超前自学网南开大学23年秋学期《攻防技术基础》在线作业二
奥鹏南开大学23年秋季新学期作业参考
23秋学期(仅限-高起专1909、专升本1909)《攻防技术基础》在线作业-00002
以下哪项不是文件包含涉及的函数()。
A:include()
B:require()
C:include_once()
D:phpinfo()
正确答案问询微信:424329
()适合检查因控制流信息非法操作而导致的安全问题,如内存访问越界、常数传播等。
A:词法分析
B:数据流分析
C:符号执行
D:模型检验
正确答案问询微信:424329
下面说法错误的是()。
A:GET请求的数据会附在URL之后。
B:POST请求的数据会附在URL之后。
C:POST把提交的数据放置在HTTP包的包体中。
D:通过GET提交数据,用户名和密码将明文出现在URL上。
正确答案问询微信:424329
指令的地址字段指出的不是操作数的地址而是操作数本身,这种寻址方式称为()。
A:直接寻址
B:间接寻址
C:立即寻址
D:基址寻址
正确答案问询微信:424329
以下有关SQL说法错误的是()。
A:SQL是用于访问和处理数据库的标准的计算机语言。
B:SQL由数据定义语言(DDL)和数据操作语言(DML)两部分组成。
C:DDL用于定义数据库结构,DML用于对数据库进行查询或更新。
D:DDL主要指令有S奥鹏南开大学23年秋季新学期作业参考ELECT、CREATE等。
正确答案问询微信:424329
以下说法错误的是()
A:静态分析可以比较全面地考虑执行路径,漏报率比动态分析低。
B:动态分析由于获取了具体的运行信息,因此报告的漏洞更为准确,误报率较低。
C:将动态分析和静态分析结合起来对二进制进行分析,这种技术比单纯的动态和静态分析更加简单,比较有代表性的是BitBlaze。
D:TEMU是BitBlaze的动态分析模块,其实质是一个虚拟机。
正确答案问询微信:424329
想要查找URL中包含nankai的搜索指令的是()。
A:site:nankai
B:inurl:nankai
C:intitle:nankai
D:ip:nankai
正确答案问询微信:424329
程序进行()转换的过程称为程序的再定位。
A:虚地址到虚地址
B:实地址到虚地址
C:虚地址到实地址
D:实地址到实地址
正确答案问询微信:424329
以下有关加壳说法正确的是()。
A:加壳的全称应该是可执行程序资源压缩,是破坏文件的常用手段。
B:加壳其实是利用特殊的算法,对EXE、DLL文件里的代码、资源等进行压缩、加密。
C:加壳过的程序无法直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。
D:CPU需要暴力解压加壳程序。
正确答案问询微信:424329
寄存器是()的组成部分。
A:CPU
B:内存
C:硬盘
D:主板
正确答案问询微信:424329
以下属于主动信息收集的是()
A:nmap
B:IP查询
C:whois
D:旁站查询
正确答案问询微信:424329
()的方法通过将程序转换并表示为逻辑公式,然后使用公理和规则证明的方法,验证程序是否为一个合法的定理,从而发现其中无法证明的部分,从中发现安全缺陷。
A:定理证明
B:模型检验
C:符号执行
D:词法分析
正确答案问询微信:424329
以下描述正确的是()。
A:软件漏洞危害性不大
B:软件漏洞具有隐蔽性
C:软件漏洞不存在长久性
D:软件漏洞影响不广
正确答案问询微信:424329
以下有关认证与授权的说法正确的是()。
A:认证和授权的功能相同
B:授权是根据不同用户的凭证来确定用户的身份。
C:授权是通过认证后确定用户的权限有哪些。
D:一般来说,单因素认证的安全强度要高于多因素认证。
正确答案问询微信:424329
以下有关DEP说法错误的是()
A:Windows操作系统中,默认情况下将包含执行代码和DLL文件的txt段即代码段的内存区域设置为可执行代码的内存区域。
B:Windows XP及其之前的操作系统,没有对内存区域的代码执行进行限制。
C:启用DEP机制后,DEP机制将某些敏感区域设置不可执行的non-executable标志位。
D:DEP只有软件DEP。
正确答案问询微信:424329
前整个渗透测试方提体系中最容易被忽略、最不被重视、最易受人误解的一环是()。
A:前期交互
B:漏洞分析
C:信息搜集
D:威胁建模
正确答案问询微信:424329
缓冲区溢出后执行的代码,会以()的身份权限运行。
A:系统
B:用户
C:原有程序
D:程序
正确答案问询微信:424329
当传输层没有进行安全保护时,会遇到()安全威胁。
A:MITM
B:XSS
C:SQL
D:SSRF
正确答案问询微信:424329
网页与HTML对应的关系是()。
A:一对一
B:多对一
C:一对多
D:多对多
正确答案问询微信:424329
下面有关XSS描述错误的是()。
A:XSS根据其特征和利用手法的不同,主要分成两大类型:一种是反射式跨站脚本;另一种是持久式跨站脚本。
B:反射式跨站脚本也称作非持久型、参数型跨站脚本。主要用于将恶意脚本附加到URL地址的参数中。
C:反射式跨站脚本也称作非持久型、参数型跨站脚本。主要用于将恶意脚本附加到URL地址的参数中。
D:存储式XSS中的脚本来自于Web应用程序请求。
正确答案问询微信:424329
以下哪项不属于缓存区溢出漏洞()。
A:堆溢出
B:栈溢出
C:单字节溢出
D:SQL注入
正确答案问询微信:424329
在Windows系统下,系统调用多数都是封装在高级()中来调用的。
A:API
B:DLL
C:库函数
D:可执行文件
正确答案问询微信:424329
漏洞利用的核心就是利用程序漏洞去执行shellcode以便劫持进程的()。
A:执行权
B:控制权
C:代码执行权
D:数据管理权
正确答案问询微信:424329
以下哪项不是Javascript在网页中的用途()。
A:嵌入动态文本于HTML页面
B:对浏览器事件做出响应
C:表示HTML文件开头
D:控制cookies创建和修改
正确答案问询微信:424329
以下有关SEH与SafeSEH说法错误的是()
A:SEH是Windows异常处理机制所采用的重要数据结构链表。
B:Vista中通过覆盖异常处理句柄的漏洞利用技术依然可以正常使用。
C:SafeSEH就是一项保护SEH函数不被非法利用的技术。
D:采用SafeSEH编译的程序将PE文件中所有合法的SEH异常处理函数的地址解析出来制成一张SEH函数表,放在PE文件的数据块中,用于异常处理时候进行匹配检查。
正确答案问询微信:424329
隐秘测试是对被测单位而言的,通常情况下,接受渗透测试的单位网络管理部门会收到通知在某些时段进行测试。
A:对
B:错
正确答案问询微信:424329
在SDL中,产品风险评估阶段在软件设计和开发之后。
A:对
B:错
正确答案问询微信:424329
文件上传时检查不严可能会导致文件上传漏洞。
A:对
B:错
正确答案问询微信:424329
单纯地依靠静态分析技术或者单纯依靠动态分析技术对二进制程序进行安全性分析很难达到理想的效果。
A:对
B:错
正确答案问询微信:424329
为了提高瀑布模型的开发效率,在系统的架构设计完成后,可将系统分为多个可并行开发的模块。
A:对
B:错
正确答案问询微信:424329
只有在Web应用中的操作系统层次才有可能出现安全配置错误。
A:对
B:错
正确答案问询微信:424329
Failure是指执行代码后所导致的不正确的结果,造成系统或系统部件不能完成其必需的功能,也可以称为故障。
A:对
B:错
正确答案问询微信:424329
数据执行保护DEP技术可以限制内存堆栈区的代码为不可执行状态,从而防范溢出后代码的执行。
A:对
B:错
正确答案问询微信:424329
缓冲区是一块不连续的内存区域,用于存放程序运行时加载到内存的运行代码和数据。
A:对
B:错
正确答案问询微信:424329
Meterpreter可以看做一个支持多操作系统平台,可以仅仅驻留于内存中并具备免杀能力的高级后门工具。
A:对
B:错
正确答案问询微信:424329
未公开漏洞是指厂商已经发布补丁或修补方法,大多数用户都已打过补丁的漏洞。
A:对
B:错
正确答案问询微信:424329
Vulnerability和Hole都是一个总的全局性概念,包括威胁、损坏计算机系统安全性的所有要素。
A:对
B:错
正确答案问询微信:424329
如果返回地址被覆盖,当覆盖后的地址是一个无效地址,则程序运行失败。如果覆盖返回地址的是恶意程序的入口地址,则源程序将转向去执行恶意程序。
A:对
B:错
正确答案问询微信:424329
渗透测试会影响业务系统正常运行。
A:对
B:错
正确答案问询微信:424329
1996年,Aleph One在Underground发表了著名论文《SMASHING THE STACK FOR FUN AND PROFIT》,其中详细描述了Linux系统中堆的结构和如何利用基于堆的缓冲区溢出。
A:对
B:错
正确答案问询微信:424329
软件动态安全检测技术是针对运行中的软件程序,它的分析对象是可执行代码。
A:对
B:错
正确答案问询微信:424329
加壳过的程序不可以直接运行,但是能查看源代码。
A:对
B:错
正确答案问询微信:424329
AND属于位运算指令。
A:对
B:错
正确答案问询微信:424329
Metasploit中没有提供Fuzz测试器。
A:对
B:错
正确答案问询微信:424329
软件开发生命周期模型有更多的考虑安全开发的问题。
A:对
B:错
正确答案问询微信:424329
%n的作用是将格式化函数输出字符串的长度,写入函数参数指定的位置。
A:对
B:错
正确答案问询微信:424329
在计算机术语中,会话是指一个终端用户与交互系统进行通讯的过程。
A:对
B:错
正确答案问询微信:424329
printf函数的第一个参数就是格式化字符串,它来告诉程序将数据以什么格式输出。
A:对
B:错
正确答案问询微信:424329
最小权限原则是为软件授予其所需要的最少权限。
A:对
B:错
正确答案问询微信:424329
Metasploit是一个开源的渗透测试框架软件,也是一个逐步发展成熟的漏洞研究与渗透代码开发平台。
A:对
B:错
正确答案问询微信:424329
