题目21：网站漏洞攻击之XYCMS企业建站系统

信息安全管理员-初级工测试题（附答案）一、单选题（共43题，每题1分，共43分）1.在windwos操作中，可按（）键取消本次操作。

A、CtrlB、ESCC、AltD、Shift正确答案：B2.Hive的默认计算引擎是什么？（）A、SparkB、ImpalaC、MapReduceD、HDFS正确答案：C3.主要针对数据交互过程中提供数据、获取数据的时延要求，针对具体数据具体制定是（）。

A、数据规范性标准B、数据一致性标准C、数据完整性标准D、数据及时性标准正确答案：D4.HBase依靠什么存储底层数据？（）A、HDFSB、HadoopC、MemoryD、MapReduce正确答案：A5.数据状态包含数据相关系统的运行、调度、容量、性能和（）。

A、访问频率B、变更C、功能D、存储正确答案：D6.物理模型的主要特征是（）。

A、在统一的范式标准要求下，表、字段和关系必须和逻辑模型一致B、确定数据类型、精度、长度、约束、索引C、统一数据分类编码含义及使用规则D、以上都是正确答案：D7.下列说法正确的是（）。

A、数据标准是数据质量的数据提供者B、通过元数据管理具体的操作来促进数据标准的执行情况C、数据质量指导数据标准进行有效的质量监测和检查D、数据标准向元数据提供业务元数据的标准定义正确答案：D8.在实用化自查、整改工作中，业务管理部门应根据业务系统（）组织自查，自查主要采用自动化方法检查及人工抽查方法等方式进行，自查内容应涵盖系统的所有功能与流程。

A、实用化工作方案B、实用化工作计划C、实用化管理办法D、实用化评价细则正确答案：D9.根据《中国南方电网有限责任公司信息运维服务体系（2015年）》，（）主要提供与计算机终端相关现场服务的工程师。

A、一线支持人员B、三线支持人员C、事件经理D、二线支持人员正确答案：D10.市面上较常见的哪种打印机的特点是打印速度快、打印品质好、工作噪音小？（）。

A、激光打印机B、针式打印机C、喷墨打印机正确答案：A11.为数据分组提供在网络中路由功能的是（）。

网络安全管理员模拟试题及参考答案一、单选题（共109题，每题1分，共109分）1.网页病毒(又称网页恶意代码)是利用网页来进行破坏的病毒，它是使用一些 SCRIPT 语言编写的恶意代码。

攻击者通常利用( )植入网页病毒。

A、拒绝服务攻击B、口令攻击C、平台漏洞D、U 盘工具正确答案：C2.因网络安全事件，发生突发事件或者生产安全事故的，应当依照《中华人民共和国突发事件应对法》、—C—等有关法律、行政法规的规定处置。

( )A、《中华人民共和国突发事件应对法》B、《中华人民共和国网络安全法》C、《中华人民共和国安全生产法》D、《中华人民共和国个人信息保护法》正确答案：C3.企业信息资产的管理和控制的描述不正确的( )A、企业应该建立和维护一个完整的信息资产清单，并明确信息资产的管控责任；B、企业应该根据信息资产的重要性和安全级别的不同要求，采取对应的管控措施C、企业的信息资产不应该分类分级，所有的信息系统要统一对待D、企业可以根据业务运作流程和信息系统拓扑结构来识别所有的信息资产正确答案：C4.以下选项中，不属于网络欺骗的作用的是( )：A、消耗人侵者的资源B、防止被入侵攻击C、影响入侵者使其按照你的意思进行选择D、迅速地检测到人侵者的进攻,并获知其进攻技术和意图正确答案：B5.下列哪一项是一个适当的测试方法适用于业务连续性计划(BCP)? ( )A、试运行B、纸面测试C、单元D、系统正确答案：B6.加密技术主要有两大类：基于对称密钥加密的算法，称为( )算法。

A、口令B、私钥C、公钥D、令牌正确答案：B7.网络入侵的主要途径有:破译口令、 IP 欺骗和 DNS 欺骗。

( )A、TFNB、SmurfC、SmrufD、DOS正确答案：B8.计算机内部采用( )表示信息。

A、八进制B、十进制C、二进制D、十六进制正确答案：C9.P2DR 模型通过传统的静态安全技术包括？ ( )A、信息加密技术B、访问控制技术C、实时监控技术D、身份认证技术正确答案：C10.在计算机系统安全等级的划分中，windows NT 属于( ) 级。

信息安全管理员-初级工考试题（附参考答案）一、单选题（共43题，每题1分，共43分）1.备份系统是指用于数据备份的设备、部署在设备上的软件以及相关网络设备所组成，包括（）、磁盘阵列、虚拟带库、物理带库等。

A、备份软件B、操作系统C、文档管理D、以上均不正确正确答案：A2.以下哪个不是运行在YARN上的计算框架（）。

A、MapReduceB、OozieC、StormD、Spark正确答案：B3.PKI证书申请时，选择证书模板为（）。

A、单证书模板B、双证书模板C、混合证书模板D、空模板正确答案：B4.Mapreduce属于分布式系统构成中的哪那一部分（）。

A、海量存储B、流式计算C、在线计算D、离线计算正确答案：D5.《详细设计说明书》应考虑（）需要，提供业务监控的接口以及提供自我诊断功能。

A、开发费用最低B、业务系统便利C、软件可拓展性D、未来系统集中统一监控正确答案：D6.目前哪种硬盘接口传输速率最快（）。

A、SATAB、SASC、FCD、IDE正确答案：C7.遇到KEY丢失情况，则需要将原有的相关证书信息（），以确保系统信息安全。

A、保留B、保存C、注销D、禁用正确答案：C8.退出windows的快捷键是（）。

A、Alt+F2B、Alt+F4C、Ctrl+F2D、Ctrl+F4正确答案：B9.完成项目验收后（）内，档案管理人员接到归档资料与移交清单，核对归档资料，清点数量相符时，档案管理人员在归档资料移交清单签字，一式两份，接收双方各留一份。

A、一年B、半年C、三个月D、一个月正确答案：C10.发布管理主要角色有：发布经理、（）和发布实施人员。

A、应用主管B、业务主管C、系统主管D、发布主管正确答案：D11.Hive的默认计算引擎是什么？（）B、ImpalaC、MapReduceD、HDFS正确答案：C12.哪类存储系统有自己的文件系统：（）。

A、DASB、NASC、SAND、IPSAN正确答案：B13.在展示证书列表中，选择要导出的证书后，其证书后缀名由“.cer”改为“（）”，完成证书的导出。

web安全基础考试题及答案一、单项选择题（每题2分，共10分）1. 跨站脚本攻击（XSS）是一种什么样的攻击？A. 服务端攻击B. 客户端攻击C. 数据库攻击D. 网络层攻击答案：B2. SQL注入攻击主要利用了哪种漏洞？A. 操作系统漏洞B. 应用程序逻辑漏洞C. 数据库配置漏洞D. 网络协议漏洞答案：B3. HTTPS协议主要通过什么机制来保证数据传输的安全性？A. 加密B. 压缩C. 认证D. 以上都是答案：D4. 下列哪个不是Web应用的安全原则？A. 最小权限原则B. 数据加密原则C. 输入验证原则D. 信任所有用户输入答案：D5. 以下哪个不是常见的Web安全漏洞？A. CSRFB. XSSC. SQL注入D. 网络延迟答案：D二、多项选择题（每题3分，共15分）6. 以下哪些措施可以防止XSS攻击？A. 对用户输入进行编码B. 使用HTTP-only的CookieC. 限制脚本的执行D. 禁用浏览器插件答案：A, B, C7. 为了增强Web应用的安全性，以下哪些做法是正确的？A. 定期更新和打补丁B. 使用强密码策略C. 禁用不必要的服务D. 忽略安全警告答案：A, B, C8. 以下哪些是Web应用防火墙（WAF）的功能？A. 防止SQL注入B. 防止XSS攻击C. 限制请求速率D. 缓存静态内容答案：A, B, C9. 在Web安全中，以下哪些属于敏感信息？A. 用户密码B. 个人身份信息C. 支付卡信息D. 用户的浏览历史答案：A, B, C10. 以下哪些措施可以提高Web服务器的安全性？A. 禁用不必要的服务B. 定期更改服务器密码C. 使用防火墙D. 忽略安全更新答案：A, B, C三、判断题（每题1分，共5分）11. 使用HTTPS可以完全防止中间人攻击。

（错误）12. 任何情况下，都不应该在客户端存储敏感信息。

（正确）13. 为了用户体验，可以允许用户使用任何字符作为密码。

易达CMS企业建站系统漏洞 0day漏洞预警 -电脑资料易达CMS企业建站系统漏洞0dayin注入：相关代码：........................省略一部分....................................id=request("id"):id1=Split(id,","):delid=replace(request("id"),"'","")set rs = server.createobject("adodb.recordset")sql="DELETE from shuaiweb_buycart where id in ("&delid&")"rs.open sql,dbok,3,2rs.close在结算页面处理购物车，易达CMS企业建站系统漏洞 0day漏洞预警。

相关页面：buy_settlement.asp.............................................................. ........搜索框代码问题：相关代码：function tSearchyidacms_l=request("l")yidacms_n=request("n")yidacms_y=request("yidacms_search")........................省略一部分....................................if yidacms_language = "zh" thenset rs = server.createobject("adodb.recordset")if yidacms_l = "news" thensql="select * from [shuaiweb_news] where (shuaiweb_newstitle like '%"&yidacms_n&"%' or shuaiweb_newsContent like '%"&yidacms_n&"%') and yida_language = 'ch' order by id desc"elseif yidacms_l = "products" thensql="select * from [shuaiweb_products] where(shuaiweb_productsname like '%"&yidacms_n&"%' orshuaiweb_productscontent like '%"&yidacms_n&"%' orshuaiweb_productsbprice like '%"&yidacms_n&"%' or shuaiweb_productsmodel like '%"&yidacms_n&"%') and yida_language = 'ch' order by id desc"elseif yidacms_l = "photo" thensql="select * from [shuaiweb_photo] where (shuaiweb_photoname like '%"&yidacms_n&"%') and yida_language = 'ch' order by id desc"end ifrs.open sql,dbok,1,1elseset rs = server.createobject("adodb.recordset")if yidacms_l = "news" thensql="select * from [shuaiweb_news] where (shuaiweb_newstitle like '%"&yidacms_n&"%') or (shuaiweb_newsContent like '%"&yidacms_n&"%') order by id desc"elseif yidacms_l = "products" thensql="select * from [shuaiweb_products] where(shuaiweb_productsname like '%"&yidacms_n&"%') or(shuaiweb_productscontent like '%"&yidacms_n&"%') or(shuaiweb_productsbprice like '%"&yidacms_n&"%') or(shuaiweb_productsmodel like '%"&yidacms_n&"%') order by id desc"elseif yidacms_l = "photo" thensql="select * from [shuaiweb_photo] where shuaiweb_photoname like '%"&yidacms_n&"%' order by id desc"end ifrs.open sql,dbok,1,1end ifif rs.bof and rs.eof thentSearch = tSearch & "暂无记录!"&vbcrlfElsetSearch = tSearch & ""&vbcrlfdo while not rs.eof相关页面：search.asp-----------------------------------------------------------------------------------------------会员注册逻辑错误/权限绕过相关代码：response.write ""session("shuaiweb_useremail")=emptyelseresponse.write ""response.endelseif(request("id") <> "") then id = request("id")set rs = server.createobject("adodb.recordset")user_id4 = request("id") //一样sql="DELETE * FROM shuaiweb_buy WHERE id= "&user_id4&""rs.open sql,dbok,3,2rs.updaters.closeset rs=nothingresponse.write " "End Ifend if----------------------------------------------------------------------------------------------------没测试这个sql注入，因为本地搭建时没有产品所以无法下订单，怕麻烦所以也没弄了~！这个漏洞利用起来也麻烦，电脑资料《易达CMS企业建站系统漏洞 0day漏洞预警》。

网络安全管理员技师习题（含参考答案）一、单选题（共40题，每题1分，共40分）1.信息安全等级保护的5个级别中，（）是最高级别，属于关系到国计民生的最关键信息系统的保护。

A、强制保护级B、监督保护级C、专控保护级D、指导保护级E、自主保护级正确答案：C2.内容过滤技术的应用领域不包括A、防火墙B、入侵检测C、网页防篡改D、防病毒正确答案：C3.syslogins这个系统表是在（）中的。

A、Model库B、用户库C、Tempdb库D、Master库正确答案：D4.容易受到会话劫持攻击的是（）A、SSHB、SFTPC、TELNETD、HTTPS正确答案：C5.SQL语言中的中文名称为（）。

A、程序语言B、查询语言C、结构化查询语言D、结构化语言正确答案：C6.计算机的开机自检是在（）里完成的。

A、CMOSB、CPUC、BIOSD、内存正确答案：B7.远程运维审计系统系统管理员、运维管理员、审计员需独立分开，不能（）兼系统管理员，运维管理员，审计员。

A、三人B、二人C、一人D、以上都行正确答案：C8.如果互连的局域网高层分别采用TCP/IP协议与SPX/IPX协议，那么我们可以选择的多个网络互连设备应该是（）。

A、中继器B、网桥C、网卡D、路由器正确答案：D9.二类项目内容及成果涉及或影响公司（）及以上单位，由公司确定的重点项目，公司负责组织可研编制与批复、组织实施及验收。

A、一个B、四个C、三个D、两个正确答案：D10.为了使交换机故障排除工作有章可循，我们可以在故障分析时，按照（）的原则来排除交换机的故障。

A、先易后难B、内而外C、由近到远D、由硬软硬正确答案：A11.现行IP地址采用的标记法是（）。

A、十六进制B、十进制C、冒号十进制D、分组不能被交换正确答案：B12.下面有关我信息安全管理体制的说法错误的是A、目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面B、我国的信息安全保障工作综合利用法律、管理和技术的手段C、我国的信息安全管理应坚持及时检测、快速响应、综合治理的方针D、我国对于信息安全责任的原则是谁主管、谁负责；谁经营、谁负责正确答案：C13.网络运营者不得泄露、篡改、毁损其收集的个人信息；未经（）同意，不得向他人提供个人信息。

1+x网络安全评估考试题及答案一、单选题（共66题，每题1分，共66分）1.下列哪一个不属于电信诈骗？A、DDOS攻击B、冒充国家相关工作人员调查唬人C、虚构退税D、假称退还养老金、抚恤金正确答案：A2.以下哪种攻击不能获取用户的会话标识？A、会话凭证B、XSSC、凭证预测D、SQL注入正确答案：D3.如果使用$_SESSION，则需要有什么注意问题A、页面编码必须是UTF-8B、保证页面不能任何输出C、首先使用session_destory()D、首先使用session_start()正确答案：D4.alert()函数是用来干什么的？A、弹窗B、打开新页面C、重新打开页面D、关闭当前页面正确答案：A5.盗取Cookie是用做什么？A、用于登录B、DDOSC、钓鱼D、会话固定正确答案：A6.Weevely是一个Kali中集成的webshell工具，它支持的语言有（）。

A、ASPB、PHPC、JSPD、C/C++正确答案：B7.关于HTML格式的说法，错误的是A、<!-- -->为html的注释B、<P>用于定义一个标题C、<meta>常用于确定页面字符编码方式D、<!doctype html>用于声明文档，无大小写限制正确答案：B8.下列哪一个不属于信息安全范畴？A、运行安全B、实体安全C、人员安全D、电源安全正确答案：D9.协议的三要素不包括哪项？A、语法B、语义C、时序（同步）D、标点正确答案：D10.电信诈骗的特点不包括下列哪个？A、诈骗手段翻新速度很快B、犯罪活动的蔓延性比较大，发展很迅速C、形式集团化，反侦查能力非常强D、微信正确答案：D11.关键信息基础设施的运营者采购网络产品和服务，可能影响（）的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

A、政府安全B、信息安全C、网络安全D、国家安全正确答案：D12.Linux防火墙的主要功能是：（）。

1. 以下哪项不是信息安全的基本要素？A. 机密性B. 完整性C. 可用性D. 可读性2. 在网络攻防中，什么是“零日漏洞”？A. 已公开的漏洞B. 已知但未修补的漏洞C. 未公开的漏洞D. 已修补的漏洞3. 以下哪种攻击方式主要针对网络通信的机密性？A. 拒绝服务攻击B. 中间人攻击C. 社会工程学攻击D. 密码破解攻击4. 什么是DDoS攻击？A. 分布式拒绝服务攻击B. 动态数据对象服务C. 数据定义对象服务D. 动态数据库操作服务5. 以下哪种加密算法属于对称加密？A. RSAB. AESC. ECCD. DSA6. 在信息安全管理中，什么是“最小权限原则”？A. 用户应拥有尽可能多的权限B. 用户应拥有尽可能少的权限C. 用户应拥有所有权限D. 用户不应拥有任何权限7. 以下哪种协议主要用于电子邮件的安全传输？A. SSLB. TLSC. PGPD. IPSec8. 什么是SQL注入攻击？A. 通过SQL语言注入恶意代码B. 通过SQL语言注入数据C. 通过SQL语言注入命令D. 通过SQL语言注入查询9. 以下哪种攻击方式主要针对网络服务的可用性？A. 拒绝服务攻击B. 中间人攻击C. 社会工程学攻击D. 密码破解攻击10. 什么是防火墙？A. 一种网络安全设备B. 一种网络存储设备C. 一种网络通信设备D. 一种网络管理设备11. 以下哪种技术用于防止数据在传输过程中被窃听？A. 加密技术B. 认证技术C. 审计技术D. 隔离技术12. 什么是VPN？A. 虚拟专用网络B. 虚拟公共网络C. 虚拟个人网络D. 虚拟私有网络13. 以下哪种攻击方式主要针对网络通信的完整性？A. 拒绝服务攻击B. 中间人攻击C. 社会工程学攻击D. 密码破解攻击14. 什么是钓鱼攻击？A. 通过伪造的电子邮件获取用户信息B. 通过伪造的网站获取用户信息C. 通过伪造的电话获取用户信息D. 通过伪造的短信获取用户信息15. 以下哪种技术用于防止数据在存储过程中被篡改？A. 加密技术B. 认证技术C. 审计技术D. 隔离技术16. 什么是IDS？A. 入侵检测系统B. 入侵防御系统C. 入侵管理系统D. 入侵监控系统17. 以下哪种攻击方式主要针对网络通信的认证？A. 拒绝服务攻击B. 中间人攻击C. 社会工程学攻击D. 密码破解攻击18. 什么是APT攻击？A. 高级持续性威胁B. 高级临时性威胁C. 高级短暂性威胁D. 高级周期性威胁19. 以下哪种技术用于防止数据在传输过程中被篡改？A. 加密技术B. 认证技术C. 审计技术D. 隔离技术20. 什么是WAF？A. 网络应用防火墙B. 网络访问防火墙C. 网络应用过滤器D. 网络访问过滤器21. 以下哪种攻击方式主要针对网络通信的机密性？A. 拒绝服务攻击B. 中间人攻击C. 社会工程学攻击D. 密码破解攻击22. 什么是零信任安全模型？A. 信任所有用户B. 不信任所有用户C. 信任部分用户D. 不信任部分用户23. 以下哪种技术用于防止数据在存储过程中被窃听？A. 加密技术B. 认证技术C. 审计技术24. 什么是Ransomware？A. 一种加密货币B. 一种恶意软件C. 一种网络协议D. 一种网络服务25. 以下哪种攻击方式主要针对网络通信的可用性？A. 拒绝服务攻击B. 中间人攻击C. 社会工程学攻击D. 密码破解攻击26. 什么是蜜罐技术？A. 一种网络安全技术B. 一种网络存储技术C. 一种网络通信技术D. 一种网络管理技术27. 以下哪种技术用于防止数据在传输过程中被篡改？A. 加密技术B. 认证技术C. 审计技术D. 隔离技术28. 什么是MFA？A. 多因素认证B. 单因素认证C. 双因素认证D. 三因素认证29. 以下哪种攻击方式主要针对网络通信的完整性？A. 拒绝服务攻击B. 中间人攻击C. 社会工程学攻击D. 密码破解攻击30. 什么是SIEM？A. 安全信息和事件管理系统B. 安全信息和事件管理服务C. 安全信息和事件管理协议D. 安全信息和事件管理工具31. 以下哪种技术用于防止数据在存储过程中被篡改？B. 认证技术C. 审计技术D. 隔离技术32. 什么是Botnet？A. 一种网络机器人B. 一种网络僵尸C. 一种网络协议D. 一种网络服务33. 以下哪种攻击方式主要针对网络通信的机密性？A. 拒绝服务攻击B. 中间人攻击C. 社会工程学攻击D. 密码破解攻击34. 什么是EDR？A. 端点检测和响应B. 端点防御和响应C. 端点检测和防御D. 端点防御和检测35. 以下哪种技术用于防止数据在传输过程中被窃听？A. 加密技术B. 认证技术C. 审计技术D. 隔离技术36. 什么是IoT？A. 物联网B. 互联网C. 互联网服务D. 互联网协议37. 以下哪种攻击方式主要针对网络通信的可用性？A. 拒绝服务攻击B. 中间人攻击C. 社会工程学攻击D. 密码破解攻击38. 什么是BYOD？A. 自带设备B. 自带数据C. 自带服务D. 自带协议39. 以下哪种技术用于防止数据在存储过程中被篡改？A. 加密技术B. 认证技术C. 审计技术D. 隔离技术40. 什么是GDPR？A. 通用数据保护条例B. 通用数据保护规则C. 通用数据保护协议D. 通用数据保护服务41. 以下哪种攻击方式主要针对网络通信的机密性？A. 拒绝服务攻击B. 中间人攻击C. 社会工程学攻击D. 密码破解攻击42. 什么是SOC？A. 安全运营中心B. 安全操作中心C. 安全运营服务D. 安全操作服务43. 以下哪种技术用于防止数据在传输过程中被篡改？A. 加密技术B. 认证技术C. 审计技术D. 隔离技术44. 什么是XSS攻击？A. 跨站脚本攻击B. 跨站请求伪造C. 跨站数据泄露D. 跨站服务拒绝45. 以下哪种攻击方式主要针对网络通信的完整性？A. 拒绝服务攻击B. 中间人攻击C. 社会工程学攻击D. 密码破解攻击46. 什么是CSRF攻击？A. 跨站请求伪造B. 跨站脚本攻击C. 跨站数据泄露D. 跨站服务拒绝47. 以下哪种技术用于防止数据在存储过程中被窃听？A. 加密技术B. 认证技术C. 审计技术D. 隔离技术48. 什么是Pharming攻击？A. 通过伪造的电子邮件获取用户信息B. 通过伪造的网站获取用户信息C. 通过伪造的电话获取用户信息D. 通过伪造的短信获取用户信息49. 以下哪种攻击方式主要针对网络通信的可用性？A. 拒绝服务攻击B. 中间人攻击C. 社会工程学攻击D. 密码破解攻击50. 什么是Honeynet？A. 一种网络安全技术B. 一种网络存储技术C. 一种网络通信技术D. 一种网络管理技术51. 以下哪种技术用于防止数据在传输过程中被篡改？A. 加密技术B. 认证技术C. 审计技术D. 隔离技术52. 什么是MDM？A. 移动设备管理B. 移动数据管理C. 移动服务管理D. 移动协议管理53. 以下哪种攻击方式主要针对网络通信的机密性？A. 拒绝服务攻击B. 中间人攻击C. 社会工程学攻击D. 密码破解攻击54. 什么是SDN？A. 软件定义网络B. 软件定义服务C. 软件定义协议D. 软件定义数据55. 以下哪种技术用于防止数据在存储过程中被窃听？A. 加密技术B. 认证技术C. 审计技术D. 隔离技术56. 什么是APT攻击？A. 高级持续性威胁B. 高级临时性威胁C. 高级短暂性威胁D. 高级周期性威胁57. 以下哪种攻击方式主要针对网络通信的可用性？A. 拒绝服务攻击B. 中间人攻击C. 社会工程学攻击D. 密码破解攻击58. 什么是IAM？A. 身份和访问管理B. 身份和认证管理C. 身份和审计管理D. 身份和隔离管理59. 以下哪种技术用于防止数据在传输过程中被篡改？A. 加密技术B. 认证技术C. 审计技术D. 隔离技术60. 什么是NAC？A. 网络访问控制B. 网络应用控制C. 网络数据控制D. 网络服务控制答案部分1. D2. C3. B4. A5. B6. B7. C8. A9. A10. A11. A12. A13. B14. B15. B16. A17. D18. A19. B20. A21. B22. B23. A24. B25. A26. A27. B28. A29. B30. A31. B32. B33. B34. A35. A36. A37. A38. A39. B40. A41. B42. A43. B44. A45. B46. A47. A48. B49. A50. A51. B52. A53. B54. A55. A56. A57. A58. A59. B60. A。

网络攻防试题及答案1. 什么是DDoS攻击？DDoS攻击，即分布式拒绝服务攻击，是一种通过大量请求使目标服务器或网络资源过载，导致服务不可用的攻击方式。

2. 列举至少三种常见的网络攻击类型。

- 1) SQL注入攻击：通过在Web应用程序中注入恶意SQL代码，攻击者可以操纵数据库。

- 2) 跨站脚本攻击（XSS）：攻击者在网页中嵌入恶意脚本，当用户浏览该网页时，脚本会在用户浏览器上执行。

- 3) 钓鱼攻击：通过伪装成可信实体，诱使用户泄露敏感信息，如用户名、密码等。

3. 描述防火墙的基本工作原理。

防火墙是一种网络安全系统，它监控并控制进出网络的数据包，基于一系列的安全规则来允许或阻止数据包的传输。

4. 什么是SSL/TLS协议？SSL/TLS协议是一种加密协议，用于在互联网通信中提供加密，以确保数据传输的安全性和隐私性。

5. 列举至少两种常见的网络防御措施。

- 1) 使用防火墙：部署防火墙以监控和控制进出网络的流量，防止未授权访问。

- 2) 安装防病毒软件：在系统上安装防病毒软件，定期更新病毒定义，以防止恶意软件的侵害。

6. 什么是蜜罐技术？蜜罐技术是一种安全技术，通过设置陷阱系统来吸引并监控攻击者的行为，从而收集情报并提高网络的安全性。

7. 描述网络钓鱼攻击的过程。

网络钓鱼攻击通常包括发送假冒的电子邮件，其中包含恶意链接或附件，诱使用户点击，从而窃取用户的敏感信息。

8. 什么是VPN，它如何保护数据？VPN，即虚拟私人网络，是一种技术，允许用户通过加密的通道在公共网络上安全地发送和接收数据，从而保护数据不被窃听。

9. 列举至少两种常见的网络扫描技术。

- 1) 端口扫描：通过发送数据包到目标系统的所有端口，以确定哪些端口是开放的。

- 2) 漏洞扫描：自动检测系统漏洞，以评估系统的安全性。

10. 什么是入侵检测系统（IDS）？入侵检测系统是一种设备或软件，用于监测网络或系统上的活动，以发现恶意活动或政策违规行为。

信息安全竞赛题库(带答案)一、选择题1.以下哪一项不是信息安全中的三要素？A.保密性B.完整性C.可用性D.合法性答案：D2.以下哪种攻击方式是针对网络设备的？A.SQL注入B.DDoS攻击C.钓鱼攻击D.跨站脚本攻击答案：B3.以下哪种协议是用于网络安全的？A.HTTPB.HTTPSC.FTPD.SMTP答案：B4.以下哪种加密算法是非对称加密算法？A.DESB.RSAC.AESD.3DES答案：B5.以下哪种方式不属于身份认证的三要素？A.密码B.令牌C.手机短信D.生物识别答案：C6.以下哪种攻击方式是利用系统漏洞进行的？A.SQL注入B.DDoS攻击C.钓鱼攻击D.缓冲区溢出攻击答案：D7.以下哪种技术可以实现数据的加密和解密？A.对称加密技术B.非对称加密技术C.哈希算法D.数字签名技术答案：A8.以下哪种协议是用于网络远程管理的？A.SSHB.TelnetC.FTPD.HTTP答案：A9.以下哪种攻击方式是针对操作系统的？A.SQL注入B.DDoS攻击C.钓鱼攻击D.恶意软件攻击答案：D10.以下哪种方式不属于防止DDoS攻击的方法？A.防火墙过滤B.黑洞路由C.流量整形D.系统漏洞利用答案：D二、填空题1.信息安全的主要目标是保证信息的________、________和________。

答案：保密性、完整性、可用性2.对称加密算法中，加密和解密使用相同的密钥，例如________、________等。

答案：DES、AES3.非对称加密算法中，加密和解密使用不同的密钥，例如________、________等。

答案：RSA、ECC4.数字签名技术可以实现数据的________、________和________。

答案：完整性、真实性、非否认性5.________协议是用于网络安全的，可以实现加密传输。

答案：HTTPS6.防止DDoS攻击的方法有________、________和________等。

1+X网络安全模考试题（附答案）一、单选题（共80题，每题1分，共80分）1、下列说法正确的是( )？A、Nginx是一种语言B、Nginx只有解析漏洞和目录遍历两个漏洞C、Nginx是一种中间件D、Nginx只支持php正确答案：C2、Weevely是一个Kali中集成的webshell工具，它支持的语言有( )。

A、JSPB、PHPC、ASPD、C/C++正确答案：B3、TCP的端口号最大为65535，为什么( )？A、因为TCP协议头部只允许了16位空间作为端口号B、因为TCP/IP协议栈规定不能超过65535C、因为TCP协议头部设计时在端口号为65536时会发生严重的溢出的漏洞D、因为IP协议头部只允许了16位空间作为端口号正确答案：A4、测试JAVA反序列化漏洞，有时需要提供一个二进制文件，测试过程中我们应该怎么生成这个文件( )?A、编写POC，先序列化要传入的对象B、使用网络上现有的工具C、使用网络上的二进制文件D、直接修改二级制文件正确答案：A5、Cookie没有以下哪个作用( )？A、身份认证B、储存信息C、维持用户会话D、执行代码正确答案：D6、TCP/IP模型分几层( )？A、5B、7C、6D、4正确答案：D7、使用下面哪个函数过滤xss是最好的( )？A、preg_replace()B、str_replace()C、addslashes()D、htmlspecialchars()正确答案：D8、在使用Linux的VIM编辑器的命令模式中，我们使用什么进行按键进行粘贴( )A、VB、PC、ZD、C正确答案：B9、固定会话攻击中，最关键的步骤是( )？A、攻击者记录SessionB、攻击者修改目标用户SessionC、用户点击链接D、用户成功登陆正确答案：B10、IEEE 802.1x 协议主要用来( )？A、生成树管理B、网络访问控制C、流量优先级控制D、虚拟局域网管理正确答案：B11、IPSec VPN安全技术没有用到( )。

网络安全管理员习题库（附参考答案）一、单选题（共70题，每题1分，共70分）1.追踪黑客踪迹.分析黑客攻击手段的最佳方案是(____)。

A、安全审计系统B、入侵检测系统C、反木马.反病毒软件D、蜜罐/蜜网正确答案：D2.对通过HTML的表单（<form></form>）提交的请求类型，以下（）描述是正确的。

A、仅GETB、仅POSTC、仅HEADD、GET与POST正确答案：D3.下列对系统日志信息的操作中(____)是最不应当发生的。

A、只抽取部分条目进行保存和查看B、用新的日志覆盖旧的日志C、对日志内容进行编辑D、使用专用工具对日志进行分析正确答案：C4.sqlmap语句中:'--tamper "space2morehash.py"'这个参数命令的作用是(____)。

A、绕过所有过滤B、绕过union过滤C、绕过空格过滤，把空格替换为/**/D、绕过select过滤正确答案：C5.以下端口扫描器工具，隐蔽性最好的是(____)。

A、StroBeB、NmApC、TCp_sCAnD、UDp_sCAn正确答案：A6.对于“select password from users where uname='$u';”，当$u=(____)时，可以绕过逻辑，以admin身份通过验证。

A、admin' or ''='B、admin' or 1=1C、admin' and 'a'='bD、admin and 'a'='a正确答案：A7.华三防火墙设备基本ACL的编号范围是(____)。

A、100-199B、200-299C、1000-1999D、2000-2999正确答案：D8.下列命令中，那将策略应用的接口方式正确的是(____)。

A、access-group celue in interface InsideB、access-list celue in interface InsideC、ip access-list celue inD、ip access-group celue in正确答案：A9.下列文件中，包含了主机名到IP 地址的映射关系的文件是(____)。

网络安全管理员考试模拟题与参考答案一、单选题（共109题，每题1分，共109分）1.操作系统中最核心的概念是( )A、进程B、文件C、内存D、接口正确答案：A2.操作系统是计算机系统中最重要的系统软件，以下哪项属于我国自主研发的操作系统( )A、HarmonyOSB、EMUIC、IOSD、LINUX正确答案：A3.计算机犯罪，是以计算机为犯罪工具或以计算机为( ) 的犯罪行为。

A、犯罪手段B、犯罪对象C、犯罪结果D、犯罪过程正确答案：B4.以下关于SQL 语句(SELECT * FROM Websites WHEREcountry='CN')描述正确的一项是：( )A、Websites 是一个数据库名称。

B、*是指字段中有*的内容。

C、WHERE 子句用于过滤 select 查询的记录。

D、country 是表的名称为 CN 的内容。

正确答案：C5.办事公道是指对于人和事的一种态度，也是千百年来人们所称道的职业道德，它要求人们待人处世要( )。

A、公平、公正B、实事求是C、诚实守信D、服务群众正确答案：A6.风险控制措施管理措施不包括( )A、风险预控措施B、安全培训措施C、安全管控措施D、转移措施正确答案：A7.以下选项中，下不属于网络欺骗的作用的是( )：A、消耗人侵者的资源B、防止被入侵攻击C、影响入侵者使其按照你的意思进行选择D、迅速地检测到人侵者的进攻,并获知其进攻技术和意图正确答案：B8.以下哪些选项不是我国与信息安全有关的国家法律? ( )A、《中华人民共和国保守国家秘密法》B、《中华人民共和国刑法》C、《信息安全等级保护管理办法》D、《中华人民共和国国家安全法》正确答案：C9.Linux 预设提供了( )个命令窗口终端机让我们来登录。

A、6B、4C、5D、3正确答案：A10.( ) HTML 文档内容在..标记之中。

A、整个B、声音C、图像D、部分正确答案：A11.( )主要包含风险分析和业务影响分析。

关卡二十一题目：网站漏洞攻击之XYCMS企业建站系统描述:公司搭建了门户网站，使用了XYCMS企业建站系统。

但是经过一段时间的运营，发现公司网站经常受到黑客的攻击，给公司造成了很大的不便和损失。

上级领导要求尽快查清原因，作为网络安全维护人员，请查找公司网站可能存在的一些漏洞至少两个。

答案提交：1、请提交获取的key值。

参考步骤：1．进入关卡二十一，点击查看IP地址获取靶机IP2.获得的靶机IP地址3.打开场景工具Window Xp4.进入xp渗透攻击机，打开浏览器浏览将要攻击的网站5.SQL注入使用“啊D注入工具”对网站进行漏洞测试继续对注入点进行SQL注入，但没有发现可利用的信息，表明此处无漏洞。

6.XSS漏洞利用(1)在留言本-留言标题中插入XSS脚本，<script>window.alert(document.cookie);</script>(2)返回带有cookie的提示窗7.编辑器漏洞利用（1）利用编辑器漏洞进行在网站上生产a.asp目录http://172.16.1.62/admin/xyewebeditor/asp/upload.asp?action=save&type=image&style=popup&cusdir=a.asp（2）编辑器管理界面的路径默认：http://172.16.1.62/admin/xyeWebEditor/admin/login.asp 在浏览器中打开此地址（3）输入ewebeditor默认用户名admin 密码admin888登录管理如下：然后就可以对样式进行管理上传自己制作的木马程序（4）编辑器默认目录遍历地址：http://192.168.1.62/admin/xyeWebEditor/admin/upload.asp?id= 1&d_viewmode=list&dir=../并在浏览器中打开此地址（5）利用编辑器默认目录遍历漏洞http://192.168.1.62/admin/xyeWebEditor/admin/upload.asp?id= 1&d_viewmode=list&dir=../../../访问到C盘根目录获取的key。

XYCMS律师事务所建站系统1.1上传漏洞漏洞预警-电脑资料
源码简介：
XYCMS律师事务所建站系统包含事务所简介、律师风采、新闻中心、服务领域、典型案例、法律咨询、资格认证、联系我们等栏目，。

后台功能：
企业信息管理：包括基本信息管理，添加，在线报名信息管理，问答中心信息管理
新闻中心管理：管理新闻信息内容，管理相关分类，添加或者删除
律师风采管理：对律师事务所成员进行管理，可添加，删除等操作
源码下载：
exploit:
由于种种原因，前几天发布的几个漏洞，都没扔关键字，
电脑资料
《XYCMS律师事务所建站系统 1.1 上传漏洞漏洞预警》(https://www.)。

想想还是扔一个吧。

免得大家一直问。

inurl:showlsfc.asp?id
PS:由于在1.0版本中，有牛牛发布了若干个问题，我就不一一说了。

这个是没说的，所以补充下。

有点鸡肋,如有雷同，纯粹意外。

启航通信企业建站CMS系统v1.10day漏洞预警-电脑资料这是一套破系统，拿人家源马改改就说是自己的，还收费垃圾系统，还对源马进行了加密，。

漏洞一大堆后台登录验证文件：<%dim sql,rsdim username,password,CheckCodeusername=replace(trim(request("username")),"'","")password=replace(trim(Request("password")),"'","")CheckCode=replace(trim(Request("CheckCode")),"'","")上面加载的页面中居然没有加载防注入的，电脑资料《启航通信企业建站CMS系统v1.1 0day漏洞预警》(https://www.)。

而且接收参数居然用request。

并没有限制，各种注入一起上吧2、前台页面存在注入%owen=request("id")%><%id=cstr(request("id"))Set rsnews=Server.CreateObject("ADODB.RecordSet")sql="update news set hits=hits+1 where id="&idconn.execute sql可以利用注入中转。

其它页面我就没看了。

接下来看后台拿shell的漏洞吧1、上传漏洞,可以有明小子上传。

2、数据库备份,没做任何限制。

上传图片马，然后进行备份3、网站配置，可插入闭合式一句话拿shell对于这样的企业站。

我很无语。

大安全测试题及答案一、选择题1. 在计算机安全中，DDoS攻击的主要目标是：A. 窃取密码B. 篡改数据C. 拒绝服务D. 获取敏感信息答案：C. 拒绝服务2. 在密码学中，对称加密算法采用的加密方式是：A. 公钥加密B. 秘钥加密C. 散列加密D. 双向加密答案：B. 秘钥加密3. 下列哪项是操作系统安全的重要措施？A. 定期更新系统B. 安装杀毒软件C. 设立网络防火墙D. 限制用户权限答案：D. 限制用户权限4. 典型的网络钓鱼攻击是指：A. 利用电子邮件欺骗用户获取信息B. 利用计算机病毒攻击系统安全C. 利用暴力破解密码获取用户账号D. 利用黑客技术获取网站管理员权限答案：A. 利用电子邮件欺骗用户获取信息5. 在网络安全中，DMZ区域指的是：A. 数据管理区域B. 隔离区域C. 反病毒区域D. 网络监控区域答案：B. 隔离区域二、简答题1. 什么是SQL注入攻击？如何预防SQL注入攻击？答：SQL注入攻击是指攻击者通过输入恶意的SQL语句，利用程序的漏洞执行非法操作，如查询、修改或删除数据库内容。

为防止SQL注入攻击，可采取以下预防措施：- 使用预编译语句或参数化查询- 对用户输入进行有效的输入验证和过滤- 限制数据库用户的权限- 定期更新数据库软件以修复漏洞2. 什么是社会工程学攻击？举例说明一种社会工程学攻击方式。

答：社会工程学攻击是指攻击者通过利用人的社交工作习惯、心理弱点等手段，获取敏感信息或让受攻击者采取某种行为。

举例来说，一种常见的社会工程学攻击方式是“钓鱼邮件”，攻击者发送伪装成合法机构或服务提供商的电子邮件，引诱受害者点击恶意链接或提供个人账户信息。

3. 什么是数字证书？数字证书有什么作用？答：数字证书是由数字证书颁发机构（CA）颁发的一种电子文件，用于证明某个实体的身份信息，如网站、组织或个人。

数字证书的主要作用包括：- 身份验证：证明网站或实体的真实身份- 数据完整性：用于验证数据未被篡改- 加密通信：用于安全加密通信三、案例分析某电商网站近期频繁发生用户账号被盗的情况，请你分析可能的原因，并提出相应的解决措施。

信息安全管理员-高级工模考试题（附答案）一、单选题（共45题，每题1分，共45分）1.系统安装完成后，要访问北信源WEB管理页面，应在IE地址栏输入（）。

A、http://*.*.*.*B、http://*.*.*.*/edpC、http://*.*.*.*/index.aspD、http://*.*.*.*/vrveis正确答案：D2.广西营销管理信息系统安全保护等级建议为（）。

A、第四级B、第二级C、第三级D、第一级正确答案：C3.以下有关于漏洞扫描的说法中，错误的是（）。

A、漏洞扫描能实时监视网络上的入侵B、漏洞扫描功能包括:扫描、生成报告、分析并提出建议等C、漏洞扫描技术是检测系统安全管理脆弱性的一种安全技术D、漏洞扫描分为基于主机和基于网络的两种扫描器正确答案：A4.利用信息网络诽谤他人，同一诽谤内容转发多少次以上，构成诽谤罪的严重情节？（）A、100B、1000C、500D、250正确答案：C5.当访问web网站的某个页面资源不存在时，将会出现的HTTP状态码是（）。

A、403B、200C、302D、404正确答案：D6.信息系统建设完成后，（）的信息系统的运营使用单位应选择符合国家规定的测评机构进行测评合格方可投入使用。

A、二级以上B、三级以上C、四级以上D、五级以上正确答案：A7.上班时间段内，互联网用户可使用（）、邮件和FTP等常用网络服务，以及经公司信息部审核批准的特殊网络服务。

A、QQB、HTTPC、HTTPSD、MSN正确答案：B8.移动存储介质按需求可以划分（）。

A、数据区和验证区B、验证区和保密区C、交换区和数据区D、交换区和保密区正确答案：D9.公司各业务归口管理部门可以根据本专业特点指定某类特殊岗位的账号权限实行（）。

A、分散审批B、集中审批C、指定人员审批D、专人审批正确答案：B10.在生产控制大区与调度数据网的网络边界应部署__。

A、直通B、纵向加密认证网关C、防火墙D、横向安全隔离装置正确答案：B11.以下不为数据安全全生命周期的是（）。

信息安全管理员-高级工试题库（附答案）一、单选题（共45题，每题1分，共45分）1.（）提供云用户请求服务的交互界面，也是用户使用云的入口，用户通过Web浏览器可以注册.登录及定制服务.配置和管理用户。

打开应用实例与本地操作桌面系统一样。

A、监控端B、管理系统和部署工具C、云用户端D、服务目录正确答案：C2.广西电网有限责任公司网络安全（运行）事件调查规程规定了网络安全事件有（）个级别。

A、4B、5C、6D、7正确答案：B3.下面哪种组帐号不是WindowsServer2003域中的组帐号（）。

A、通用组B、全局组C、本地组D、域本地组正确答案：C4.下列哪一项不是黑客在入侵踩点（信息搜集）阶段使用的技术（）。

A、使用sqlmap验证SQL注入漏洞是否存在B、主机及系统信息收集C、公开信息的合理利用及分析D、IP及域名信息收集正确答案：A5.下面不属于统一桌面管理系统进程的是（）。

A、RsTray.exeB、Watchclient.exeC、Vrvedp_m.exeD、Vrvsafec.exe正确答案：AB2.0所能达到的最高传输速率是（）Mbit/SA、12B、15C、480D、180正确答案：C7.以下哪个不是智能手机泄露个人信息的方式？（）A、未能妥善处理旧手机B、手机拨打电话C、未经用户同意读取、上传用户个人信息D、恶意软件正确答案：B8.使用社交平台以下不正确的是（）。

A、小心红包链接陷阱B、切勿在所有网站使用统一密码C、请谨慎添加好友D、照实填写所有的字段正确答案：D9.提倡文明上网，健康生活，我们应该不做下列哪种行为？（）A、自觉抵制网上的虚假、低俗内容，让有害信息无处藏身B、浏览合法网站，玩健康网络游戏，并用自己的行动影响周围的朋友C、在网上随心所欲地对其他网友进行人身攻击D、不信谣，不传谣，不造谣。

正确答案：C10.下面无助于加强计算机安全的措施是（）。

A、安装杀毒软件并及时更新病毒库B、及时更新操作系统补丁包C、定期整理计算机硬盘碎片正确答案：C11.习近平总书记指出：“没有()就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障”。