《谷安第三届网络安全知识技能大赛》部分题目分析

1. 关于SQL注入描述正确的是？

   A:jsp语言较为安全无此漏洞

   B:使用js过滤效果强于后台php过滤

   C:防火墙对此类威胁无防范能力

   D:做好用户输入过滤可有效防范

   拉动查看答案：
   考察《SQL注入》 B:这种数字型注入最多出现在ASP、PHP等弱类型语言中，弱类型语言会自动推导变量类型，例如，参数id=8，PHP会自动推导变量id的数据类型为int类型，那么id=8 and 1=1，则会推导为string类型，这是弱类型语言的特性。而对于Java、C#这类强类型语言，如果试图把一个字符串转换为int类型，则会抛出异常，无法继续执行。所以，强类型的语言很少存在数字型注入漏洞。 C:SQL注入攻击是目前web应用网络攻击中最常见的手段之一，安全风险较高，在一定程度上超过缓冲区溢出漏洞，而市场上的防火墙又不能对SQL注入漏洞进行有效的检测和防范。 D:程序员在书写SQL语言时，禁止将变量直接写入到SQL语句，必须通过设置相应的参数来传递相关的变量。从而抑制SQL注入。数据输入不能直接嵌入到查询语句中。同时要过滤输入的内容，过滤掉不安全的输入数据。或者采用参数传值的方式传递输入变量。这样可以最大程度防范SQL注入攻击。 参考答案：D
2. 路由器收到IP报文的ttl值为1时，如果处理

   A:丢弃数据包

   B:转发数据包

   C:数据包分配处理

   D:数据包重新封装处理

   拉动查看答案：
   考察《ICMP协议》 虽然TTL从字面上翻译，是可以存活的时间，但实际上TTL是IP数据包在计算机网络中可以转发的最大跳数。TTL字段由IP数据包的发送者设置，在IP数据包从源到目的的整个转发路径上，每经过一个路由器，路由器都会修改这个TTL字段值，具体的做法是把该TTL的值减1，然后再将IP包转发出去。如果在IP包到达目的IP之前，TTL减少为0，路由器将会丢弃收到的TTL=0的IP包并向IP包的发送者发送 ICMP time exceeded消息。 参考答案：B
3. 进行渗透测试的第一步？

   A:进行风险评估

   B:进行业务影响分析

   C:了解被测试的网络拓扑

   D:获得管理层的批准

   拉动查看答案：
   考察《渗透测试》 https://blog.csdn.net/qq_38684504/article/details/89702858 参考答案：C
4. 【AF】在服务器安全检测和防御技术中，下列无法解决服务器安全风险的功能是？

   A:漏洞攻击防护

   B:网站篡改

   C:web扫描

   D:风险分析

   拉动查看答案：
   参考《服务器安全》 https://blog.csdn.net/csdn10086110/article/details/90609550 参考答案：C
5. 关于TTL描述错误的是

   A:ttl超时可能网络环路

   B:ttl值可以更改

   C:nat设备会修改ttl值

   D:ttl不可用来判断中间人

   拉动查看答案：
   B:在TCP/IP网络中，网络层并不对数据包进行可靠性传输保证，只通过ICMP报文提供反馈机制(例如：差错控制)。PING命令就是ICMP的请求/响应报文，也是网络最常用的测试手段。通常使用PING命令测试互通性时有以下几种消息反馈： 1、Request Time Out 2、Destination Unreachable 3、TTL Expired in transit 情况1：当信源机PING某信宿机时，信源机在一段时间内（信源机发送ICMP请求报文后，会启动定时器0）无法收到ICMP响应报文，就会产生该种情况。出现上述问题的原因在于，信源到信宿的路由正常，而信宿到信源无可用通路。 情况2：当信源机到信宿机无可用通路时，就会产生该种原因。 情况3：当信源机发送IP数据包时（ICMP是被直接封装在IP包中），会加上包的TTL（Time to Live）时间，数据包在每经过一个路由器时，路由器会将包的TTL时间减1，如果在ICMP请求报文未到信宿机之前，该数据包的TTL为0，则相应的网关丢弃该报文，同时向信源机发送ICMP的超时报文，在信源机上应将显示TTL Expired in transit消息。该问题主要是在网络内部出现了路由循环造成数据包无法到达信宿机，可使用Tracert跟踪，判断故障出处（使用该命令时最好在主机上完成）。 注：某些路由器对包的TTL时间并不是减1，但一般情况是这样。 方法：如果正常PING通某主机的情况下，可简单从回应信息中分析数据包所经过的路由跳数 i.e. replay xxx.xxx.xxx.xxx: byte=xxx time=xxxms ttl=xxx 用256减去该条信息中TTL的值，即可得所经的路由跳数，如TTL时间过小，则可能网络中出现短暂的路由环路。 在配置静态路由时易出现该种情况，动态路由协议中RIPV1易出现，而RIPV2和OSPF不易出现。 C:在不同的局域网中，私有IP地址是会重复的，而我们要访问公网的时候，一定要分配一个共有IP地址，所以，我们在访问公网的时候，需要路由器帮忙把私有IP变为共有IP，这种叫做NAT网关 D:通过 TTL 字段发现局域网内中间人攻击 局域网内的中间人攻击一般首先采用 ARP 欺骗的手段，让 局域网内被攻击主机的流量全部经过实施攻击的主机， 再由实 施攻击的主机将相关数据包转发到网关设备上 （实施攻击的主 机开启路由转发策略），从而使被攻击主机的数据流都经过实施 攻击的主机。 这样，实施攻击的主机就可以抓取相应的数据包， 收集相应的敏感信息了（用户名和密码）。 一般的中间人攻击（特 别是有意的攻击）其在流量不大的情况下很难被用户发现。 因为 对用户的网络访问影响很小，用户基本上感觉不到“中 间 人”的 存在。 实施这种攻击的工具比较多（如 Windows 系统下最著名攻 击软件 Cain）。 有时候在不具备抓包环境的交换网络中，网络管 理人员可以通过中间人攻击的方式抓取全网的数据包。 局域网 中间人攻击示意图如图 3 所示。 局域网中间人攻击的行为特征：首先需要进行 ARP 欺骗（具 有 ARP 欺骗的一切特征）； 其次需要经过攻击主机转发数据包； 攻击主机在转发数据包后需要发送 ICMP 重定向数据包给被攻 击主机。 通过上面 3 个网络行为特征， 可以很容易地定位一个局域 网中间人攻击行为。 但是，如果只看 ARP 欺骗行为的话，并没有 办法定位到底是不是一个局域网中间人攻击行为，而 ICMP 重定 向包在实施有意的中间人攻击时，“中间人” 一般会使用本机防 火墙过滤 ICMP 重定向包，在网络中就不会看到 ICMP 重定向数 据包了。 在这种情况下，网络管理人员可以通过数据包的 TTL 字 段的值来判断是否发生中间人攻击。 最简单的方法就是 PING 网 关地址，根据 PING 命令返回的 TTL 值来判断是否是当前的正确 的网关。 参考答案：D
6. 文件传输协议FTP的安全漏洞是？

   A:允许匿名登录

   B:传输命令允许使用通配符

   C:验证过程没有加密

   D:使用了UDP传输端口

   拉动查看答案：
   A:默认状态下，FTP 站点允许匿名访问，FTP 服务器接受对该资源的所有请求，并且不提示用户输入用户名或密码。如果站点中存储有重要的或敏感的信息，只允许授权用户访问，应禁止匿名访问。 B:正确 C:FTP协议中用于用户认证的过程中，客户端与服务器端是通过明文进行交互信息。验证FTP登录过程中明文传输用户名和密码。 D:文件传输协议（File Transfer Protocol，FTP）是用于在网络上进行文件传输的一套标准协议，它工作在 OSI 模型的第七层， TCP 模型的第四层， 即应用层， 使用 TCP 传输而不是 UDP， 客户在和服务器建立连接前要经过一个“三次握手”的过程， 保证客户与服务器之间的连接是可靠的， 而且是面向连接， 为数据传输提供可靠保证。 参考答案：A
7. 关于D盾对于webshell查杀

   A:D盾可以隔离可疑文件

   B:可以端口进程查看

   C:可以文件监控

   D:可以跨平台查杀

   『D盾_防火墙』专为IIS设计的一个主动防御的保护软件,以内外保护的方式 防止网站和服务器给入侵,在正常运行各类网站的情 况下，越少的功能，服务器越安全的理念而设计！ 限制了常见的入侵方法，让服务器更安全! A:软件加入隔离功能，并且可以还原！ C:加强识别能力,并加入了文件生成监控功能! 参考答案：C
8. 生成quota配置文件，以下命令正确的是（）

   A:quotaceck -acug

   B:quotcheck -acug

   C:quotacheck -acug

   D:Quotacheck

   拉动查看答案：
   参考《linux初级》 1.什么是quota 　　简单的说就是限制用户对磁盘空间的使用量。 　　因为Linux是多用户多任务的操作系统，许多人共用磁盘空间，为了合理的分配磁盘空间，于是就有了quota的出现。 2.quota的用途 显示磁盘使用情况和配额 3.quota的限制 （1）仅能针对整个文件系统 （2）需要kernel的支持 （3）只对一般用户有效 4.quota的使用 　　测试环境 　　　　RHEL6.6（默认kernel已经支持quota功能） 　　　　/dev/sdb1　　供测试的文件系统 　　　　用户组 　　myquota 　　　　用户　　　quota1,quota2 参考答案：C
9. 以下哪项对于邮件操作是正确的？
   

   A:随意打开附件

   B:不进行来源确认直接对邮件进行回复

   C:对于附件需要先进行病毒扫描后再打开

   D:以代码的方式查看邮件

   拉动查看答案：
   C：有些新病毒不一定能被扫描出来 参考答案：D
10. 攻击者最有可能通过以下哪一项获得对系统的特权访问？

    A:包含敏感信息的日志

    B:包含系统调用的日志

    C:写系统资源的程序

    D:写用户目录的程序

    拉动查看答案：
    这题我也不是很肯定，大佬可以在评论区留言。
11. ICMP中用于路径控制的报文是？

    A:差错报文

    B:超时报文

    C:请求报文

    D:重定向报文

    拉动查看答案：
    https://wenku.baidu.com/view/5e741b5d561252d380eb6ed0.html 参考答案：D
12. 网络病毒是由因特网衍生的新一代病毒，即java及ActiveX病毒。由于（），因此不被人们察觉

    A:它不需要停留在硬盘中可以与传统病毒混杂在一起

    B:它停留在硬盘中且可以与传统病毒混杂在一起

    C:它不需要停留在硬盘中且不与传统病毒混杂在一起

    D:它停留在硬盘中且不与传统病毒混杂在一起

    拉动查看答案：
    参考答案：A
13. 在Linux系统中，显示内核模块的命令是
    

    A:LSMOD

    B:LKM

    C:LS

    D:MOD

    拉动查看答案：
    https://www.cnblogs.com/Cqlismy/p/11363043.html 在Linux系统下，lsmod命令用于显示已经加载到内核中的模块的状态信息，运行lsmod命令后会列出所有已经载入系统的模块。 参考答案：A
14. 在SYN洪泛攻击中，攻击者的目的是？
    

    A:对消息进行篡改

    B:进行会话劫持

    C:使连接队列超过上限

    D:导致缓冲区溢出，获取root权限

    拉动查看答案：
    SYN攻击利用的是TCP的三次握手机制，攻击端利用伪造的IP地址向被攻击端发出请求，而被攻击端发出的响应 报文将永远发送不到目的地，那么被攻击端在等待关闭这个连接的过程中消耗了资源，如果有成千上万的这种连接，主机资源将被耗尽，从而达到攻击的目的。 参考答案：C
15. 基于角色的访问控制（RBAC）的重要特征是：

    A:依赖于岗位轮换

    B:简化了访问权限管理

    C:需要双因素验证

    D:支持强制访问控制（MAC）

    拉动查看答案：
    RBAC是一种可扩展的访问控制模型,通过引入角色来对用户和权限进行解耦,简化了授权操作和安全管理, 它是目前公认的解决大型企业的统一资源访问控制的有效访问方法, 其2个特征是 由于角色/权限之间的变化比角色/用户关系 之间的变化相对要慢得多,从而减小授权管理的复杂性,降低管理开销;(2)灵活地支持企业的安全策略,并对企业变化有很大的伸缩性 参考答案：B
16. 域名注册信息可在哪里找到？
    

    A:路由器

    B:DNS记录

    C:Whois数据库

    D:MIBs库

    拉动查看答案：
    Whois 简单来说，就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商、域名注册日期和过期日期等）。 参考答案：C
17. 黑客利用IP地址进行攻击的方法有：
    

    A:IP欺骗

    B:解密

    C:窃取口令

    D:发送病毒

    拉动查看答案：
    A:IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址，以便冒充其他系统或发件人的身份。这是一种黑客的攻击形式，黑客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。 参考答案：A
18. 通过信息系统自动记录下网络中机器的使用时间、敏感操作和违纪操作等，对计算机网络系统加以保护的技术被称为____。
    

    A:入侵检测技术（IdS）

    B:防火墙技术

    C:审计技术

    D:反计算机病毒技术

    拉动查看答案：
    A:入侵检测系统是监视和分析网络通信的系统,通过主动响应来识别异常行为。按照不同的划分标 准, 可以将入侵检测系统分为不同的类别。本文借鉴通用入侵检测系统的划分框架, 对入侵检测系统按 照数据来源和检测技术进行划分。 B:防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。它是一个系统，位于被保护网络和其它网络之间，进行访问控制，阻止非法的信息访问和传递。防火墙并非单纯的软件或硬件，它实质是软件和硬件加上一组安全策略的集合 C:信息安全审计主要是指对系统中与安全有关的活动的相关信息进行识别、记录、存储和分析。信息安全审计的记录用于检查网络上发生了哪些与安全有关的活动，谁（哪个用户）对这个活动负责。 D:(1)特征码扫描法 特征码扫描法是分析岀病毒的特征病毒码并集中存放于病毒代码库文件中在扫描时将扫描对象与特征代码库比较,如有吻合则判断为染上病毒。该技术实现简单有效,安全彻底;但査杀病毒滞后,并且庞大的特征码库会造成查毒速度下降 (2)虚拟执行技术 该技术通过虚拟执行方法査杀病毒,可以对付加密、变形、异型及病毒生产机生产的病毒,具有如下特点 在査杀病毒时在机器虚拟内存中模拟岀一个“指令执行虚拟机器在虚拟杋环境中虚拟执行(不会被实际执行)可疑带毒文件 在执行过程中,从虚拟杋环境内截获文件薮据,如果含有可疑病毒代码则杀毒后将其还原到原文件中,从而实现对各类可执行文件内病毒的查杀 (3)文件实时监控技术 通过利用操作系统底层接口技术,对系统中的所有类型文件或指定类型的文件进行实时的行为监控, 有病毒传染或发作时就及时报警。从而实现了对病毒的实时 永久、自动监控。这种技术能够有效控制病毒的传播途径,但是这种技术的实现难度较大,系统资源的占用率也会有所降低 参考答案：C
19. 新雇佣的员工在登陆应用程序系统时使用了共享账号，这违反了公司政策。以下哪种方法能够最有效地控制此问题？

    A:检测访问控制

    B:对用户进行安全意识培训

    C:将责任分配到部门主管

    D:对IT人员进行培训

    拉动查看答案：
    参考答案：D
20. 防止垃圾搜寻攻击的最有效措施是？

    A:购买碎纸机器

    B:垃圾箱加锁

    C:安全意识培训

    D:安装闭路电视监控系统CCTV

    拉动查看答案：
    18种常见网络入侵方法 1.拒绝访问 这已经成为一个很常见的网络恶作剧。进攻者用大量的请求信息冲击网站，从而有效地阻塞系统，使运行速度变慢，甚至网站崩溃。 这种使计算机过载的方法常常被用来掩盖对网站的入侵。 2.扫描器 通过广泛地扫描因特网来确定计算机、服务器和连接的类型。恶意的人常常利用这种方法来找到计算机和软件的薄弱环节并加以利用。 3.嗅觉器 这种软件暗中搜寻正在网上传输的个人网络信息包，可以用来获取密码甚至整个信息包的内容。 4.网上欺骗 伪造电子邮件，用它们哄骗用户输入关键信息，如邮箱账号、个人密码或信用卡等。 5.特洛伊木马 这种程序包含有探测一些软件弱点所在的指令，安装在计算机上，用户一般很难察觉。 6.后门 黑客为了防止原来进入的通道被察觉，开发一些隐蔽的进入通道(我们俗称的后门)，使重新进入变得容易，这些通道是难以被发现的。 7.恶意小程序 这是一种微型程序，有时用Java语言写成，它能够滥用计算机资源，修改硬盘上的文件，发出伪造的电子邮件以及偷窃密码。 8.进攻拨号程序 这种程序能够自动的拨出成千上万个电话号码，用来搜寻一个通过调制解调器连接的进入通道。 9.逻辑炸弹 是嵌入计算机软件中的一种指令，它能够触发对计算机的恶意操作。 10.密码破解 入侵者破解系统的登录或管理密码及其他一些关键口令。 11.社交工程 这种策略是通过与没有戒心的公司雇员交谈，从中得到有价值的信息，从而获得或猜出对方网络的漏洞（如猜出密码），进而控制公司计算机系统。 12.垃圾搜寻 通过对一家公司垃圾的搜寻和分析，获得有助于闯入这家公司计算机系统的有用信息。这些信息常常被用来证实在“社交工程”中刺探到的信息。 13.系统漏洞 这是很实用的攻击方式。入侵者利用操作系统漏洞，可以很轻易地进入系统主机并获取整个系统的控制权。 14.应用程序漏洞 与上述系统漏洞的方式相似，也可能获取整个系统的控制权。 15.配置漏洞 通常指系统管理员本身的错误。 16.协议/设计漏洞 指通信协议或网络设计本身存在的漏洞，如Internet上广泛使用的基本通信协议——TCP/IP，本身设计时就存在一些缺陷。 17.身份欺骗 包括用户身份欺骗和IP地址欺骗，以及硬件地址欺骗和软件地址欺骗。通过适当的安全策略和配置可以防止这种攻击。 18.炸弹 这是利用系统或程序的小毛病，对目标发送大量洪水般的报文，或者非法的会引起系统出错的数据包等，导致系统或服务停止响应、死机甚至重启系统的攻击。这种方式是最简单，但是却是最有效的一种攻击方式。 参考答案：C
21. 默认情况下redhat linux6.4开启了防火墙功能，阻止了进入本机的数据包，现在我们要关闭防火墙应使用什么命令？（）

    A:ifdowd

    B:stop

    C:iptables-F

    D:service network stop

    拉动查看答案：
    临时关闭、启动： service iptables stop /start service ip6tables stop /start 永久关闭、启动： chkconfig --level 2345 iptables off /on chkconfig --level 2345 ip6tables off/on
22. 以下哪一项是目录服务在TCP/IP上的实现？
    

    A:X.500

    B:X.509

    C:目录访问协议 DAP

    D:轻量目录访问协议 LDAP

    拉动查看答案：
    LDAP是基于X.500标准而发展起来的，但是它更加简单，并且可以根据需要定制。与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。 参考答案：D
23. 哪些不属于HTTP的方法

    A:get

    B:post

    C:move

    D:set

    拉动查看答案：
    A: GET 请求指定的页面信息，并返回实体主体。 B: POST 向指定资源提交数据进行处理请求（例如提交表单或者上传文件）。数据被包含在请求体中。POST 请求可能会导致新的资源的建立和/或已有资源的修改。 C: MOVE 请求服务器将指定的页面移至另一个网络地址。 参考答案：D
24. 对于ICMP协议描述正确的是
    

    A:二层连通性检查协议

    B:网络层协议

    C:传输层协议

    D:传输层与网络层之间的协议

    拉动查看答案：
    ICMP协议是一个网络层协议。 一个新搭建好的网络，往往需要先进行一个简单的测试，来验证网络是否畅通；但是IP协议并不提供可靠传输。如果丢包了，IP协议并不能通知传输层是否丢包以及丢包的原因。 所以我们就需要一种协议来完成这样的功能–ICMP协议。 参考答案：B
25. 在以下人为的恶意攻击行为中，属于主动攻击的是
    

    A:身份

    B:数据窃听

    C:数据流分析

    D:非法访问

    拉动查看答案：
    https://www.cnblogs.com/zhushen/diary/2020/12/01/14069022.html 参考答案：D
26. 在进行系统漏洞扫描时发现，有些通信端口在未授权的情况下被打开了。系统很可能是遭到了哪种攻击？

    A:AYN洪泛攻击

    B:暴力破解

    C:端口扫描

    D:木马

    拉动查看答案：
    C:端口扫描：攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上，端口扫描包括向每个端口发送消息，一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。 D:木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。木马病毒其实是计算机黑客用于远程控制计算机的程序，将控制程序寄生于被控制的计算机系统中，里应外合，对被感染木马病毒的计算机实施操作。 参考答案：D