还剩10页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
南开大学23春学期(高起专
1903、专升本1903)《攻防技术基础》在线作业.如果想要列出数据库用户,sqlmap下应该使用()参数选项A dbs选项B users选项C current-user选项D dump参考答案B.网页与HTML对应的关系是()选项A一对一选项B多对一选项C一对多选项D多对多参考答案C.渗透测试是通过(),来评估计算机网络系统安全的一种评估方法选项A模拟恶意黑客的攻击方法选项B恶意黑客的攻击方法选项C安全测试的攻击方法选项D影响业务系统正常运行的攻击方法参考答案A.当传输层没有进行安全保护时,会遇到()安全威胁选项A MITM选项B XSS选项C SQL选项D SSRF参考答案AShell是系统的用户界面,提供了用户与内核进行交互操作的一种接口选项A对选项B错参考答案AC标准库中和字符串操作有关的函数,像strcpystrcatsprintfgets等函数中数组和指针都有自动边界检查选项A对选项B错参考答案B在MSF终端中,你可以针对渗透测试中发现的安全漏洞来实施相应的渗透攻击选项A对选项B错参考答案AOllyDbg是一种具有可视化界面的32位汇编一分析调试器选项A对选项B错参考答案A软件安全测试不但可以进行对软件代码的安全测试,还可以对软件成品进行安全测试选项A对选项B错参考答案AVINE是BitBlaze的静态分析模块,它分为前端和后端两部分,前端用来在VINEIL上做静态分析,后端将二进制指令提升为VINE中间语言选项A对选项B错参考答案B在计算机术语中,会话是指一个终端用户与交互系统进行通讯的过程选项A对选项B错参考答案A根据缓冲区溢出位置的不同,溢出后覆盖数据的不同,缓冲区溢出的攻击利用方式也有所不同选项A对选项B错参考答案A堆是内存空间中用于存放动态数据的区域与栈不同的是,程序员自己完成堆中变量的分配与释放选项A对选项B错参考答案AWebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门选项A对选项B错参考答案AWeakness指的是系统难以克服的缺陷或不足,缺陷和错误可以更正、解决,但不足和弱点可能没有解决的办法选项A对选项B错参考答案A.是由于向程序的缓冲区中输入的数据超过其规定长度,造成缓冲区溢出,破坏程序正常的堆栈,使程序执行其他指令选项A设计错误漏洞选项B访问验证漏洞选项C配置错误漏洞选项D缓冲区溢出漏洞参考答案D.是指软件设计者或开发者犯下的错误,是导致不正确结果的行为,它可能是有意无意的误解、对问题考虑不全面所造成的过失等选项A Fault选项B Hole选项C Weakness选项D Error参考答案D.以下哪项不是情报搜集阶段要做的事情选项A社会工程学选项B被动监听选项C与客户交流选项D公开来源信息查询参考答案C.病毒、和木马是可导致计算机和计算机上的信息损坏的恶意程序选项A程序选项B蠕虫选项C代码选项D数据参考答案B.以下说法正确的是选项A Metasploit项目最初由HDMoore在2005年夏季创立选项B Metasploitv2版本为Metasploit从一个渗透攻击框架性软件华丽变身为支持渗透测试全过程的软件平台打下坚实的基础选项C除了渗透攻击之外,Metasploit在发展过程中逐渐增加对渗透测试全过程的支持,包括情报搜集、威胁建模、漏洞分析、后渗透攻击与报告生成选项D Metasploit版本都可以自动生成报告参考答案C.在阶段,渗透测试团队与客户组织进行交互讨论,最重要的是确定渗透测试的范围、目标、限制条件以及服务合同细节选项A前期交互选项B情报搜集选项C威胁建模选项D渗透攻击参考答案A.下面有关XSS描述错误的是选项A XSS根据其特征和利用手法的不同,主要分成两大类型一种是反射式跨站脚本;另一种是持久式跨站脚本选项B反射式跨站脚本也称作非持久型、参数型跨站脚本主要用于将恶意脚本附加到URL地址的参数中选项C反射式跨站脚本也称作非持久型、参数型跨站脚本主要用于将恶意脚本附加到URL地址的参数中选项D存储式XSS中的脚本来自于Web应用程序请求参考答案D.能发现软件设计或软件编码中存在的问题并进行修改,从而保证软件的质量选项A软件设计选项B程序编码选项C程序设计选项D软件测试参考答案D.想要查找URL中包含nankai的搜索指令的是选项A sitenankai选项B inurlnankai选项C intitlenankai选项D ipnankai参考答案B.Web浏览器向Web服务器这个中间层发送请求,中间层通过查询、更新数据库来响应该请求选项A表示层、存储层选项B会话层、应用层选项C网络层、传输层选项D会话层、存储层参考答案A.病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组选项A计算机指令选项B程序代码选项C文件选项D计算机指令或者程序代码参考答案C.以下说法错误的是0选项A HeapSpray也称为堆喷洒技术,是在shellcode的前面加上大量的滑板指令,组成一个非常长的注入代码段选项B滑板指令是由大量NOP空指令0x90填充组成的指令序列当遇到这些N0P指令时,CPU指令指针会一个指令接一个指令的执行下去中间不做任何具体操作选项C HeapSpray的内存占用非常小,计算机可以正常运转,因而不容易被察觉选项D支持硬件DEP的CPU会拒绝执行被标记为不可执行的NX内存页的代码参考答案C.以下有关SEH与SafeSEH说法错误的是选项A SEH是Windows异常处理机制所采用的重要数据结构链表选项B Vista中通过覆盖异常处理句柄的漏洞利用技术依然可以正常使用选项C SafeSEH就是一项保护SEH函数不被非法利用的技术选项D采用SafeSEH编译的程序将PE文件中所有合法的SEH异常处理函数的地址解析出来制成一张SEH函数表,放在PE文件的数据块中,用于异常处理时候进行匹配检查参考答案B.成立于1999年9月,是工业和信息化部领导下的国家级网络安全应急机构选项A BugTraq选项B CNCERT选项C CNNVD选项D EDB参考答案B.是针对二进制代码的测试选项A白盒测试选项B黑盒测试选项C灰盒测试选项D模糊测试参考答案C.IDAPRO简称IDA是一个交互式工具选项A调试选项B汇编选项C编译选项D反汇编参考答案D.下面哪个不是打包压缩的命令选项A gzip选项B bzip2选项C halt选项D tar参考答案C.以下描述正确的是选项A软件漏洞危害性不大选项B软件漏洞具有隐蔽性选项C软件漏洞不存在长久性选项D软件漏洞影响不广参考答案B.在软件产品完成开发并发布后,往往在功能、安全性、运行稳定性等方面不能满足用户要求或者暴露出问题,为此,需要对软件进行选项A管理选项B维护选项C测试选项D更新参考答案B.以下哪项不是文件包含涉及的函数选项A include选项B require选项C include_once选项D phpinfo参考答案D.以下哪个选项属于木马选项A震网病毒选项B WannaCry选项C灰鸽子选项D熊猫烧香参考答案C.全面防御原则是针对软件的不同使用用户、不同程序或函数,在不同的环境和时间给予不同的权限选项A对选项B错参考答案B.HTTP协议属于有状态的通信协议选项A对选项B错参考答案B.对于堆内存分配,操作系统有一个堆管理结构,用来管理空闲内存地址的链表选项A对选项B错参考答案A29使用ASLR技术的目的就是打乱系统中存在的固定地址,使攻击者很难从进程的内存空间中找到稳定的跳转地址选项A对选项B错参考答案A.SEHStructuredExceptionHandler是Linux异常处理机制所采用的重要数据结构链表选项A对选项B错参考答案B.安全威胁模型的建立,从通用的角度可以分为对机密性、可用性和完整性构成的威胁类别选项A对选项B错参考答案A.数据执行保护DEP技术可以限制内存堆栈区的代码为不可执行状态从而防范溢出后代码的执行选项A对选项B错参考答案A.Nessus工具不仅可以在电脑上使用,而且还可以在手机上使用选项A对选项B错参考答案A.从攻击过程来说,存储型XSS一般要求攻击者诱使用户点击一个包含XSS代码的URL链接选项A对选项B错参考答案B.PE文件格式把可执行文件分成若干个数据节,不同的资源被存放在不同的节中选项A对选项B错参考答案A.基于程序结构的安全检测技术需要根据二进制可执行文件的格式特征,从二进制文件的头部、符号表以及调试信息中提取安全敏感信息来分析文件中是否存在安全缺陷选项A对选项B错参考答案A.堆溢出是缓冲区溢出中最简单的一种选项A对选项B错参考答案B.cookie的作用就是为了解决HTTP协议无状态的缺陷所作的努力选项A对选项B错参考答案A.主动信息收集和被动信息收集相反,主动收集会与目标系统有直接的交互,从而得到目标系统相关的一些情报信息选项A对选项B错参考答案A。