通信网络安全知识培训-笔试-测试卷

通信网络安全知识培训-笔试-测试卷

（技术部分）

【请将答案写在答题纸上，写在试卷上无效。】

一. 单选(共40题，总分40分)

1.SQL Server可能被执行系统命令的说法正确的是（）

a)主要是利用xp_cmdshell方法执行系统命令，所以最好的方法就是将它禁用了

b)MSSQL2005默认启用了xp_cmdshell

c)MSSQL2000只需要将xp_cmdshell的扩展存储过程删除，就不会被执行了

d)MSSQL执行系统命令主要是要有sysadmin权限和系统管理员权限

2.下面关于STP攻击说法正确的是（）

a)发送虚假的IP报文，扰乱网络拓扑和链路架构，充当网络根节点，获取信息

b)发送虚假的TCP报文，扰乱网络拓扑和链路架构，充当网络根节点，获取信息

c)发送虚假的BPDU报文，扰乱网络拓扑和链路架构，充当网络根节点，获取信息

d)发送虚假的SYN请求，扰乱网络拓扑和链路架构，充当网络根节点，获取信息

3.用户发现自己的账户在Administrators组，所以一定对系统进行什么操作（）

a)建立用户

b)修改文件权限

c)修改任意用户的密码

d)以上都错

4.下面说法正确的是（）

a)Print Spooler服务没有安全威胁

b)SNMP Service 服务最好开启

c)TCP/IP NetBIOS Helper 服务器最好开启

d)DHCP Client 最好关闭

5.Android平台接口、应用是基于（）的安全模型

a)Linux

b)Windons

c)Symbianos

d)WebOS

6.下面是对称加密算法的是（）

a)MD5

b)SHA

c)DES

d)RSA

7.这个31c7538a57de1321641f2e27可能是用什么算法加密的（）

a)MD5

b)SHA

c)DES

d)RSA

8.DNS域名劫持的说法错误是（）

a)DNS劫持通过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结

果，导致对该域名的访问由原IP地址转入到修改后的指定IP

b)DNS劫持通过篡改DNS服务器上的数据返回给用户一个错误的查询结果来实现的

c)对于DNS劫持，可以采用使用国外公认的DNS服务器解决

d)DNS劫持是一种让一般用户由于得到虚假目标主机IP而不能与其通信的方法

9.很多webshell上面有mysql的提权、sqlserver的提权，但没有oracle的提权，下面

说法正确的是（）

a)oracle不支持通过webshell提权

b)oracle大都提权是通过java来实现的，所以webshell无法实现

c)oracle可以通过webshell提权，只是没有公开

d)如果要用oracle进行提权的话，只能通过端口转发，之后通过sqlplus连接进行

提权

10.Dnswalk通过（）实现查询整个IP地址段信息，以及获取目标DNS服务器中存储的相

关主机名

a)DNS递归查询

b)DNS非递归查询

c)DNS区域传送

d)DNS欺骗

11.下列对缓冲区溢出的描述错误的是（）

a)缓冲区溢出只存在于C语言中，其他语言并不存在。

b)缓冲区溢出的结果通常都是覆盖堆栈数据，控制EIP寄存器。

c)缓冲区溢出除了能导致栈溢出，还能导致堆溢出。

d)strcpy、memcpy这两个函数的错误使用，通常都是导致缓冲区溢出的罪魁祸首

12.下面哪种方式不可能增加表单暴力猜解的难度？（）

a)增加验证码

b)限制登录错误次数

c)单独提示用户名错误

d)提示用户名或密码错误

13.下面哪些工具可以不进行密码暴力破解（）

a)流光

b)Sqlmap

c)Hydra

d)X-scan

14.通常情况下，以下哪种文件不会携带恶意程序（）

a) Word文档

b) txt文件

c) PDF 文档

d) exe 文件

15.Activity的方法（）支持参数格式化，可避免SQL注入

a)managedQuery()

b)query()

c)update()

d)delete()

16.下列Windows说法错误的是（）

a)复制文件或文件夹，权限会继承新位置的权限

b)把文件或文件夹移动或复制到FAT分区中时权限会丢失

c)Windows 2000的默认共享权限是Everyone完全读取

d)分区转换命令是convert D:/fs:ntfs

17.“数据库负载以及数据库连接池负载极高，无法响应正常请求”可能是下面哪种攻击的

现象（）

a)SYN Flood

b)Connection Flood

c)ARP 伪造报文

d)HTTP Get Flood

18.以下对XML注入描述错误的是（）

a)XML注入只是通过注入的方式，将数据插入到XML中存储，不能调用一些系统的命

令

b)XML注入存在的前提条件是，输入必须可控，且程序拼凑了数据

c)XML的防护只需要将用户输入的特殊字符转义过滤

d)特殊的情况下，可以利用XML注入读取系统的一些文件内容

19.早期，有几个的框架，其中一个框架，攻击者很喜欢利用跨站攻击窃取cookie，原因是

cookie里有用户名和加密的MD5的密码，对于这个问题，下面说法正确的是（）

a)该问题属于“不安全的加密存储”

b)该问题属于“没有限制访问者的U RL”

c)该问题属于“传输层安全不足”

d)该问题属于“安全设置错误”

20.对于oracle采用默认安装时，他的监听口默认是无需密码就可以直接监听的，由此引

发了很多不安全的行为，如何为listen设置密码（）

a)在%ORACLE_HOME%\network\admin\文件中进行配置