$ `( M( v" [
B、经济效益
C、效益
D、利润
正确答案:# d) r9 s# _) D6 R) b2 j0 I
第16题,以下哪个选项属于木马()。" F* J3 N9 H& V. n9 h
A、震网病毒
B、WannaCry( |' u) Q2 Q6 m Y* f4 O' c
C、灰鸽子
D、熊猫烧香
正确答案:' m0 J7 }0 v: r
& I! _/ J, p( \
第17题,()是针对二进制代码的测试。
A、白盒测试
B、黑盒测试+ i3 F6 A' o a( `
C、灰盒测试* f" O5 [- o( q- A. g5 t9 D: r
D、模糊测试$ X+ p; g7 |$ \9 M! i
正确答案:* R2 d, [* w2 i
$ ~6 y" e& L; y+ j$ O
第18题,以下有格式化符号选项错误的是()5 B; R" b; B7 g. _* G
A、%o以八进制数形式输出整数
B、%f用来输出虚数,以小数形式输出
C、%n不向printf传递格式化信息4 u; V' W; w7 F
D、%s用来输出一个字符串
正确答案:
第19题,下面说法错误的是()。
A、GET请求的数据会附在URL之后。
B、POST请求的数据会附在URL之后。
C、POST把提交的数据放置在HTTP包的包体中。; g: F, J) C c! c1 C( C4 S) r) ?
D、通过GET提交数据,用户名和密码将明文出现在URL上。( \! k' B! T$ g4 }+ X% b
正确答案:# L- ^0 e, B0 y8 w; n$ X
答案来源:谋学网(www.mouxue.com),以下哪项不是Javascript在网页中的用途()。
A、嵌入动态文本于HTML页面
B、对浏览器事件做出响应/ d# J6 z* o2 J0 [5 }, G. I
C、表示HTML文件开头
D、控制cookies创建和修改5 t4 E, U, ?2 h, S; r' Z, u1 I
正确答案:
& d1 w1 [( `/ n& Z9 J
第21题,()的方法通过将程序转换并表示为逻辑公式,然后使用公理和规则证明的方法,验证程序是否为一个合法的定理,从而发现其中无法证明的部分,从中发现安全缺陷。& |0 w; w: O; F0 n6 }4 R
A、定理证明
B、模型检验/ W% X% g, B+ V% s" {) x$ F z* Q
C、符号执行
D、词法分析
正确答案:
第22题,栈是由()分配,堆由()分配。/ Q; u/ \) Z- O& A7 W3 k- `( h9 {1 t
A、系统自动、程序员自己申请) E) F8 x" i! U% m9 z; D
B、程序员自己申请、程序员自己申请
C、系统自动、系统自动+ [! _; g, {! P/ |5 R' Z# t
D、程序员自己申请、系统自动
正确答案:2 t( `6 H1 p: y
- p: B& s7 e" f! I9 l; e
, v& _9 d, i/ i0 Q
第23题,以下哪项不是情报搜集阶段要做的事情()。* Q$ Z: y4 |- L8 [$ R
A、社会工程学; L. k) {% e R
B、被动监听" [0 P) ^0 ?) ^' i
C、与客户交流
D、公开来源信息查询
正确答案:
- G' u) g: `; K# {
$ n4 h* u+ ~ E
第24题,地址空间分布随机化ASLR(addressspace layout randomization)是一项通过将()随机化,从而使攻击者无法获得需要跳转的精确地址的技术。
A、物理地址* q* @. d: T2 i- K
B、逻辑地址
C、虚拟地址
D、系统关键地址
正确答案
( D% V: K- |" x; \: V
/ C+ A# O1 I' a9 j" x5 J& H$ \8 ?
答案来源:谋学网(www.mouxue.com),为了提高瀑布模型的开发效率,在系统的架构设计完成后,可将系统分为多个可()开发的模块。; s; X T6 k/ B1 F1 P: M
A、快速
B、高速3 M C0 t- d2 @+ `! U3 V
C、并行* D x/ r: N2 ^8 P9 K: Z: E1 _* n2 t
D、分别& `2 [; A! A. ?! ?& u
正确答案:# v8 p; S" @: z7 w- s" }
6 _# K1 i# |$ d9 [1 S& o
第26题,Weakness指的是系统难以克服的缺陷或不足,缺陷和错误可以更正、解决,但不足和弱点可能没有解决的办法。
T、对
F、错
更多答案下载:谋学网(www.mouxue.com)
) M2 T) `& }* B! h
第27题,为了减少漏洞的产生,尽量用复杂的代码。 V9 ?" o0 h# l" ?' j
T、对 O/ U# ~* [, I4 k! G R& b; G t
F、错 R! c/ q/ Y+ S' J$ y! ?' o
正确答案:
. |( M4 _6 |: V# E8 F7 e( I
第28题,充分考虑软件运行环境,这是软件设计的基础。- f" |# f. \! d; S9 R% ]. j
T、对+ O3 \" X" o/ b8 V
F、错: k9 t& ~! l6 L$ V' U. v+ s
正确答案:
, g- k# D0 R- D' L
) p9 y1 u) J! B$ p7 l1 F- Y# l5 t
第29题,智能模糊测试不需要进行对可执行代码进行输入数据、控制流、执行路径之间相关关系的分析。1 s$ j5 G( }0 |% f" u' C. x2 \# `$ s
T、对
F、错
正确答案:
: s; @. ^) V/ e$ G8 m0 a
$ L' x$ J2 q* ?9 N
答案来源:谋学网(www.mouxue.com),堆空间是由低地址向高地址方向增长,而栈空间从高地址向低地址方向增长。% N h8 J- \/ x8 y' C: i. {* z( c! O
T、对9 K5 }9 m$ i0 h0 t( |/ h
F、错( G# F f; b0 Q9 L5 H m( _! y, A [
正确答案:
6 M: } W' J9 J: W: u+ m
第31题,运行时的验证测试过程是先解析测试目标的结构和格式,然后收集尽可能多的有效的输入样本库,然后依据输入样本进行畸形化变异操作,最后拿畸形化后的非正常样本进行测试,并检测是否发生异常。3 T% P7 N! v6 Y: q
T、对/ c( {8 a& J7 {: A T+ u
F、错
正确答案:
7 l/ w; E% k; x) ~
! x' D: e2 L8 ^) R* {
第32题,Vulnerability和Hole都是一个总的全局性概念,包括威胁、损坏计算机系统安全性的所有要素。! i. b" K. D0 n
T、对
F、错
正确答案:
第33题,智能模糊测试的关键是反汇编。7 |0 P" \& J9 m3 o3 K- E& w
T、对7 I1 s* r: M) r0 t% G
F、错# `: G w. u# k2 K
正确答案:F" C9 S" V5 y% e1 L
, G' R2 I! `: D- q* n# }, T
第34题,全面防御原则是针对软件的不同使用用户、不同程序或函数,在不同的环境和时间给予不同的权限。* I0 o2 R9 ]$ ^8 V: T
T、对
F、错
正确答案:F: V7 N/ B' M# o( `$ m3 |
$ G% T" z0 u; C( R* H7 u' q& D) k3 X
- \( x" @& i% z- o# [% ^$ P" Y
第35题,Nessus工具不仅可以在电脑上使用,而且还可以在手机上使用。# q- G$ U& ~+ X8 d( v
T、对, k. u5 ~- J! |6 J! f' Q$ x0 H
F、错
更多答案下载:谋学网(www.mouxue.com)$ S3 L. L! W% s7 m$ Z& M
0 Q% ]0 c: O, O0 U" O
( U% A" u* w/ M, E1 C
第36题,主动信息收集也就是说不会与目标服务器做直接的交互、在不被目标系统察觉的情况下,通过搜索引擎、社交媒体等方式对目标外围的信息进行收集。+ o3 W; a% Q* V. }4 J8 H
T、对
F、错! I. I6 I; ~0 z/ Z- s, N
正确答案:F) k$ y1 U8 t5 [% t( p
( h8 }! u6 ~9 n+ X, V
第37题,加壳过的程序不可以直接运行,但是能查看源代码。% x C6 R6 o+ q' a5 d+ V4 p7 ]
T、对& Q& q- e# H) i) u3 e
F、错1 T& D: E5 k5 Q/ x# k
正确答案:F
第38题,SEH(Structured Exception Handler)是Linux异常处理机制所采用的重要数据结构链表。" V* z& k" p4 _4 X" d
T、对" V& G, o, O) X" {
F、错
正确答案:
$ w+ W" d0 o0 C( T
! v; V$ ]4 Z8 k: r& w5 e' S
第39题,Saturn安全检测工具使用的是模型检验技术。& @' o/ F6 m. q2 [4 A6 [
T、对( u% E$ d( _+ z/ T" `
F、错
正确答案:
第40题,Session的使用是由浏览器按照一定的原则在后台自动发送给服务器的。$ L! Y$ o6 O. R. p# A+ e1 ]' y+ ]' g
T、对
F、错
正确答案:* H" l! ~& A: z' N* [1 y$ A% M
D" c& P, b( Y
第41题,当格式化符号为%s时以16进制的形式输出堆栈的内容,为%x时则输出对应地址所指向的字符串。
T、对6 T q7 L2 h& w$ O) } n
F、错
正确答案:
k5 |& [3 p) f
第42题,全面检查访问对象的路径、调用的返回代码及关键的输入参数属于数据的机密性。
T、对
F、错5 Q) ~$ E; D4 T, ]
正确答案:3 C9 R+ d+ V& M+ t
+ [7 ?# ^" s! Z! y
第43题,指令的地址字段指出的不是操作数的地址,而是操作数本身,这种寻址方式称为直接寻址。
T、对
F、错
正确答案:
: r( X# D+ R7 c/ ~" d# h
9 w: Y, I' a/ ~
第44题,最小权限原则是为软件授予其所需要的最少权限。) R5 k( b7 f1 [( e0 f8 [
T、对. m0 ^# |8 ]2 C1 ]* K
F、错% i/ G+ z' i% |/ z
更多答案下载:谋学网(www.mouxue.com)
1 H8 n) u% e l' k! T' q# S6 J$ C, L
第45题,Metasploit模块中的所有参数只有set一个状态。' }- p1 i# Q4 K, A4 M* q
T、对
F、错
正确答案 {# p/ y" C$ g! y2 m
8 t" ^5 ?2 i b/ O' O
+ F: w D- l- D1 X
第46题,数据流分析适合检查因控制流信息非法操作而导致的安全问题,如内存访问越界、常数传播等。
T、对
F、错
正确答案:
. _3 E2 a2 U# t. q1 j% R9 S& Q
第47题,漏洞利用中最关键的是Shellcode的编写,对一些特定字符需要转码,函数API的定位比较简单。 m! e9 }6 d# H" w# \$ E5 B# p
T、对
F、错
正确答案:F
第48题,Kali Linux是专门用于渗透测试的Linux操作系统,含有可用于渗透测试的各种工具。7 s3 C+ x5 j# |) C, o* ^0 P
T、对
F、错
第49题,软件安全测试不但可以进行对软件代码的安全测试,还可以对软件成品进行安全测试。
T、对
F、错
正确答案: F
由于堆与栈结构的不同,堆溢出不同于栈溢出。相比于栈溢出,堆溢出的实现难度要小一点,而且往往要求进程在内存中具备特定的组织结构。
T、对
F、错
正确答案 |
|
发表于 2021-3-22 14:58:29
