南开大学22秋学期（高起本1709-1803、全层次1809-2103）《攻防技术基础》在线作业一

奥鹏南开在线作业满分答案参考

22秋学期（高起本1709-1803、全层次1809-2103）《攻防技术基础》在线作业-00001

1.轰动全球的震网病毒是()。
选项A：木马
选项B：蠕虫病毒
选项C：后门
选项D：寄生型病毒
满分答案问询微信：424329

2.在程序所生成的可执行文件中,代码是以()为单元进行存储的。
选项A：字节大小
选项B：函数
选项C：变量
选项D：常量
满分答案问询微信：424329

3.程序进行()转换的过程称为程序的再定位。奥鹏南开在线作业满分答案参考
选项A：虚地址到虚地址
选项B：实地址到虚地址
选项C：虚地址到实地址
选项D：实地址到实地址
满分答案问询微信：424329

4.IDA PRO简称IDA,是一个交互式()工具。
选项A：调试
选项B：汇编
选项C：编译
选项D：反汇编
满分答案问询微信：424329

5.木马与病毒的重大区别是()。
选项A：木马会自我复制
选项B：木马具有隐蔽性
选项C：木马不具感染性
选项D：木马通过网络传播
满分答案问询微信：424329

6.在()阶段,渗透测试团队与客户组织进行交互讨论,最重要的是确定渗透测试的范围、目标、限制条件以及服务合同细节。
选项A：前期交互
选项B：情报搜集
选项C：威胁建模
选项D：渗透攻击
满分答案问询微信：424329

7.()是指攻击者必须在本机拥有访问权限的前提下才能攻击并利用的软件漏洞。
选项A：本地利用漏洞
选项B：远程利用漏洞
选项C：缓存区溢出漏洞
选项D：设计错误漏洞
满分答案问询微信：424329

8.堆栈溢出一般是由什么原因导致的()
选项A：函数代码长度过长
选项B：循环的递归调用
选项C：大数据结构的局部变量
选项D：代码运行时错误
满分答案问询微信：424329

9.以下说法错误的是()
选项A：UAFChecker检测工具采用了基于程序语义的安全检测技术。
选项B：静态安全检测技术分析效率高效，但误报率较高。
选项C：可执行代码的静态安全检测技术可分为基于程序结构的安全检测技术和基于程序语义的安全检测技术。
选项D：基于程序结构的安全检测技术需要根据二进制可执行文件的格式特征，来分析文件中是否存在安全缺陷。
满分答案问询微信：424329

10.()是指软件设计者或开发者犯下的错误,是导致不正确结果的行为,它可能是有意无意的误解、对问题考虑不全面所造成的过失等。
选项A：Fault
选项B：Hole
选项C：Weakness
选项D：Error
满分答案问询微信：424329

11.Kali Linux是专门用于渗透测试的Linux操作系统,它由()发展而来。
选项A：Windows
选项B：MacOS
选项C：BackTrack
选项D：MSDOS
满分答案问询微信：424329

12.下面关于安全编程时需要考虑的原则错误的是()。
选项A：数据的机密性
选项B：数据的完整性
选项C：数据的可用性
选项D：数据的有效性
满分答案问询微信：424329

13.()适合检查因控制流信息非法操作而导致的安全问题,如内存访问越界、常数传播等。
选项A：词法分析
选项B：数据流分析
选项C：符号执行
选项D：模型检验
满分答案问询微信：424329

14.缓冲区溢出后执行的代码,会以()的身份权限运行。
选项A：系统
选项B：用户
选项C：原有程序
选项D：程序
满分答案问询微信：424329

15.漏洞利用的核心就是利用程序漏洞去执行shellcode以便劫持进程的()。
选项A：执行权
选项B：控制权
选项C：代码执行权
选项D：数据管理权
满分答案问询微信：424329

16.以下哪项不是符号执行进行源码检测的工具()
选项A：SMART
选项B：KLEE
选项C：SAGE
选项D：Pixy
满分答案问询微信：424329

17.栈是由()分配,堆由()分配。
选项A：系统自动、程序员自己申请
选项B：程序员自己申请、程序员自己申请
选项C：系统自动、系统自动
选项D：程序员自己申请、系统自动
满分答案问询微信：424329

18.下面哪个选项可能是文件包含漏洞的利用方式()。
选项A：’and 1 = 1
选项B：{{1*2}}=2
选项C：search=file:///etc/passwd
选项D：＜script＞alert(1)＜/script＞
满分答案问询微信：424329

19.漏洞也称为(),是计算机系统的硬件、软件、协议在系统设计、具体实现、系统配置或安全策略上存在的缺陷。
选项A：机密性
选项B：不完整性
选项C：可否认性
选项D：脆弱性
满分答案问询微信：424329

20.软件漏洞与软件缺陷的区别是()。
选项A：会造成软件奔溃
选项B：会使电脑无法运行
选项C：会盗取用户的秘密信息
选项D：隐藏很深
满分答案问询微信：424329

21.以下哪项不是Javascript在网页中的用途()。
选项A：嵌入动态文本于HTML页面
选项B：对浏览器事件做出响应
选项C：表示HTML文件开头
选项D：控制cookies创建和修改
满分答案问询微信：424329

22.()是针对二进制代码的测试。
选项A：白盒测试
选项B：黑盒测试
选项C：灰盒测试
选项D：模糊测试
满分答案问询微信：424329

23.以下有关智能模糊测试说法错误的是()
选项A：智能模糊测试的前提，是对可执行代码进行输入数据、控制流、执行路径之间相关关系的分析。
选项B：采用智能技术分析输入数据和执行路径的关系是智能模糊测试的关键。
选项C：智能模糊测试技术包含了对漏洞成因的分析，极大减少了分析人员的工作量。
选项D：智能模糊测试的优点就是不需要衡量在工作量和安全检测效率之间的关系。
满分答案问询微信：424329

24.以下哪项不属于WEB动态编程语言()。
选项A：ASP
选项B：PHP
选项C：JAVA
选项D：HTML
满分答案问询微信：424329

25.Pin是由()公司开发和维护,具有跨平台特性的一个强大的动态二进制指令分析框架。
选项A：IBM
选项B：Google
选项C：Intel
选项D：Apple
满分答案问询微信：424329

26.URL重写就是把session id直接附加在URL路径的后面。
选项A：对
选项B：错
满分答案问询微信：424329

27.基于程序结构的安全检测技术需要根据二进制可执行文件的格式特征,从二进制文件的头部、符号表以及调试信息中提取安全敏感信息,来分析文件中是否存在安全缺陷。
选项A：对
选项B：错
满分答案问询微信：424329

28.最小权限原则是为软件授予其所需要的最少权限。
选项A：对
选项B：错
满分答案问询微信：424329

29.Vulnerability和Hole都是一个总的全局性概念,包括威胁、损坏计算机系统安全性的所有要素。
选项A：对
选项B：错
满分答案问询微信：424329

30.使用ASLR技术的目的就是打乱系统中存在的固定地址,使攻击者很难从进程的内存空间中找到稳定的跳转地址。
选项A：对
选项B：错
满分答案问询微信：424329

31.SQL是二十世纪七十年代由IBM创建的,于1994年作为国际标准纳入ANSI。
选项A：对
选项B：错
满分答案问询微信：424329

32.静态安全分析技术检测源代码安全缺陷和漏洞的主要优势是不需要构建代码运行环境,分析效率高,资源消耗低。
选项A：对
选项B：错
满分答案问询微信：424329

33.为了提高瀑布模型的开发效率,在系统的架构设计完成后,可将系统分为多个可并行开发的模块。
选项A：对
选项B：错
满分答案问询微信：424329

34.Metasploit框架中的exploits可以分为两类:主动型与被动型。被动型exploits能够直接连接并攻击特定主机。而主动型exploits则等待主机连接之后对其进行渗透攻击。
选项A：对
选项B：错
满分答案问询微信：424329

35.文件上传漏洞是指网络攻击者上传了一个文件到服务器并执行。
选项A：对
选项B：错
满分答案问询微信：424329

36.情报搜集是否充分在很大程度上决定了渗透测试的成败。
选项A：对
选项B：错
满分答案问询微信：424329

37.Rudder模块层次在TEMU和VINE模块之上,是一个混合进行符号执行和实际执行的一个模块。
选项A：对
选项B：错
满分答案问询微信：424329

38.缓冲区溢出一般是通过覆盖堆栈中的返回地址,使程序跳转到shellcode或指定程序处执行。
选项A：对
选项B：错
满分答案问询微信：424329

39.文件包含一般分为本地文件包含和远程文件包含两类。
选项A：对
选项B：错
满分答案问询微信：424329

40.安全测试与功能性测试差不多,主要目的是发现和消除在软件设计和编写中产生的安全隐患。
选项A：对
选项B：错
满分答案问询微信：424329

41.缓冲区是一块不连续的内存区域,用于存放程序运行时加载到内存的运行代码和数据。
选项A：对
选项B：错
满分答案问询微信：424329

42.白箱测试又被称为所谓的“Zero-Knowledge Testing”,渗透者完全处于对系统一无所知的状态。
选项A：对
选项B：错
满分答案问询微信：424329

43.蠕虫是利用文件寄生来通过网络传播的恶性病毒。
选项A：对
选项B：错
满分答案问询微信：424329

44.主动信息收集也就是说不会与目标服务器做直接的交互、在不被目标系统察觉的情况下,通过搜索引擎、社交媒体等方式对目标外围的信息进行收集。
选项A：对
选项B：错
满分答案问询微信：424329

45.C 标准库中和字符串操作有关的函数,像strcpy,strcat,sprintf,gets等函数中,数组和指针都有自动边界检查。
选项A：对
选项B：错
满分答案问询微信：424329

46.数据执行保护DEP技术可以限制内存堆栈区的代码为不可执行状态,从而防范溢出后代码的执行。
选项A：对
选项B：错
满分答案问询微信：424329

47.从攻击过程来说,存储型XSS一般要求攻击者诱使用户点击一个包含XSS代码的URL链接。
选项A：对
选项B：错
满分答案问询微信：424329

48.HTTP是长连接,下一次连接与上一次有关。
选项A：对
选项B：错
满分答案问询微信：424329

49.在MSF终端中,你可以针对渗透测试中发现的安全漏洞来实施相应的渗透攻击。
选项A：对
选项B：错
满分答案问询微信：424329

50.Metasploit模块中的所有参数只有set一个状态。
选项A：对
选项B：错
满分答案问询微信：424329