2013初赛试题(不含标准答案).docx

1、第二届通信网络安全知识技能竞赛初赛试题 一、 单选（共30题，总分15分） 1、 两高司法解释规定，利用信息网络诽谤他人，同一诽谤信息实际被点击、浏览次数达到___次以上，或者被转发次数达到___次以上的，应当认定为刑法第246条第1款规定的“情节严重”，可构成诽谤罪（ ）。 A、 10000 1000 B、 5000 5000 C、 5000 500 D、 10000 500 2、 关于风险处置的方式，下列哪项是不正确的：（ ）。 A、 风险降低 B、 风险接受 C、 风险消除 D、 风险转移 3、 此前的2013年8月

2、25日，国家域名解析节点受到拒绝服务攻击，影响了以.CN为根域名的部分网站的正常访问。这是国家域名遭遇的近年最大网络攻击事件。如果犯罪主体都是年满16周岁具有刑事责任能力的自然人，可构成破坏计算机信息系统罪。应判处（ ）年以上。 A、 3 B、 5 C、 8 D、 10 4、 根据系统重要性以及安全事件对系统可用性、完整性、保密性的影响程度，安全事件可分为：（ ）。 A、 特别重大、重大、较大和一般四个级别 B、 重大、较大和一般三个级别 C、 重大、较大、紧急和一般四个级别 D、 重大、紧急和一般三个级别 5、 《关于贯彻落实电信网络等级保

3、护定级工作的通知》（信电函[2007]101号）中内容，以下说法正确的是（ ）。 A．基础电信运营企业应当围绕以下范围进行定级：核心生产单元、非核心生产单元 B．企业各定级对象的定级结果应由集团公司进行审核，并报信息产业部电信网络安全防护专家组评审 C．当专家组评审意见与电信运营企业的意见不能一致时，应尊重专家组意见进行定级报告的相应修订，之后方可进行备案 D．定级备案材料应采用纸质文档将有关材料报送相应电信监管部门，并加盖单位公章 6、 电信管理机构应当对通信网络运行单位开展通信网络安全防护工作的情况进行检查，以下检查措施不正确的是（ ）。

4、 A．查阅通信网络运行单位的符合性评测报告和风险评估报告 B．对通信网络进行技术性分析和测试 C．查验通信网络运行单位的安全产品招标文件参数及有关设施的使用情况 D．查阅通信网络运行单位有关网络安全防护的文档和工作记录 7、 按照《电信网和互联网管理安全等级保护要求》，对于3.1级保护要求规定，针对人员配置方面描述错误的是：（ ）。 A. 应配备一定数量的系统管理人员、网络管理人员、安全管理员等 B. 应配备专职安全管理员，不可兼任 C. 应配备专职安全审计人员 D. 关键事务岗位应配备多人共同管理 8、 电信网和互联网安全等级保护要求中存储介质的清除或销毁的

5、活动描述不包含以下哪项内容：（ ）。 A. 信息资产转移、暂存和清除 B. 识别要清除或销毁的介质 C. 存储介质处理 D. 存储介质处理过程记录 9、 为新办公区域建设服务器机房时，应该采用哪种访问控制安全策略来控制机房的主要入口和第二入口（假设只有2个入口）？（ ） A. 主要入口和第二入口均应采取刷卡或密码锁进行控制 B. 主要入口应由保安守卫；第二入口应上锁，且不许任何人进出 C. 主要入口应采取刷卡或密码锁进行控制；第二入口应由保安守卫 D. 主要入口应采取刷卡或密码锁进行控制；第二入口应上锁，且不许任何人进入 10、 网络和业务运营商在网络实际运行

6、之前对其安全等级保护工作的实施情况进行安全检测，确保其达到安全防护要求，这是（ ）阶段的工作内容。 A. 安全总体规划阶段 B. 安全设计与实施阶段 C. 安全运维阶段 D. 安全资产终止阶段 11、 从电信网和互联网管理安全等级保护第（ ）级开始要求，关键岗位人员离岗须承诺调离后的保密义务后方可离开。 A. 1 B. 2 C. 3.1 D. 3.2 12、 按照电信网和互联网安全防护体系定级对象的划分，网上营业厅所属网络/系统类型为（ ）。 A. 互联网 B. 信息服务系统 C. 非核心生产单元 D. 增值业务网 13、 根据《关于贯彻落实

7、电信网络等级保护定级工作的通知》的有关要求，电信运营企业省级公司负责管理的定级对象，由（ ）负责定级备案审核。 A. 电信运营企业集团公司 B. 电信运营企业各省级公司 C. 工业和信息化部 D. 各省通信管理局 14、 网络单元安全建设管理不包括（ ）。 A. 产品采购和使用 B. 软件开发 C. 安全事件处置 D. 安全方案设计 15、 下列描述中（ ）不属于定级对象相关应急预案管理的要求。 A. 应在统一的安全框架下制定不同事件的应急预案。 B. 应急预案应至少包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训

8、等内容。 C. 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障。 D. 应至少每年组织一次对应急预案相关内容的审查和修订。 16、 以下日志条目是取自Linux的一条su错误日志信息：Mar 22 11:11:34 abc PAM_pwdb[999]:authentication failure;cross(uid=500)->root for su service，这条命令应该是被存储在哪个日志文件中？ ( ) A. lastlog B. wtmp C. dmesg D. messages 17、 下面哪种无线攻击方式是针对Client，而不是AP

9、 ）。 A．验证洪水攻击 B．取消验证洪水攻击 C．关联洪水攻击 D．DNStunnel 18、 黑客进行内网渗透“踩点”的时候往往使用扫描器进行局域网存活性扫描，常使用ICMP数据包作为侦测工具。那么在Windows系统安全加固中，我们可以拒绝接收类型为( ) 的ICMP报文，或者设置注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中的键值( )设置为0。 答案是（ ）。

10、 A. 0 EnableICMPRedirect B. 8 IcmpAttackProtect C. 8 EnableICMPRedirect D. 0 IcmpAttackProtect 19、 WEB站点过滤了脚本文件的上传功能，下面哪种文件命名方式可以成功利用Apache的文件解析漏洞？（ ） A．.php;.gif B．.jpg%001.php C．.jpg/.php D．.php.bak 20、 某Windows系统管理员发现系统中出现大量异常网络流量，为了定位到是哪一个进程建立了异常的网络连接

11、他可以综合使用__命令与Sysinternals Suite中的__命令检验应用程序的完整性。 答案是（ ）。 A. netview、 sigcheck.exe B. netstat、 md5sum.exe C. netstat、 sigcheck.exe D. netview、 md5sum.exe 21、 逆向分析Android程序时首先检查的类是（ ）。 A. Application类 B. 主Activity C. 主Service D. 主Receiver类 22、 Android中WebView控件导致系统存在远程命令执行漏洞，其影响的版

12、本是（ ）。 A. 4.0.3及以下的版本 B. 4.2及以下的版本 C. 4.3及以下的版本 D. 3.0及以下的版本 23、 管理员发现本机上存在多个webshell，之后查看日志信息，发现服务器本身的日志被删除了，所以登录WEB后台，查看后台日志，此时发现后台有被管理员登录的情况，且有很多管理员登录失败的信息，之后有成功登录后并执行了一些操作的情况，下面最有可能是攻击者的攻击手段的是（ ）。 A. 利用SQL注入，获取管理员的密码，直接登录后台，上传webshell B. 直接利用SQL注入写入一句话后，上传webshell，获取管理员密码，登录后台 C.

13、 利用暴力破解登录后台，上传webshell D. 利用跨站语句，窃取cookie后，利用cookie登录，上传webshell，窃取管理员后台密码登录 24、 在很多时候，攻击者攻击了一台服务器后，会留下木马、后门等程序，来达到其能够长久控制服务器的目的，对于达到这个目的的手段，有很多种不同的方法，其中就有在Windows下进行账户的隐藏，而对于管理人员，应该如何准确的判断出系统是否有隐藏账户的存在（ ）。 A. 账户隐藏只能在命令行下隐藏账户，所以只需要检查账户管理器上的账户就行 B. 账户隐藏可以实现注册表级隐藏，只要新建用户后，将注册表里账户的键值删除，这样在命令行下和

14、注册表下都发现不了账户了，只能在账户管理器下发现 C. 账户隐藏可以分为命令行下的隐藏和注册表级的隐藏，对于命令行下的隐藏，可以通过查看账户管理器上的用户来查看 D. 以上的判断方法都错 25、 一句话木马是攻击者常用的shell语句，攻击者也经常用其在WEB站点中作为隐藏后门，下面的php语句不可以作为后门被隐藏在攻击者站点的是（ ）。 A、 B、 C、

15、php $_GET[a]($_REQUEST[cmd]);?> D、 26、 以下关于HTTP的返回状态哪种说法是不正确的？（ ）。 A. 401状态代表访问失败 B. 404状态代表文件不存在 C. 200状态代表成功访问网页 D. 302状态代表继续使用原有地址来响应请求 27、 下图所示，神器mimikatz是直接读取哪个进程来解密hash LM加密的windows登陆密码是（ ）。 A. winlogin.exe B. Kernel.exe C. Lsass.exe D. Svchos

16、t.exe 28、 请依据下图sniffer的抓包,分析最有可能是什么攻击行为？（ ） A. ARP欺骗 B. 暴力破解 C. DDOS攻击 D. DNS域名中毒 29、 下图最有可能使用了google hack的哪种方式搜索？（ ） A. site:cace- filetype:doc B. site:cace- type:doc C. site:cace- file:doc D. site:cace- inurl:doc 30、 如下图所示，终端服务器超出了最大允许连接数，可以通过什么命令来强行登陆？（ ） A.  mstsc /f:IP

17、/console B.  mstsc /v:IP /console C.  mstsc /w:IP /console D.  mstsc /h:IP /console 二、 不定项选择（共50题，总分50分） 1、 风险评估的三个要素（ ）。 A. 政策，结构和技术 B. 组织，技术和信息 C. 硬件，软件和人 D. 资产，威胁和脆弱性 2、 电信网和互联网中的网络和业务运营商根据所制定的灾难备份及恢复策略应做到以下哪些方面？（ ） A. 获取硬件、软件、网络、工作时间等方面的相应技术支持能力 B. 建立各种完善的操作和制度 C. 建立相应的技术支持

18、组织 D. 定期对技术人员进行操作技能培训 3、 安全风险评估中，应评估的风险要素包括：（ ）。 A. 网络单元资产 B. 威胁 C. 脆弱性 D. 防护措施 E. 风险 F. 残余风险 4、 下面对风险要素及其属性之间的关系描述正确的是：（ ）。 A. 资产价值越大则其面临的风险越大 B. 风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件 C. 脆弱性是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险 D. 安全措施可抵御威胁，降低安全事件的发生的可能性，并减少影响 E. 通过风险规避处理方法，风险可以被消除

19、 F. 残余风险应受到密切监视，它可能会在将来诱发新的安全事件 5、 容灾等级越高，则( )。 A. 业务恢复时间越短 B. 所需成本越高 C. 所需人员越多 D. 保护的数据越重要 6、 中华人民共和国工业和信息化部令第11号《通信网络安全防护管理办法》中的以下说法错误的是（ ）。 A. 通信网络运行单位按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高分别划分为一至五级，由各通信网络运行单位根据自身情况进行通信网络单元的划分和分级，在自行评审三十日内，将通信网络单元的划分和定级情况向电信

20、管理机构备案 B. 通信网络运行单位新建、改建、扩建通信网络工程项目，应当在验收和投入使用后根据通信网络工程的实际应用需求设计、建设通信网络安全保障设施，并严格按照设计需求进行验收和投入使用 C. 通信网络运行单位办理通信网络单元备案，应当提交的信息包括以下内容：a、通信网络单元的名称、级别和主要功能；b、通信网络单元责任单位的名称和联系方式；c、通信网络单元主要责任人的姓名和联系方式；d、通信网络单元的拓扑架构、网络边界、主要软硬件型号、配置数据和关键设施位置；e、电信管理机构要求提交的涉及通信网络安全的其他信息 D. 三级及三级以上通信网络单元应当每年进行一次符合性测评，二级通信网络

21、单元应当每两年进行一次符合性测评，通信网络单元的划分和基本调整的，应当自调整完成之日起三十日内重新进行符合性评测 E. 三级及三级以上通信网络单元应当每年进行一次安全风险评估，二级通信网络单元应当每两年进行一次安全风险评估，通信网络运行单位应当在安全风险评估结束后三十日内，将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构 7、 《关于进一步开展电信网络安全防护工作的实施意见》（信部电[2007]555号）中关于安全服务机构的选择，以下说法正确的是（ ）。 A. 在中华人民共和国境内注册成立（港澳台地区除外） B. 由中国公民投资、中国法人投资或者国家

22、投资的企事业单位（港澳台地区除外） C. 从事电信网络安全保障服务工作二年以上、无违法记录 D. 相关工作仅限于中国公民，法人及主要业务、技术人员无犯罪记录 E. 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度 F. 具有良好的金融信用记录，三年内无企业不良信用记录 8、 关于开展通信网络安全检查工作的相关内容，以下说法正确的是（ ）。 A. 检查对象原则上是个基础运营企业已定级备案的2.2级及以上通信网络单元 B. 检查工作按照如下步骤进行：部署阶段、自查阶段、抽查阶段、整改阶段、总结阶段 C. 工作要求如下：提高认识加强领导、明确分工加

23、强指导、完善制度夯实基础 D. 抽查阶段采取听取汇报和委托专业安全机构进行现网检测（含渗透性测试）两种方式进行 9、 《关于开展通信网络单元安全防护定级备案调整工作的通知》（工信部保[2010]14号）中关于已备案网络单元的变更，以下说法正确的是（ ）。 A. 只进行信息更新的变更，应根据本单位实际情况对备案单位基本信息进行更新，同时根据本单位网络建设情况或企业内部管理归属等，梳理只需进行备案信息更新的网络单元 B. 只进行信息更新的变更，应根据本单位实际情况对备案单位基本信息进行更新，同时根据本单位网络建设情况或企业内部管理归属等，重新梳理该系统的所有网络单元 C. 对涉

24、及网络安全保护等级调整、网络单元拆分或合并等的其他变更，首先删除相关网络单元的备案信息，然后按照未备案网络单元进行定级备案 D. 对涉及网络安全保护等级调整、网络单元拆分或合并等的其他变更，首先按照未备案网络单元进行新系统的定级备案，然后删除之前相关网络单元的备案信息 10、 电信网和互联网安全等级保护工作应首先满足电信网和互联网安全防护工作提出的适度安全原则、标准性原则、可控性原则、完备性原则、最小影响原则以及保密性原则。在此基础上，电信网和互联网安全等级保护工作在实施过程中还应重点遵循以下原则（ ）。 A. 自主保护原则 B. 同步建设原则 C. 重点保护原则 D.

25、适当调整原则 11、 通信行业开展信息安全管理体系认证有利于各单位规范信息安全管理，有利于企业开拓市场，那么在通信行业信息安全管理体系认证工作的管理上，以下说法正确的是（ ）。 A. 各基础运营商确需要申请信息安全管理体系认证的，应事前报公安机关同意后方可进行 B. 信息安全管理体系认证不应涉及统一网络安全防护二级（含）以上网元 C. 申请认证单位应选择国家认证认可监督管理部门批准从事信息安全管理体系认证的认证机构进行认证 D. 各单位要建立健全规章制度，加强对下属机构申请信息安全管理体系认证的安全管理，掌握下属机构认证情况 12、 在电信网和互联网安全防护管理指南中，安

26、全等级保护、安全风险评估、灾难备份及恢复三者之间的关系是（ ）。 A. 电信网和互联网安全防护体系中的安全等级保护、安全风险评估、灾难备份及恢复兰者之间密切相关、互相渗透、互为补充 B. 电信网和互联网安全防护应将安全等级保护、安全风险评估、灾难备份及恢复工作有机结合，加强相关工作之间的整合和衔接，保证电信网络安全防护工作的整体性、统一性和协调性 C. 电信网络安全防护工作应按照根据被保护对象的重要性进行分等级保护的思想，通过安全风险评估的方法正确认识被保护对象存在的脆弱性和面临的威胁，进而制定、落实和改进与安全保护等级和风险大小相适应的一系列管理、技术、灾难备份等安

27、全等级保护措施，最终达到提高电信网络安全保护能力和水平的目的 D. 电信网和互联网安全等级保护、安全风险评估和灾难备份及恢复工作应随着电信网和互联网的发展变化而动态调整，适应国家对电信网和互联网的安全要求 13、 下列对威胁描述正确的是：（ ）。 A. 威胁是一种对资产构成潜在破坏的可能性因素，是客观存在的。 B. 造成威胁的因素包括技术因素、环境因素和人为因素等。 C. 威胁作用形式可以是对电信网和互联网及相关系统直接或间接的攻击，在社会影响力、业务价值和可用性等方面造成损害，也可能是偶发的或蓄意的事件。 D. 威胁只有利用资产的脆弱性，才能构成风险。 E. 通常，威胁

28、的等级的高低代表威胁出现的频率的高低。 14、 下列对风险评定和处置描述正确的是：（ ）。 A. 在制定风险处置计划时，应优（首）先将资产的风险值与风险阀值相比较 B. 如果现有安全措施已经将资产风险值降低到可接受的程度，就可以继续保持现有措施 C. 选择风险处置计划时，可以同时选择降低、接受、回避、转移一种或几种 D. 选择风险处置计划时，应考虑风险降低和投入的平衡 E. 残余风险应控制在风险阀值以下 15、 运维阶段的风险评估应定期执行，当组织的业务流程、系统状况发生重大变化时，也应进行风险评估。重大变更包括以下变更（但不限于）：（ ）。 A. 增加新的业务

29、/应用或业务/应用发生较大变更 B. 网络结构和连接状况发生较大变更 C. 技术平台大规模的更新 D. 系统扩容或改造后进行 E. 发生重大安全事件后，或基于某些运行记录怀疑将发生重大安全事件 F. 组织结构发生重大变动对系统产生影响 16、 对于通信网络单元的定级备案工作，下列描述正确的是：（ ）。 A. 企业各定级对象的定级结果（含 1 至 5 级）应由集团公司进行审核 B. 安全保护等级拟定为第 2 级及以下级别的定级对象，无需报信息产业部电信网络安全防护专家组评审，可直接向电信监管部门进行备案 C. 安全保护等级拟定为第 2 级及以上级别的定级对象，应由集团公司

30、将定级报告（电子版）报送信息产业部电信网络安全防护专家组评审 D. 当专家组评审意见与电信运营企业的意见达不成一致时，应选择双方建议级别中较高的级别作为最终确定的级别，并由电信运营企业对定级报告进行相应修订，之后方可进行备案 17、 有关定级结果备案的描述正确的是:（ ）。 A. 备案工作由集团公司和省级公司进行，各需填写一份备案单位基本情况表 B. 地市及以下公司由省级公司统一向当地通信管理局备案，不再作为单独的管理主体另行备案 C. 每级定级对象均需填写一份备案信息表、定级报告 D. 集团公司、各省级公司负责管理的定级对象，均由工业和信息化部负责定级备案审核 18、

31、 针对风险评估，下列描述正确的是：（ ）。 A. 资产是具有价值的资源，是安全防护体系保护的对象，评估者可根据企业自身情况灵活地把握资产划分粒度，如可将某个定级对象整体作为一个资产进行评估。 B. 脆弱性是资产本身存在的，是资产中存在的弱点、缺陷与不足。 C. 威胁是一种对资产构成潜在破坏的可能性因素，是客观存在的。 D. 评估者应针对每一个资产，对已经采取的安全措施及其有效性进行确认，并将已经采取的安全措施记录下来。 E. 评估者判断威胁利用资产的脆弱性导致安全事件发生的可能性以及安全事件一旦发生造成的资产损失，分析资产存在的安全风险，结合已有的安全措施判断目前的安全风险是

32、否在可接受的范围内。 19、 根据2013年的《网络单元安全防护检测评分方法》，下列描述正确的是：（ ）。 A. 网络单元的安全防护得分等于安全评测得分加风险评估得分。 B. 网络单元的得分=安全评测得分*60% + 风险评估得分40%。 C. 安全评测得分和风险评估得分的满分为一百分。 D. 风险评估得分采用二次扣分方法。 20、 关于安全审计目的描述正确的是（ ）。 A. 识别和分析未经授权的动作或攻击 B. 记录用户活动和系统管理 C. 将动作归结到为其负责的实体 D. 实现对安全事件的应急响应  21、 电信监管部门会基于电信运营企业的风险评估报告

33、结合现场调研，定期或不定期对电信运营企业相关工作的实施开展情况进行监督检查，监督检查内容主要包括：（ ）。 A. 风险评估实施方法是否符合国家和信息产业部组织制定的相关标准或实施指南 B. 第三方风险评估服务机构的选择是否符合有关规定 C. 评估中是否发现了重大漏洞或安全隐患 D. 定级对象的备案信息是否与实际情况相符 E. 其它应当进行监督检查的事项 22、 通信网络运行单位办理通信网络单元备案，应当提交以下哪些信息（ ）。 A. 通信网络单元的名称、级别和主要功能 B. 通信网络单元责任单位的名称和联系方式 C. 通信网络单元主要负责人的姓名和联系方式

34、 D. 通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位置 E. 电信管理机构要求提交的涉及通信网络安全的其他信息 23、 按照电信王和互联网安全防护系列标准，灾难备份及恢复策略的实现包括以下关键部分：（ ）。 A. 灾难备份技术方案的实现 B. 人员和技术支持能力的实现 C. 运行维护管理能力的实现 D. 灾难恢复预案的实现 E. 业务连续性方案的实现 24、 关于通信行业信息安全管理体系认证管理工作，以下描述中正确的是：（ ）。 A. 信息安全管理体系认证是依据相关信息安全管理标准（GB/T 22080-2008/ ISOIEC 27001：2

35、005等），对一个单位信息安全管理状况进行评价的过程 B. 开展信息安全管理体系认证有利于各单位规范信息安全管理 C. 认证活动涉及被认证单位的内部管理、网络拓扑、关键设备配置、安全防护情况等信息，如果管理工作不到位，会增加信息安全风险 D. 开展信息安全管理体系认证不利于企业开拓市场 25、 如果攻击者利用这样的手段运行命令：';exec master..xp_cmdshell 'dir c:\bk.txt'-- ,需要具备哪些条件？请选择如下正确的选项（ ）。 A. 必须获取到sa权限； B. 必须具备系统管理员权限； C. 必须能调用扩展存储； D. 如果是从应用

36、层攻击，必须存在可注入的漏洞 26、 某管理员发现其服务器处理速度非常缓慢，使用netstat -an进行查看，发现了如图所示的问题。请帮助管理员判断可能发生了什么样的攻击？ （ ）。 A. DDOS攻击 B. CC攻击 C. Sql注入攻击 D. Arp攻击 E. DNS域名欺骗 27、 以下属于linux系统rootkit检查工具的是（ ）。 A. Chkrookit B. Rkhunter C. Wsyscheck D. Iceswork E. Webshellscan 28、 .如果你用ssh登录发现history记录了你的命令，如果你不想让

37、它记录你接下来输入的命令，以下哪个命令是正确的（ ）。 A. export HISTFILE=/dev/null B. export HISTSIZE=0 C. export HISTFILESIZE=0 D. historty -c 29、 以下那些工具可以进行sql注入攻击（ ）。 A. pangolin B. sqlmap C. Havij D. PwDump 30、 黑客可以通过对网络设备或主机进行欺骗攻击， 从而通过改变数据包的原有传输路径而绕过防火墙或IDS等安全防护设备，下面哪种技术无法改变数据传输路径（ ）。 A. ICMP

38、重定向(ICMP redirect) B. IP源路由(IP source route) C. 单播反向路径转发（URPF） D. 黑洞路由(black hole route) 31、 在php脚本的mysql数据库构架的sql注入中，经常用到load_file()函数，读取文件。默认安装情况下，如果sql注入点是root用户权限，以下说法正确的是（ ）。 A. Windows2003系统中可以读取sam文件 B. Linux系统中可以读取/etc/shadow文件 C. Linux系统中可以读取/etc/passwd文件 D. Linux系统中可以读取/etc/i

39、ssue文件 32、 如果网站遭受下图所示的攻击后，应该采取哪些安全措施( )。 A. 如果是windows服务器安装安全狗软件进行防御 B. 禁止网站代理访问，尽量将网站做成静态页面，限制连接数量等数 C. 利用Session加入防刷新模式，在页面里判断刷新，是刷新就不让它访问 D. 采用CDN技术 33、 请问下图所示使用了哪些技术成功访问了windows的sam文件（ ）。 A. 字符截断 B. 业务乱序 C. Sql注入 D. 任意文件下载 E. 旁注 34、 在SQLServer2000中一些无用的存储过程，这些存储过程极容易被攻

40、击者利用，攻击数据库系统。下面的存储过程哪些可以用来执行系统命令或修改注册表？（ ） A．xp_cmdshell B．xp_regwrite C．xp_regdeletekey D．Xp_regadd 35、 以下代码片段可能导致缓冲区溢出的有哪些（ ）。 A. void f(char *str){ char buffer[4]; strcpy(buffer,str); } B. void f(char *str){ char buffer[20]; buffer[0]=’\0’; strcat (buffer,s

41、tr) } C. void f(char *str){ char buffer[20]; strncpy(buffer,str,19); } D. void f(char *str){ char buffer[20]; memcpy(buffer,str,strlen(str)); } 36、 移动应用开发可以使用（ ）技术增强应用安全 。 A. 应用TSL/SSL B. 对应用代码进行签名 C. 本地加密存储敏感信息 D. 进行代码混淆 37、 近年来，php的框架越来越多，例如discuz、phpcms等，而乌云等很多白帽子的

42、网站，也经常公布这些框架的漏洞，其中有一项为本地文件包含的漏洞，下列说法正确的是（ ）。 A. 本地文件包含只是php语言特有的 B. 本地文件包含可以用来隐藏webshell C. 如果include()的一个参数，是通过客户端传递进来的，很可能存在本地包含的漏洞 D. 本地文件包含的文件，只要是txt的文件，就算里面有恶意代码，也不会影响站点 38、 管理员在WEB后台查看日志，发现自己的WEB管理员账户有异常操作，但是没有看到有异常登录的情况，并且日志没有被删除的痕迹，该管理员可能遭受的攻击是（ ）。 A. SQL注入 B. 跨站攻击 C. 目录遍历 D

43、 CSRF攻击 E. 暴力破解 39、 一台Linux服务器，如果被攻击了，管理人员通常会查看相应的日志来确定一些行为，以下管理员查看一些日志文件，想得到相应的信息，做法错误的是（ ）。 A. 有/var/log/cron日志，可以查看cron进程开始的每一个工作的记录 B. 如果想知道登录失败的记录，可以查看/var/log/wtmp日志，不过要使用last命令查看，因为该日志是二进制的文件 C. 如果想知道SSHD的所有信息的记录，以及其失败登录的信息，可以查看/var/log/secure日志文件 D. /var/log/faillog、/var/log/secur

44、e、/var/log/lastlog这些日志文件，都会记录一些用户登录的信息 40、 在Windows服务器中，有一种提权方法可以利用开机启动进行提权，也就是在管理员的启动目录下，放入一些程序或其他批处理的工具，从而就可以导致管理员重启登陆后，直接执行启动项的程序，但是这个提权必须要保证攻击者对管理员的启动目录有可写的权限，否则是没有办法实现的，而在Windows中有NTFS和FAT分区，其中NTFS比FAT分区安全，原因就是NTFS可以对一个文件针对不同的用户设置不同的权限，以下对于NTFS和FAT的说法正确的是（ ）。 A. NTFS权限只影响网络访问者但不影响本地访问者 B

45、 FAT和NTFS之间必须要经过格式化，才能互相转换 C. 即使一个普通用户在NTFS分区中建立了一个文件夹，并设置只对自己账户可读写，管理员也可以通过夺权的操作，将权限夺取过来 D. NTFS分区的权限可以配置给用户或组，不同用户或组对同一个文件或文件夹可以有不同的权限 41、 ORACLE的提权一直很受重视，但是很多ORACLE的提权脚本都需要有高权限的条件下才能成功，除了对一些自定义的数据库用户的权限的设置非常重要之外，管理人员还需要对数据库自身账户的权限有一些认知，下面对于ORACLE的用户的权限说法正确的是（ ）。 A. 如果ORACLE数据库设置了允许操作系统的身

46、份进行登录，可以直接以SYS用户直接登录使用，所以SYS用户的权限不会很高，至少没有DBA权限 B. 攻击者如果获取了SYSTEM的用户密码，提权的脚本基本都执行，所以SYSTEM用户具有DBA权限 C. SYSTEM是ORACLE数据库中权限最高的账户，因为其具有DBA的权限 D. SYS用户与SYSTEM用户相比,不具有DBA权限，但是有SYSDBA的权限 42、 如果一台WEB服务器，开发人员在开发的时候没有考虑到解析漏洞的存在，对上传的文件的后缀进行了黑名单检测，禁止上传“'html','htm','php','php2','php3','php4','php5','phtml

47、','pwml','inc','asp','aspx','ascx','jsp','cfm','cfc','pl','bat','exe','com','dll','vbs','js','reg','cgi','htaccess','asis'”，假设如果一台服务器存在解析漏洞，以下可以绕过检测，得到一个webshell的是（ ）。 A. IIS6.0的aspx的服务器，上传1.asp;.txt B. apache的服务器，上传1.php.bmp C. tomcat服务器，上传1.jsp.aaa D. IIS7.5的php服务器，上传test.php.jpg 43、 恶意软件攻

48、击服务器时，有与一些共享进程或自创建一些进程，所以管理人员需要了解一些基本的进程信息，以下关于这些进程说法正确的是（ ）。 A. svchost.exe属于共享进程，很多病毒或木马可能会利用其进行启动 B. spoolsv.exe用户Windows打印机任务发送给本地打印机，缓存打印数据等，会随着系统的启动启动，它也有可能是Backdoor.Ciadoor.B木马 C. lsass.exe是一个系统进程，用户微软Windows系统的安全机制，它用于本地安全和登录策略，但其也可能是Windang.worm等病毒蠕虫创建的，所以如果发现系统下有两个lsass.exe，则说明很可能中毒

49、了 D. csrss.exe是W32.Netsky.AB@mm的等病毒创建的，并且不是系统进程，所以看到其要马上删除 44、 Mysql虽然自身不支持执行系统命令，但是却能够自定义函数，攻击者通过这个特性能够实现利用Mysql提升自己的权限，管理人员做了如下的一些安全设置，其中有效的是（ ）。 A. 给Mysql降权，不给于管理员权限的用户运行 B. root采用强密码，且其他应用使用Mysql时，不使用root权限进行连接 C. 由于Mysql提权，需要写入或上传udf文件，Windows中的udf为dll文件，而dll文件如果放在WINNT/SYSTEM32/目录下就会被加载，对于5.5.14的Mysql数据库，直接限制Mysql对/WINNT/SYSTEM32/目录可写 D. WEB用户使用root权限连接，在Windows的防火墙上做限制，不允许其他服务器连接Mysql 45、 一个WEB站点的管理员，在自己的网站的后台，发现了突然多了一个管理员的账户，之后查看日期和创建者，发现创建者是自己，且那天自己确实登录过，但是却没有执行过此操作，之后查看了一下后台登录失败的错误记录，发现之前有过自己账户登录失败的记录，但错误次数不超过10次，且之后就没有记录了，并且自己的口令应该是强口令，