2025年网络安全专业技能竞赛试题及答案

2025年网络安全专业技能竞赛试题及答案一、单项选择题（共20题，每题2分，共40分）1.以下哪种加密算法属于非对称加密？A.AES256B.SHA256C.RSAD.ChaCha20答案：C2.针对TCPSYN泛洪攻击（SYNFlood），最有效的防御措施是？A.关闭ICMP协议B.启用TCPSYNCookieC.限制HTTP请求速率D.部署入侵检测系统（IDS）答案：B3.某Web应用使用JWT（JSONWebToken）进行身份认证，若攻击者获取到未加密的JWT令牌，最可能利用的漏洞是？A.令牌签名验证绕过B.CSRF跨站请求伪造C.XSS跨站脚本攻击D.SQL注入答案：A4.以下哪个CVE编号对应2023年曝出的OpenSSL严重漏洞（被称为“龙蜥”漏洞）？A.CVE202323397B.CVE202222965C.CVE202144228D.CVE20230215答案：A5.在Linux系统中，用于查看当前所有已建立TCP连接的命令是？A.netstatan|grepESTABLISHEDB.psef|greptcpC.lsofi:80D.ifconfiga答案：A6.零信任安全模型的核心原则是？A.最小权限访问B.网络分段隔离C.持续验证访问请求D.以上都是答案：D7.某物联网设备使用MQTT协议与服务器通信，若未配置TLS加密，可能面临的最直接风险是？A.设备固件被篡改B.通信内容被中间人窃听C.设备被DDoS攻击D.设备认证令牌被盗用答案：B8.以下哪种漏洞属于内存破坏型漏洞？A.SQL注入B.XSSC.缓冲区溢出D.CSRF答案：C9.在云环境中，AWSS3存储桶默认的访问权限是？A.公共读/写B.仅存储桶所有者可读C.私有（无公共访问）D.所有AWS用户可读答案：C10.针对钓鱼邮件的防范措施中，最关键的是？A.部署反垃圾邮件网关B.对员工进行安全意识培训C.启用SPF/DKIM/DMARC协议D.加密邮件内容答案：B11.以下哪种哈希算法已被证明存在碰撞漏洞，不推荐用于安全场景？A.SHA1B.SHA256C.SHA3D.MD5答案：D12.某企业使用WAF（Web应用防火墙）防御SQL注入攻击，若攻击者使用“宽字节编码”绕过，可能是因为WAF未正确处理？A.URL编码（%XX）B.Unicode编码（\uXXXX）C.GBK编码中的%df'组合D.Base64编码答案：C13.在渗透测试中，“内网横向移动”的主要目的是？A.绕过边界防火墙B.获取目标网络的拓扑信息C.从已控制主机扩展至其他主机D.破坏核心业务系统答案：C14.以下哪个工具常用于Windows系统的内存取证分析？A.VolatilityB.WiresharkC.MetasploitD.JohntheRipper答案：A15.区块链系统中，“51%攻击”主要威胁的是？A.智能合约的安全性B.交易的不可篡改性C.节点的共识机制D.用户私钥的保管答案：C16.某工业控制系统（ICS）使用Modbus协议，若未关闭默认端口502，可能面临的风险是？A.协议指令被伪造导致设备误操作B.系统固件被恶意更新C.操作日志被篡改D.工程师站被远程控制答案：A17.在Linux系统中，/etc/shadow文件的默认权限是？A.644B.400C.600D.755答案：C18.以下哪种攻击属于“侧信道攻击”？A.暴力破解密码B.利用CPU缓存时序差异获取密钥C.钓鱼攻击诱导用户输入密码D.中间人攻击拦截通信答案：B19.某企业部署了EDR（端点检测与响应）系统，其核心功能不包括？A.恶意软件实时查杀B.进程行为监控与阻断C.网络流量深度分析D.漏洞自动修复答案：D20.针对大语言模型（LLM）的“提示注入攻击”（PromptInjection），最有效的防御方法是？A.限制模型的输出长度B.对用户输入进行严格的语义过滤C.增加模型训练数据的多样性D.禁用模型的网络访问权限答案：B二、填空题（共10题，每题2分，共20分）1.常见的端口号中，SMTP服务默认使用的端口是______。答案：252.缓冲区溢出攻击中，用于覆盖程序返回地址的关键数据是______。答案：栈溢出偏移量（或“返回地址指针”）3.TLS1.3协议握手过程中，客户端发送的第一个消息是______。答案：ClientHello4.网络安全等级保护2.0中，第三级信息系统的安全保护要求属于______。答案：监督保护级5.用于检测恶意软件的“沙箱”技术，其核心原理是______。答案：隔离执行与行为监控6.Windows系统中，存储用户密码哈希的文件是______（需填写完整路径）。答案：C:\Windows\System32\config\SAM7.物联网设备常见的安全威胁“固件回滚攻击”，主要利用的是______的缺陷。答案：固件版本验证机制8.云原生安全中，用于管理Kubernetes集群权限的核心组件是______。答案：RBAC（角色基于访问控制）9.工业互联网中，OT（运营技术）网络与IT（信息技术）网络的关键区别是______。答案：实时性要求高（或“设备生命周期长、协议专用”）10.针对DNS隧道攻击的检测方法，主要基于______的异常分析。答案：DNS流量特征（或“查询频率、数据长度”）三、简答题（共5题，每题6分，共30分）1.简述SQL注入攻击的原理及主要防护措施。答案：原理：攻击者通过在用户输入中插入SQL指令，欺骗后端数据库执行非预期的查询或操作，导致数据泄露、篡改或数据库被破坏。防护措施：①使用预编译语句（PreparedStatement）或ORM框架，参数化查询；②对用户输入进行严格的类型检查和转义（如转义单引号、分号等特殊字符）；③限制数据库账户权限（如仅授予查询权限，禁用DROP、EXEC等危险操作）；④启用Web应用防火墙（WAF）进行SQL特征检测；⑤定期审计数据库日志，监控异常查询行为。2.说明APT（高级持续性威胁）攻击的主要特点，并列举3种常见的APT攻击手段。答案：特点：①攻击目标明确（针对特定组织或行业）；②攻击周期长（持续数月甚至数年）；③技术复杂度高（使用0day漏洞、定制化恶意软件）；④隐蔽性强（通过加密通信、擦除痕迹规避检测）。常见手段：①鱼叉式钓鱼邮件（附件携带定制化木马）；②0day漏洞利用（如Office文档漏洞、浏览器漏洞）；③供应链攻击（入侵可信软件供应商，植入后门）。3.分析JWT（JSONWebToken）的安全风险，并提出3条防范建议。答案：安全风险：①令牌泄露风险（若存储在前端（如LocalStorage），可能被XSS攻击窃取）；②签名算法绕过（如将算法从HS256改为none，伪造令牌）；③令牌过期时间过长（延长攻击者利用时间）；④密钥管理不当（共享密钥泄露导致令牌被伪造）。防范建议：①使用HTTPS传输令牌，避免明文泄露；②强制使用强签名算法（如HS512或RS256），禁用none算法；③设置合理的令牌过期时间（如1530分钟），结合刷新令牌（RefreshToken）机制；④对令牌的敏感声明（如用户角色）进行加密（使用JWE替代JWS）；⑤定期轮换签名密钥，避免密钥长期固定。4.列举Linux系统中5种常见的日志文件及其作用。答案：①/var/log/syslog：系统通用日志，记录内核、服务的运行状态；②/var/log/auth.log：认证相关日志，记录SSH登录、su命令等操作；③/var/log/nginx/access.log：Nginx访问日志，记录HTTP请求详情；④/var/log/kern.log：内核日志，记录内核错误及硬件相关信息；⑤/var/log/cron.log：定时任务日志，记录crontab任务执行结果；⑥/var/log/dmesg：启动时的内核缓冲日志，用于诊断启动问题（任选5个）。5.说明云环境中“数据脱敏”的必要性，并举例2种常见的脱敏技术。答案：必要性：云环境中数据可能由第三方托管，需防止敏感信息（如身份证号、手机号、银行卡号）在测试、开发、日志记录等场景中泄露。脱敏可确保非授权人员无法获取原始敏感数据。常见技术：①替换（如将手机换为1385678）；②乱序（对姓名中的字符顺序随机打乱，如“张三”变为“三张”）；③加密（使用对称加密算法对敏感字段加密存储，访问时解密）；④掩码（部分隐藏关键字符，如银行卡号显示为1234）。四、实操题（共3题，每题10分，共30分）实操题1：Web渗透测试（漏洞挖掘）场景：某企业官网（）存在疑似SQL注入漏洞，需通过测试验证。要求：（1）描述测试步骤；（2）写出至少2种测试Payload；（3）说明如何判断漏洞存在。答案：（1）测试步骤：①识别用户输入点（如搜索框、登录表单、商品ID参数等）；②对输入参数进行简单SQL注入测试（如添加单引号'，观察页面是否返回数据库错误信息）；③使用布尔盲注或时间盲注进一步验证（如通过AND1=1/AND1=2观察页面差异，或通过sleep()函数延迟响应）；④利用工具（如sqlmap）自动化检测，获取数据库类型、表结构及数据。（2）测试Payload示例：①搜索框输入：`test'OR1=1+`（闭合单引号，注释后续语句，使条件恒真）；②URL参数输入：`id=1'UNIONSELECT1,version(),3+`（联合查询获取数据库版本）；③时间盲注：`id=1'ANDSLEEP(5)+`（若响应延迟约5秒，说明注入成功）。（3）判断方法：①输入单引号后页面返回“SQLsyntaxerror”等数据库错误信息；②布尔盲注中，输入AND1=1时返回正常结果，AND1=2时结果为空或异常；③时间盲注中，响应时间与Payload中的sleep时间一致；④sqlmap扫描输出“sqlinjectionvulnerabilitydetected”。实操题2：Linux系统日志分析（应急响应）场景：某Linux服务器被植入后门，需通过日志分析定位攻击路径。要求：（1）列出需重点检查的日志文件；（2）描述如何通过日志追踪SSH暴力破解攻击；（3）说明如何发现异常进程的启动记录。答案：（1）重点日志文件：①/var/log/auth.log（SSH登录日志）；②/var/log/syslog（系统运行日志）；③/var/log/audit/audit.log（审计日志，若启用）；④/var/log/cron.log（定时任务日志，可能包含后门启动任务）；⑤/var/log/nginx/access.log（Web服务访问日志，若存在Web后门）。（2）追踪SSH暴力破解步骤：①查看/auth.log，搜索关键字“Failedpassword”；②提取攻击源IP（如“Failedpasswordforrootfrom00port53422ssh2”）；③统计同一IP的失败登录次数（使用命令：grep"Failedpassword"auth.log|awk'{print$11}'|sort|uniqc）；④若某IP短时间内失败次数超过阈值（如10次），确认存在暴力破解攻击。（3）发现异常进程的方法：①检查/syslog中是否有异常进程启动记录（如“Startingmalicious_script.sh”）；②结合ps命令（psef|grep异常PID）与日志时间戳，匹配进程启动时间；③查看/var/log/cron.log是否有新增的定时任务（如“/tmp/malware.sh”），关联异常进程；④使用lsof命令（lsofp异常PID）检查进程打开的文件，确认是否连接恶意C2服务器。实操题3：Windows域环境权限提升（渗透测试）场景：已获取域内普通用户权限（user@），需提升至域管理员（DomainAdmin）。要求：（1）列举2种常见的权限提升方法；（2）描述利用“MS14068”漏洞的具体步骤；（3）说明如何验证是否获得域管权限。答案：（1）常见方法：①利用系统漏洞（如MS14068、CVE20211675）；②窃取管理员凭证（如通