《南开大学22春“信息安全”《攻防技术基础》离线作业(一)辅导答案31》由会员分享,可在线阅读,更多相关《南开大学22春“信息安全”《攻防技术基础》离线作业(一)辅导答案31(7页珍藏版)》请在装配图网上搜索。
1、书山有路勤为径,学海无涯苦作舟! 住在富人区的她南开大学22春“信息安全”攻防技术基础离线作业(一)辅导答案一.综合考核(共50题)1.在软件开发的设计阶段,通过()原则,预先从设计和架构角度消除安全缺陷,将成为软件安全开发的关键。A.安全编程B.安全测试C.应用安全设计D.安全开发参考答案:C2.()解决的是如何组织软件的开发过程,但是它没有解决如何在软件开发过程中防止安全缺陷的出现。A.软件开发生命周期B.安全威胁模型C.安全设计D.安全编程参考答案:A3.钩子(Hook)是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他
2、进程所创建的。()T.对F.错参考答案:T4.以下哪项不是HTTP与服务器交互的方法?()A.GETB.OKC.POSTD.PUT参考答案:B5.MITRE是一个受美国资助的基于麻省理工学院科研机构形成的非赢利公司。()T.对F.错参考答案:T6.主动信息收集也就是说不会与目标服务器做直接的交互、在不被目标系统察觉的情况下,通过搜索引擎、社交媒体等方式对目标外围的信息进行收集。()T.对F.错参考答案:F7.病毒、()和木马是可导致计算机和计算机上的信息损坏的恶意程序。A.程序B.蠕虫C.代码D.数据参考答案:B8.Cookie与Session是与HTTP会话相关的两个内容,其中()存在在浏览
3、器,()存储在服务器中。A.Session、CookieB.SessionID、CookieC.Cookie、SessionIdD.Cookie、Session参考答案:D9.Session的使用是由浏览器按照一定的原则在后台自动发送给服务器的。()T.对F.错参考答案:F10.以下属于主动信息收集的是()A.nmapB.IP查询C.whoisD.旁站查询参考答案:A11.以下有关DEP说法错误的是()。A.Windows操作系统中,默认情况下将包含执行代码和DLL文件的txt段即代码段的内存区域设置为可执行代码的内存区域B.Windows XP及其之前的操作系统,没有对内存区域的代码执行进行
4、限制C.启用DEP机制后,DEP机制将某些敏感区域设置不可执行的non-executable标志位D.DEP只有软件DEP参考答案:D12.以下描述错误的是()。A.漏洞是计算机系统本身存在的缺陷B.漏洞的存在和利用都有一定的环境要求C.漏洞的存在本身是有危害的D.漏洞是一个全面综合的概念参考答案:C13.Vulnerability和Hole都是一个总的全局性概念,包括威胁、损坏计算机系统安全性的所有要素。()A.正确B.错误参考答案:A14.Nessus(名词解释)参考答案:Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,
5、并随时更新其漏洞数据库。可同时在本机或远端上遥控,进行系统的漏洞分析扫描。15.渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。()T.对F.错参考答案:T16.堆由程序员自己分配,速度比较快。()T.对F.错参考答案:F17.以下哪项不属于缓存区溢出漏洞?()A.堆溢出B.栈溢出C.单字节溢出D.SQL注入参考答案:D18.Metasploit模块中的所有参数只有set一个状态。()A.正确B.错误参考答案:B19.以下哪项不属于缓存区溢出漏洞()。A.堆溢出B.栈溢出C.单字节溢出D.SQL注入参考答案:D20.软件漏洞只会造成软件奔溃不能运行。()A.正确B
6、.错误参考答案:B21.漏洞利用中最关键的是Shellcode的编写,对一些特定字符需要转码,函数API的定位比较简单。()A.正确B.错误参考答案:B22.()是指软件设计者或开发者犯下的错误,是导致不正确结果的行为,它可能是有意无意的误解、对问题考虑不全面所造成的过失等。A.FaultB.HoleC.WeaknessD.Error参考答案:D23.SSH协议可以实现Internet上数据传输的安全,通过利用数据加密技术,它可确保数据在网络上传输不会被截取或者窃听。()T.对F.错参考答案:F24.符号溢出是使用另外的数据类型来存储整型数造成的。()A.正确B.错误参考答案:B25.程序开发
7、时不需要自己进行边界检查,交给测试环节就可以。()T.对F.错参考答案:F26.隐秘测试是对被测单位而言的,通常情况下,接受渗透测试的单位网络管理部门会收到通知在某些时段进行测试。()T.对F.错参考答案:T27.渗透测试是通过(),来评估计算机网络系统安全的一种评估方法。A.模拟恶意黑客的攻击方法B.恶意黑客的攻击方法C.安全测试的攻击方法D.影响业务系统正常运行的攻击方法参考答案:A28.以下哪项不是PHP的注释符号()。A.#/B.-+C./* */参考答案:C29.当系统存在文件上传漏洞时攻击者可以将病毒,木马,WebShell,其他恶意脚本或者是包含了脚本的图片上传到服务器,这些文件
8、将对攻击者后续攻击提供便利。()A.正确B.错误参考答案:A30.存储在硬盘上的cookie不可以在不同的浏览器进程间共享。()T.对F.错参考答案:F31.漏洞是一个全面综合的概念。()A.正确B.错误参考答案:A32.下面描述错误的()。A.定义了文档的信息B.定义了HTML文档中的元数据C.定义了客户端的脚本文件D.定义了页面链接标签的默认链接地址参考答案:B33.蠕虫病毒的传染目标是()。A.计算机内的文件系统B.计算机内的病毒C.计算机内的木马D.互联网内的所有计算机参考答案:D34.蠕虫是利用文件寄生来通过网络传播的恶性病毒。()T.对F.错参考答案:F35.()能发现软件设计或软
9、件编码中存在的问题并进行修改,从而保证软件的质量。A.软件设计B.程序编码C.程序设计D.软件测试参考答案:D36.()指还处于未公开状态的漏洞。A.XSSB.SQLC.0dayD.SSRF参考答案:C37.以下有关ROP说法正确的是()。A.ROP的全称为Return-oriented programming(返回导向编程),是一种新型的基于代码复用技术的攻击B.ROP技术可以绕过DEP、ALSR和GS缓冲区溢出的检测防护技术C.ROP基本的思想是借助用户自己写的代码块D.ROP不允许攻击者从已有的库或可执行文件中提取指令片段参考答案:A38.一个可执行文件只包含有二进制的机器代码。()A.
10、正确B.错误参考答案:B39.整数溢出可以被单独利用。()A.正确B.错误参考答案:B40.堆溢出是缓冲区溢出中最简单的一种。()T.对F.错参考答案:F41.加“壳”虽然增加了CPU负担,但是减少了硬盘读写时间,实际应用时加“壳”以后程序运行速度更快。()T.对F.错参考答案:T42.整数溢出可以被单独利用。()T.对F.错参考答案:F43.URL重写就是把session id直接附加在URL路径的后面。()A.正确B.错误参考答案:A44.符号溢出是使用另外的数据类型来存储整型数造成的。()T.对F.错参考答案:F45.栈是向()地址扩展的数据结构,是一块连续的内存区域; 堆是向()地址扩
11、展的数据结构,是不连续的内存区域。A.低、低B.高、低C.低、高D.高、高参考答案:C46.()适合检查因控制流信息非法操作而导致的安全问题,如内存访问越界、常数传播等。A.词法分析B.数据流分析C.符号执行D.模型检验参考答案:B47.白箱测试又被称为所谓的“Zero-Knowledge Testing”,渗透者完全处于对系统一无所知的状态。()A.正确B.错误参考答案:B48.超文本标记语言中文件的开头的标记符是()。A.和B.和C.和D.和参考答案:D49.蠕虫与普通病毒相比特有的性质为()。A.传播性B.隐蔽性C.不利用文件寄生D.破坏性参考答案:C50.病毒必须能自我执行和自我复制。()A.正确B.错误参考答案:A
南开大学22春“信息安全”《攻防技术基础》离线作业(一)辅导答案31
