|
|
[南开大学]20春学期(1709、1803、1809、1903、1909、2003)《攻防技术基础》在线作业& `% G e- r6 |: d; R: {! r% |, R
试卷总分:100 得分:100
第1题,以下哪项属于PE文件的数据节()
A、.text
B、.txt7 n2 z) i6 ~' ^' Q( ^
C、.docx- P4 ~4 }$ |; ^) {7 l# g2 p
D、.xls9 x% x' r& J! N. U# K) [
正确答案:7 L1 A+ c& ]& h, G1 b
1 x# I3 o9 j5 ^! m4 U2 ^9 l! D
第2题,以下哪项指令全部属于算数运算指令()
A、MOV、ADD、ADC2 d" l$ V, ]/ C# q) s
B、PUSH、POP、LOOP$ J; ^; Q4 X& y; c4 ^
C、INC、SUB、AND
D、ADD、SBB、MUL
正确答案) K, c* n0 s- }6 F) ]! D
# R: F& [) }% S, G
第3题,以下哪项不是PHP的注释符号()。
A、#//
B、--+
C、/* */* }& T0 {6 X7 \, Q) J
正确答案:7 U) }6 x( X. K- {! V- }' R7 D, {
3 V' O* K# H6 M+ F8 C9 e
. z Y% a+ w% C7 H o! P$ @
第4题,下面描述错误的()。; l5 X4 f! O6 R0 C* m
A、<head> 定义了文档的信息
B、<link> 定义了HTML文档中的元数据
C、<script> 定义了客户端的脚本文件! d8 C: I( E0 \# y: v: Y
D、<base> 定义了页面链接标签的默认链接地址
正确答案:
+ U* h) n# D$ G: F6 ?" D
答案来源:谋学网(www.mouxue.com),以下哪项不是一句话木马()。2 Z- j4 o1 R' \# i8 Y. x5 U2 ?- }
A、7 w9 P4 |7 d( i ?7 j2 r+ i( _
B、; L2 [8 G9 @7 G' J3 B" g4 \. C
C、/ U# B5 G; E- x$ [5 P+ P, c( T
D、; a5 @4 n; }! z/ @8 M
正确答案:% ~ q- s( w* R+ N# Z
0 ?7 J2 a$ x ]+ L4 e1 Z5 Y
第6题,以下说法错误的是()
A、Heap Spray也称为堆喷洒技术,是在shellcode的前面加上大量的滑板指令,组成一个非常长的注入代码段。& E& g) x/ u. l8 x
B、滑板指令是由大量NOP空指令0x90填充组成的指令序列,当遇到这些NOP指令时,CPU指令指针会一个指令接一个指令的执行下去,中间不做任何具体操作。
C、Heap Spray的内存占用非常小,计算机可以正常运转,因而不容易被察觉。
D、支持硬件DEP的CPU会拒绝执行被标记为不可执行的(NX)内存页的代码。8 [( O6 s- d2 |& R6 M2 D5 ~) q% f
正确答案:1 R; b7 y+ [9 l) }6 j5 d
! ^" R9 G2 M; o0 L* X( O
第7题,在()阶段,渗透测试团队与客户组织进行交互讨论,最重要的是确定渗透测试的范围、目标、限制条件以及服务合同细节。- l2 {8 {/ n I- F
A、前期交互) x# C' V0 Q: P
B、情报搜集$ `' s, e, \5 d! v
C、威胁建模
D、渗透攻击5 R9 X4 V+ B( G5 D: J
正确答案:
) S! k" n9 @* Y5 |: e
- A: @" T) I& r; V
第8题,Pin是由()公司开发和维护,具有跨平台特性的一个强大的动态二进制指令分析框架。
A、IBM
B、Google
C、Intel
D、Apple
正确答案:4 p6 x2 R! {9 _: T- t5 @
第9题,Cookie与Session是与HTTP会话相关的两个内容,其中()存在在浏览器,()存储在服务器中。
A、Session、Cookie7 D) T. C O% j0 Z6 n3 I" `
B、SessionId、Cookie
C、Cookie、SessionId
D、Cookie、Session# Y0 @" g) y5 j0 |- b
正确答案
# \$ n% ?! Q; ]$ b$ z p+ M* A
答案来源:谋学网(www.mouxue.com),下面有关XSS描述错误的是()。( P" G* q- H; ^
A、XSS根据其特征和利用手法的不同,主要分成两大类型:一种是反射式跨站脚本;另一种是持久式跨站脚本。, B# b1 T- j3 j) M9 F$ e
B、反射式跨站脚本也称作非持久型、参数型跨站脚本。主要用于将恶意脚本附加到URL地址的参数中。7 _8 U9 l- {. t! \, l# h2 n
C、反射式跨站脚本也称作非持久型、参数型跨站脚本。主要用于将恶意脚本附加到URL地址的参数中。
D、存储式XSS中的脚本来自于Web应用程序请求。# J! K+ @- d L3 I% o
正确答案, k2 E4 S, p5 H, i, u* m
3 Q6 ]( R3 v7 l; H8 _* A* u
第11题,进程使用的内存区域有()。
A、代码区和数据区; s" o$ |& ~8 l# B
B、数据区和堆栈区
C、代码区、数据区和堆栈区
D、数据区和代码区' ]6 D: r% G0 A3 a6 q
正确答案:4 h. s4 c: o: M7 e
- A% ?4 K9 f( R1 V( }2 E
答案来源:谋学网(www.mouxue.com),软件静态安全检测技术是针对()的软件所开展的安全分析测试技术。
A、运行状态
B、调试状态
C、未处于运行状态
D、编译状态
正确答案:
% @5 [9 R2 d6 k' n; B* D
/ a, h- ~- a( n! i
第13题,想要查找URL中包含nankai的搜索指令的是()。: k0 R; j3 N R
A、site:nankai
B、inurl:nankai
C、intitle:nankai. w6 n& U2 z8 `, t4 g- l
D、ip:nankai: X/ m d0 D, ?& ^6 J* u
正确答案:6 e" R7 z, a t: ?
* e6 \$ o4 i2 F" h
第14题,以下说法错误的是(). p; }/ e& P% b" L3 q2 W
A、静态分析可以比较全面地考虑执行路径,漏报率比动态分析低。3 f. }/ U6 g, Q% i% o) o4 E
B、动态分析由于获取了具体的运行信息,因此报告的漏洞更为准确,误报率较低。
C、将动态分析和静态分析结合起来对二进制进行分析,这种技术比单纯的动态和静态分析更加简单,比较有代表性的是BitBlaze。
D、TEMU是BitBlaze的动态分析模块,其实质是一个虚拟机。
正确答案:
答案来源:谋学网(www.mouxue.com),指令的地址字段指出的不是操作数的地址而是操作数本身,这种寻址方式称为()。2 U* G6 u- t% s. ]5 _9 i- s- R
A、直接寻址
B、间接寻址' V+ Z- l3 m0 q6 B
C、立即寻址3 G1 B2 [# D9 K3 ^9 D
D、基址寻址
正确答案:8 F' ~. I- ~9 j2 t( G
0 h% z2 A% E7 N3 \ t: s
第16题,以下哪项不是符号执行进行源码检测的工具()0 R# D0 x4 O2 g( X% {4 S
A、SMART) d2 h [, j5 q
B、KLEE
C、SAGE' }: ^1 @6 f5 P
D、Pixy7 Y" o* O# h8 B4 g2 z( }
正确答案. U7 U: c. D2 H! W0 [: ^4 L& v
. \( f. B" p. k5 f4 |+ q5 @' u
第17题,为了提高瀑布模型的开发效率,在系统的架构设计完成后,可将系统分为多个可()开发的模块。! b0 }3 m0 C1 V4 e
A、快速3 P; l s, L& x% S. J; D+ q6 p
B、高速
C、并行1 Y1 k6 N5 I+ i5 [7 z+ U0 e
D、分别4 ~6 a' x# d' i* G- x) {/ O
正确答案:
第18题,缓冲区溢出漏洞是程序由于缺乏对缓冲区()检查而引起的一种异常行为。$ [; q- O, N3 I8 x, ~' U
A、边界条件! s4 f3 m. z) r' I' Z
B、容量大小2 Y6 {+ \7 g# Q6 e
C、内存地址
D、内存位置
正确答案:
5 l& S N! M1 ]/ ]3 I
第19题,()是指厂商已经发布补丁或修补方法,大多数用户都已打过补丁的漏洞。+ P- ^ O1 F5 K+ s M A2 j0 o8 H
A、0day漏洞: @- e* y+ g( E3 b- ?3 n) o. q
B、1day漏洞2 Y2 D$ Y5 O; }# \/ s
C、未公开漏洞8 ?1 b j: r5 w4 A/ V- O
D、已公开漏洞
正确答案
5 b1 R4 U# v% h& `0 w1 u- z- E
答案来源:谋学网(www.mouxue.com),当传输层没有进行安全保护时,会遇到()安全威胁。
A、MITM; x6 s/ _' z! b# I5 g7 D. _ D
B、XSS
C、SQL
D、SSRF2 r) t5 l1 }4 X: w) [
正确答案:
1 W* }* r' |# ~# [
第21题,()把软件开发的过程划分为需求-分析-设计-编码-测试等几个阶段进行,每一个阶段都明确定义了产出物和验证的准则。
A、瀑布模型
B、螺旋模型
C、迭代模型" I! O$ W4 l+ E6 t
D、快速原型模型
正确答案:
; |5 a o' s; Y/ P
* }6 i u7 j6 x
第22题,栈的存取采用()的策略。9 O9 ]* _/ S( b' q6 N$ l" z
A、先进先出
B、后进先出
C、后进后出# _( d( l- P7 ^6 d
D、先进后出
正确答案* B2 l& z7 }4 i, y/ o' e
& d3 D d# F: m, y ]( T @
第23题,下面说法错误的是()。2 f8 d: X ^* G& e' R1 c
A、GET请求的数据会附在URL之后。8 y# P. e2 E0 @# Y) W
B、POST请求的数据会附在URL之后。; d' ?; p: H" c0 a4 g
C、POST把提交的数据放置在HTTP包的包体中。. ^8 o4 \- B' W$ _- h
D、通过GET提交数据,用户名和密码将明文出现在URL上。4 c! @ p* P$ O- w+ @4 o
正确答案:
3 @0 I4 N; F" r2 n% q
# N8 j$ b6 x: k9 T/ [ ^5 D! ?$ g
第24题,网页与HTML对应的关系是()。2 T( `' }9 |) l4 P; a
A、一对一5 {& Z4 z) T' X8 S% S) r$ j
B、多对一
C、一对多 F9 q2 J, ]! k" q0 O
D、多对多: p9 [, M6 a1 \3 ^# g; E
正确答案:
" e1 a7 ?- c- k) F7 V
答案来源:谋学网(www.mouxue.com),以下有关SessionID说法错误的是()
A、最常见的做法是把SessionID加密后保存在Cookie中传给服务器。 o: e- c3 q7 U( H' a
B、SessionID一旦在生命周期内被窃取,就等于账户失窃。, ^( @/ x7 A' X& h- K) R
C、如果SessionID是被保存在Cookie中,则这种攻击被称为Cookie劫持。
D、SessionID只可以作为请求的一个参数保持在URL中传输。+ t- V2 {% H H% e2 ]
正确答案3 u1 a9 F1 L& Z/ `( Y7 K+ t
第26题,模型检验对于路径和状态的分析过程可以实现全自动化;但是由于穷举所有状态,所以同样存在计算能力受限的问题。
T、对
F、错* ~. d3 P7 F7 F* S; R3 p' }
更多答案下载:谋学网(www.mouxue.com)
2 k8 Q. v, ?/ M+ A; [
第27题,情报搜集是否充分在很大程度上决定了渗透测试的成败。
T、对
F、错
更多答案下载:谋学网(www.mouxue.com)
第28题,WebShell后门隐蔽较性高,可以轻松穿越防火墙,访问WebShell时不会留下系统日志。2 B; w+ n% n& n( h3 p+ W" V
T、对
F、错
更多答案下载:谋学网(www.mouxue.com)
. E' l% ?1 E M4 f) E% f
" `' b% T( O' M% q
第29题,漏洞是一个全面综合的概念。
T、对( b0 c: M/ |5 _, P
F、错
更多答案下载:谋学网(www.mouxue.com) }& F% u( n; `& G" g
& {) m) h1 @/ B" u
1 I) S! o+ ~3 X& z" ] W3 \
答案来源:谋学网(www.mouxue.com),软件漏洞危险等级划分一般被分为紧急、中危、低危三个危险级别。! {( S" M: t8 J. F4 J# x
T、对) C/ m- K9 k' N. V# ^
F、错
正确答案:F
$ n/ N) H9 w8 V
第31题,SQL语句中AS表示返回匹配通配符(%)条件的数据。! z5 R' P4 t/ b
T、对% h3 `+ q$ [, K+ T' s
F、错
正确答案:F
$ q9 ^4 d8 V, C# b* S
第32题,软件测试过程分单元测试、集成测试以及系统测试三个阶段进行。! X# H1 b3 n+ K
T、对
F、错7 N; [: H6 l ~" V4 p8 `
更多答案下载:谋学网(www.mouxue.com)0 Z3 h) X: A4 k9 V/ \1 A- _
4 _5 _$ O" K# v, p. C
7 A7 I6 V9 p) n
第33题,压缩壳的特点是减小软件体积大小,加密保护也是重点。4 D% S" o- f- U' p
T、对
F、错( \. G$ v3 r; ~8 M) w( U& ~
正确答案:F
4 }( R" I4 {3 x% F! P
2 c2 Z8 U4 E3 B j, E
第34题,Vmware workstation软件只能安装一个操作系统。
T、对
F、错
正确答案:F2 Q7 B. `" b Y6 }3 ?( y. n
第35题,GS技术就是检查security_cookie的值是否有变化来判断是否有溢出发生。
T、对
F、错
更多答案下载:谋学网(www.mouxue.com)2 \2 M2 k3 O# [ Z' o! p R( y5 Q
5 }8 b3 A/ n3 D4 d" l2 b; C. ?
第36题,当系统存在文件上传漏洞时攻击者可以将病毒,木马,WebShell,其他恶意脚本或者是包含了脚本的图片上传到服务器,这些文件将对攻击者后续攻击提供便利。" \: |- ~/ n! e7 B
T、对) j# h5 F. s8 T+ @
F、错
更多答案下载:谋学网(www.mouxue.com)9 ^0 [1 d% k5 H
: M0 J0 D% |/ e" P
第37题,漏洞利用中最关键的是Shellcode的编写,对一些特定字符需要转码,函数API的定位比较简单。7 S" f+ H6 {+ Y- { n" t# F' o
T、对
F、错; r5 I! j3 R& [. w, Y: H
正确答案:F
第38题,数据库驱动的Web应用通常包含三层:表示层、逻辑层和存储层。
T、对
F、错
更多答案下载:谋学网(www.mouxue.com): \2 h: [5 g8 ]/ y8 \
0 {9 q/ l1 `0 X3 Q; F8 X1 m0 X
第39题,缓冲区是一块不连续的内存区域,用于存放程序运行时加载到内存的运行代码和数据。$ V9 ^2 `4 d* t, Y* Y& h
T、对
F、错
更多答案下载:谋学网(www.mouxue.com), j0 a, ]) R- B; P2 N: H
第40题,加"壳"虽然增加了CPU负担,但是减少了硬盘读写时间,实际应用时加"壳"以后程序运行速度更快。+ x a' b1 Y! J$ m: a: E3 Y
T、对; x7 ~: ]$ k% P
F、错
更多答案下载:谋学网(www.mouxue.com)9 o5 I0 X3 J7 O( d3 j" T G' k8 t
第41题,渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。9 g, Z7 d9 D; e( O6 I5 X/ {
T、对$ g8 C: r: X* Q O6 W# I6 J
F、错$ T. ?# J! u" N8 j
更多答案下载:谋学网(www.mouxue.com)
. }' V5 N+ G8 s
第42题,Kali Linux是专门用于渗透测试的Linux操作系统,含有可用于渗透测试的各种工具。
T、对
F、错
更多答案下载:谋学网(www.mouxue.com)) u" \9 Y1 y% ?! }' @3 i X
& C7 n0 Z9 d! U/ Y* ^3 u
第43题,Weakness指的是系统难以克服的缺陷或不足,缺陷和错误可以更正、解决,但不足和弱点可能没有解决的办法。% @0 g. D! m7 e( C8 Y( I
T、对
F、错
更多答案下载:谋学网(www.mouxue.com)
0 H( l8 J4 ]$ c! a* ^- }
, N3 M( n- u0 N7 M+ l
第44题,在计算机术语中,会话是指一个终端用户与交互系统进行通讯的过程。
T、对
F、错 A# A2 {. W0 p5 O- {/ E5 X3 }1 s3 n
更多答案下载:谋学网(www.mouxue.com)
, E1 J" c9 T- z6 n% c# Z
第45题,SSH协议可以实现Internet上数据传输的安全,通过利用数据加密技术,它可确保数据在网络上传输不会被截取或者窃听。
T、对
F、错( R0 W1 D: f# F# q
正确答案:F0 ` Q2 i l4 k1 C2 x9 m: C% e- V
) t# G" e! s: }% \) E+ }$ _
第46题,快速原型方法的开发速度很快,几乎没有进行软件设计的工作。( N2 }' y" L& b
T、对; I n' B6 t0 U% n5 P
F、错# ^+ c7 c" Q7 o; ?3 x3 H
更多答案下载:谋学网(www.mouxue.com)
. R$ r \0 ^& f3 r
# w; [# l3 [' M' V* J' m
第47题,最小权限原则是为软件授予其所需要的最少权限。
T、对 ]% q$ M. Q6 c: |3 @# P p% |
F、错
第48题,使用ASLR技术的目的就是打乱系统中存在的固定地址,使攻击者很难从进程的内存空间中找到稳定的跳转地址。# b/ @8 _) t+ f! v
T、对! `) S' K" g. R/ Z O: O* L
F、错
* @: P& a$ K8 [8 Y1 Q0 _2 {* k
第49题,为了提高瀑布模型的开发效率,在系统的架构设计完成后,可将系统分为多个可并行开发的模块。( W2 W9 |$ E( z7 A# S
T、对
F、错
,PE文件格式把可执行文件分成若干个数据节,不同的资源被存放在不同的节中。
T、对
F、错 |
|
发表于 2021-3-22 15:00:05
