南开23春学期（高起专1903、专升本1903）《攻防技术基础》在线作业二

奥鹏南开大学新学期作业参考

南开大学23春学期（高起专1903、专升本1903）《攻防技术基础》在线作业

1.如果想要列出数据库用户,sqlmap下应该使用()参数。
选项A：dbs
选项B：users
选项C：current-user
选项D：dump
正确答案问询微信：424329

2.网页与HTML对应的关系是()。
选项A：一对一
选项B：多对一
选项C：一对多
选项D：多对多
正确答案问询微信：424329

3.渗透测试是通过(),来评估计算机网络系统安全的一种评估方法。
选项A：模拟恶意黑客的攻击方法
选项B：恶意黑客的攻击方法
选项C：安全测试的攻击方法
选项D：影响业务系统正常运行的攻击方法
正确答案问询微信：424329

4.当传输层没有进行安全保护时,会遇到()安全威胁。
选项A：MITM
选项B：XSS
选项C：SQL
选项D：SSRF
正确答案问询微信：424329

5.()是由于向程序的缓冲区中输入的数据超过其规定长度,造成缓冲区溢出,破坏程序正常的堆栈,使程序执行其他指令。
选项A：设计错误漏洞
选项B：访问验证漏洞
选项C：配置错误漏洞
选项D：缓冲区溢出漏洞
正确答案问询微信：424329

6.()是指软件设计者或开发者犯下的错误,是导致不正确结果的行为,它可能是有意无意的误解、对问题考虑不全面所造成的过失等。
选项A：Fault
选项B：Hole
选项C：Weakness
选项D：Error
正确答案问询微信：424329

7.以下哪项不是情报搜集阶段要做的事情()。
选项A：社会工程学
选项B：被动监听
选项C：与客户交流
选项D：公开来源信息查询
正确答案问询微信：424329

8.病毒、()和木马是可导致计算机和计算机上的信息损坏的恶意程序。
选项A：程序
选项B：蠕虫
选项C：代码
选项D：数据
正确答案问询微信：424329

9.以下说法正确的是()。
选项A：Metasploit项目最初由HD Moore在2005年夏季创立。
选项B：Metasploit v2版本为Metasploit从一个渗透攻击框架性软件华丽变身为支持渗透测试全过程的软件平台打下坚实的基础。
选项C：除了渗透攻击之外，Metasploit在发展过程中逐渐增加对渗透测试全过程的支持，包括情报搜集、威胁建模、漏洞分析、后渗透攻击与报告生成。
选项D：Metasploit版本都可以自动生成报告。
正确答案问询微信：424329

10.在()阶段,渗透测试团队与客户组织进行交互讨论,最重要的是确定渗透测试的范围、目标、限制条件以及服务合同细节。
选项A：前期交互
选项B：情报搜集
选项C：威胁建模
选项D：渗透攻击
正确答案问询微信：424329

11.下面有关XSS描述错误的是()。
选项A：XSS根据其特征和利用手法的不同，主要分成两大类型：一种是反射式跨站脚本；另一种是持久式跨站脚本。
选项B：反射式跨站脚本也称作非持久型、参数型跨站脚本。主要用于将恶意脚本附加到URL地址的参数中。
选项C：反射式跨站脚本也称作非持久型、参数型跨站脚本。主要用于将恶意脚本附加到URL地址的参数中。
选项D：存储式XSS中的脚本来自于Web应用程序请求。
正确答案问询微信：424329

12.()能发现软件设计或软件编码中存在的问题并进行修改,从而保证软件的质量。
选项A：软件设计
选项B：程序编码
选项C：程序设计
选项D：软件测试
正确答案问询微信：424329

13.想要查找URL中包含nankai的搜索指令的是()。
选项A：site：nankai
选项B：inurl：nankai
选项C：intitle：nankai
选项D：ip：nankai
正确答案问询微信：424329

14.Web浏览器()向Web服务器这个中间层发送请求,中间层通过查询、更新数据库()来响应该请求。
选项A：表示层、存储层
选项B：会话层、应用层
选项C：网络层、传输层
选项D：会话层、存储层
正确答案问询微信：424329

15.病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组()。
选项A：计算机指令
选项B：程序代码
选项C：文件
选项D：计算机指令或者程序代码
正确答案问询微信：424329

16.以下说法错误的是()
选项A：Heap Spray也称为堆喷洒技术，是在shellcode的前面加上大量的滑板指令，组成一个非常长的注入代码段。
选项B：滑板指令是由大量NOP空指令0x90填充组成的指令序列，当遇到这些NOP指令时，CPU指令指针会一个指令接一个指令的执行下去，中间不做任何具体操作。
选项C：Heap Spray的内存占用非常小，计算机可以正常运转，因而不容易被察觉。
选项D：支持硬件DEP的CPU会拒绝执行被标记为不可执行的(NX)内存页的代码。
正确答案问询微信：424329

17.以下有关SEH与SafeSEH说法错误的是()
选项A：SEH是Windows异常处理机制所采用的重要数据结构链表。
选项B：Vista中通过覆盖异常处理句柄的漏洞利用技术依然可以正常使用。
选项C：SafeSEH就是一项保护SEH函数不被非法利用的技术。
选项D：采用SafeSEH编译的程序将PE文件中所有合法的SEH异常处理函数的地址解析出来制成一张SEH函数表，放在PE文件的数据块中，用于异常处理时候进行匹配检查。
正确答案问询微信：424329

18.()成立于1999年9月,是工业和信息化部领导下的国家级网络安全应急机构。
选项A：BugTraq
选项B：CNCERT
选项C：CNNVD
选项D：EDB
正确答案问询微信：424329

19.()是针对二进制代码的测试。
选项A：白盒测试
选项B：黑盒测试
选项C：灰盒测试
选项D：模糊测试
正确答案问询微信：424329

20.IDA PRO简称IDA,是一个交互式()工具。
选项A：调试
选项B：汇编
选项C：编译
选项D：反汇编
正确答案问询微信：424329

21.下面哪个不是打包压缩的命令()。
选项A：gzip
选项B：bzip2
选项C：halt
选项D：tar
正确答案问询微信：424329

22.以下描述正确的是()。
选项A：软件漏洞危害性不大
选项B：软件漏洞具有隐蔽性
选项C：软件漏洞不存在长久性
选项D：软件漏洞影响不广
正确答案问询微信：424329

23.在软件产品完成开发并发布后,往往在功能、安全性、运行稳定性等方面不能满足用户要求或者暴露出问题,为此,需要对软件进行()。
选项A：管理
选项B：维护
选项C：测试
选项D：更新
正确答案问询微信：424329

24.以下哪项不是文件包含涉及的函数()。
选项A：include（）
选项B：require（）
选项C：include_once（）
选项D：phpinfo（）
正确答案问询微信：424329

25.以下哪个选项属于木马()。
选项A：震网病毒
选项B：WannaCry
选项C：灰鸽子
选项D：熊猫烧香
正确答案问询微信：424329

26.全面防御原则是针对软件的不同使用用户、不同程序或函数,在不同的环境和时间给予不同的权限。
选项A：对
选项B：错
正确答案问询微信：424329

27.HTTP协议属于有状态的通信协议。
选项A：对
选项B：错
正确答案问询微信：424329

28.对于堆内存分配,操作系统有一个堆管理结构,用来管理空闲内存地址的链表。
选项A：对
选项B：错
正确答案问询微信：424329

29.使用ASLR技术的目的就是打乱系统中存在的固定地址,使攻击者很难从进程的内存空间中找到稳定的跳转地址。
选项A：对
选项B：错
正确答奥鹏南开大学新学期作业参考案问询微信：424329

30.SEH(Structured Exception Handler)是Linux异常处理机制所采用的重要数据结构链表。
选项A：对
选项B：错
正确答案问询微信：424329

31.安全威胁模型的建立,从通用的角度可以分为对机密性、可用性和完整性构成的威胁类别。
选项A：对
选项B：错
正确答案问询微信：424329

32.数据执行保护DEP技术可以限制内存堆栈区的代码为不可执行状态,从而防范溢出后代码的执行。
选项A：对
选项B：错
正确答案问询微信：424329

33.Nessus工具不仅可以在电脑上使用,而且还可以在手机上使用。
选项A：对
选项B：错
正确答案问询微信：424329

34.从攻击过程来说,存储型XSS一般要求攻击者诱使用户点击一个包含XSS代码的URL链接。
选项A：对
选项B：错
正确答案问询微信：424329

35.PE文件格式把可执行文件分成若干个数据节,不同的资源被存放在不同的节中。
选项A：对
选项B：错
正确答案问询微信：424329

36.基于程序结构的安全检测技术需要根据二进制可执行文件的格式特征,从二进制文件的头部、符号表以及调试信息中提取安全敏感信息,来分析文件中是否存在安全缺陷。
选项A：对
选项B：错
正确答案问询微信：424329

37.堆溢出是缓冲区溢出中最简单的一种。
选项A：对
选项B：错
正确答案问询微信：424329

38.cookie的作用就是为了解决HTTP协议无状态的缺陷所作的努力。
选项A：对
选项B：错
正确答案问询微信：424329

39.主动信息收集和被动信息收集相反,主动收集会与目标系统有直接的交互,从而得到目标系统相关的一些情报信息。
选项A：对
选项B：错
正确答案问询微信：424329

40.Shell是系统的用户界面,提供了用户与内核进行交互操作的一种接口。
选项A：对
选项B：错
正确答案问询微信：424329

41.C 标准库中和字符串操作有关的函数,像strcpy,strcat,sprintf,gets等函数中,数组和指针都有自动边界检查。
选项A：对
选项B：错
正确答案问询微信：424329

42.在MSF终端中,你可以针对渗透测试中发现的安全漏洞来实施相应的渗透攻击。
选项A：对
选项B：错
正确答案问询微信：424329

43.OllyDbg 是一种具有可视化界面的 32 位汇编—分析调试器。
选项A：对
选项B：错
正确答案问询微信：424329

44.软件安全测试不但可以进行对软件代码的安全测试,还可以对软件成品进行安全测试。
选项A：对
选项B：错
正确答案问询微信：424329

45.VINE是BitBlaze的静态分析模块,它分为前端和后端两部分,前端用来在VINEIL上做静态分析,后端将二进制指令提升为VINE中间语言。
选项A：对
选项B：错
正确答案问询微信：424329

46.在计算机术语中,会话是指一个终端用户与交互系统进行通讯的过程。
选项A：对
选项B：错
正确答案问询微信：424329

47.根据缓冲区溢出位置的不同,溢出后覆盖数据的不同,缓冲区溢出的攻击利用方式也有所不同。
选项A：对
选项B：错
正确答案问询微信：424329

48.堆是内存空间中用于存放动态数据的区域。与栈不同的是,程序员自己完成堆中变量的分配与释放。
选项A：对
选项B：错
正确答案问询微信：424329

49.WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门。
选项A：对
选项B：错
正确答案问询微信：424329

50.Weakness指的是系统难以克服的缺陷或不足,缺陷和错误可以更正、解决,但不足和弱点可能没有解决的办法。
选项A：对
选项B：错
正确答案问询微信：424329