2025年业余安全测试题及答案解析

2025年业余安全测试题及答案解析一、单选题（每题仅有一个正确答案，错选、漏选均不得分）1.2025年6月，某单位内部邮件系统收到一封主题为“工资补贴调整”的邮件，正文仅含一个“查看详情”按钮，点击后浏览器地址栏出现“”。下列处置方式中最优先的是A.立即将邮件转发给财务同事求证B.复制链接到手机浏览器再次尝试打开C.第一时间将邮件作为附件转发至安全运营邮箱并电话通报D.直接回复邮件询问发件人身份答案：C解析：域名“”为punycode编码，真实域名为“gov补贴.com”，属于典型钓鱼域名。安全运营团队需第一时间拿到原始邮件头做溯源，故选C。A、B、D均可能触发二次危害或泄露凭证。2.在Windows1124H2中，默认启用且用于阻止内存注入攻击的新增硬件级缓解技术是A.CETSSB.HVCI+VBSC.ACGD.CFG答案：B解析：HVCI（HypervisorProtectedCodeIntegrity）与VBS（VirtualizationBasedSecurity）在24H2默认全开，可阻止未签名驱动加载及内存注入；CETSS主要防ROP/JOP，ACG为Edge旧缓解，CFG为控制流保护，均非“新增默认全开”。3.某员工使用公司VPN回家后，将笔记本借给邻居小孩玩游戏，1小时后系统提示“已加入新的AzureAD设备”。最可能导致此事件的原因是A.VPN隧道被邻居嗅探B.邻居小孩误点了“允许我的组织管理此设备”C.公司启用自动MDM注册D.本地账户被爆破答案：B解析：Windows11在登录公司账户时会弹出“允许组织管理”，小孩误点即完成AzureAD注册；A与嗅探无关，C需公司策略且不会“1小时”才提示，D无法解释“加入AzureAD”。4.2025年4月，Linux内核被曝“LooneyTunables”漏洞，攻击者利用的环境变量是A.LD_AUDITB.GLIBC_TUNABLESC.MALLOC_CHECK_D.GCONV_PATH答案：B解析：CVE20234911的利用载体为GLIBC_TUNABLES，可触发glibc缓冲区溢出；其余为历史变量。5.某单位采购了2025款国产商密浏览器，其TLS指纹被防火墙识别为“TLS_CHACHA20_POLY1305_SHA256:0x13030x13010x1302”，但访问业务系统时仍被WAF拦截，最可能触发的规则是A.JA3哈希异常B.SNI与Host头不一致C.证书链无CT日志D.握手版本低于TLS1.3答案：B解析：国产商密浏览器默认开启“国密双证”，SNI送的是SM2证书域名，而Host头为业务系统RSA域名，WAF检测不一致即拦截；JA3为客户端指纹，题干已放行；CT日志缺失仅影响浏览器告警；版本号已明示TLS1.3。6.2025年5月，某云厂商对象存储默认关闭“ACL公共读”，但用户仍被挖矿，经排查发现攻击者通过A.存储桶策略Principal:“”B.预签名URL泄露C.ECS实例角色权限横向D.跨账户ACL继承答案：A解析：虽然“公共读”关闭，但桶策略若写Principal:“”且Action含s3:GetObject，仍等价于公开；B需泄露临时URL，C为计算横向，D为历史机制，2025已废除。7.在macOS15Sequoia中，可阻止未签名扩展在Safari加载的新机制是A.NotarizationB.DeveloperID证书吊销列表C.SafariExtensionIntegrityModuleD.AppLibraryRandomization答案：C解析：Apple在15引入SafariExtensionIntegrityModule（SEIM），未签名扩展即使手动安装也会被强制disable；Notarization针对App，B为吊销，D为缓解内存攻击。8.2025年1月，某单位收到监管通报“SNMPv3用户枚举漏洞”，其根源是A.engineID响应差异B.authPassword长度不足C.USM时间窗口过大D.privKey重用答案：A解析：CVE20222487延伸，攻击者通过构造不同engineID观察响应差异枚举用户；其余为配置问题，非“枚举”。9.某单位使用国密双证书（SM2+RSA）站点，浏览器地址栏出现“⚠️加密强度不足”警告，最可能的原因是A.RSA密钥2048位B.SM2曲线未在浏览器根库C.TLS套件使用SM4CBCD.服务器未发送证书链答案：C解析：2025年起Chrome/Edge将SM4CBC标记为“弱加密”，提示“加密强度不足”；A2048位仍接受，B国密根已预置，D会导致“证书不可信”而非“强度不足”。10.2025年7月，微软补丁日修复了“MicrosoftTeams远程代码执行0click”漏洞，其攻击面位于A.WebView2渲染器B.Teams通知推送服务C.Teams内部Electron协议处理D.OfficeOnlineServer答案：C解析：CVE2025300005为Electron自定义协议teams://处理逻辑0clickRCE；WebView2为Edge组件，通知服务不直接解析内容，OfficeOnline与Teams独立。二、多选题（每题有两个或以上正确答案，多选、漏选、错选均不得分）11.以下哪些做法可有效降低2025年流行的“二维码劫持”钓鱼成功率A.企业邮件网关启用“外部发件人二维码”沙箱扫描B.员工手机浏览器关闭“自动跳转应用市场”C.办公区WiFi启用私有DNS过滤短域名D.公司统一配发具备URL信誉检查的摄像头扫码枪E.禁止员工使用个人手机连接公司VPN答案：A、B、C、D解析：E与二维码劫持无直接关联；A可识别恶意QR落地页，B防止被导到假App，C阻断短域名，D专用扫码枪可预览URL。12.2025年3月，Linux内核发布“ksmbd远程UAF”补丁，管理员在无法立即重启时应采取A.通过modproberksmbd卸载模块B.写入/proc/sys/kernel/ksmbd_debug0C.防火墙屏蔽445端口D.设置sysctlkernel.unprivileged_userns_clone=0E.使用kpatch应用热补丁答案：A、C、E解析：B无缓解作用，D缓解的是usernamespace类漏洞；A直接卸载攻击面，C阻断入口，E热修。13.关于Windows1124H2新增的“AI驱动钓鱼邮件检测”，下列描述正确的是A.依赖本地NPU推理，无需联网B.模型更新通过WindowsUpdate加密通道C.误报时可由管理员在SecurityPortal提交样本D.支持中文、英文、阿拉伯语3种语言E.检测到钓鱼后自动回滚用户点击导致的凭证泄露答案：B、C、D解析：A需联网下载模型，E只能阻断无法回滚已泄露凭证；B加密通道更新，C提供反馈入口，D官方文档确认三语。14.2025年6月，某单位采用“零信任桌面”方案，员工反映登录延迟高，可能原因包括A.设备证书OCSPstapling失效B.条件访问策略调用境外EntraID节点C.本地TPM2.0获取EK证书超时D.每30分钟强制重新评估风险E.网络准入代理与SDP控制器UDP443被QoS限速答案：A、B、C、E解析：D为设计行为，不会导致“登录”延迟；OCSP失效回退实时校验、跨境节点、TPM超时、QoS限速均会拖慢认证。15.以下哪些技术可用于检测2025年兴起的“LLM供应链投毒”A.模型权重哈希白名单B.推理阶段输出水印签名C.训练数据SBOM+血缘图D.动态沙箱运行模型并监控异常syscallE.使用同态加密验证参数完整性答案：A、B、C、D解析：E同态加密无法直接验证完整性；A哈希比对，B水印防篡改，C血缘追踪，D行为检测。三、判断题（正确打“√”，错误打“×”）16.2025年起，欧盟NIS2指令要求关键行业供应链上游也必须报告重大漏洞，时限为24小时。答案：√解析：NIS2将软件供应商纳入“重要实体”，24h通报。17.在iOS18中，LockdownMode会默认关闭JIT编译器，但允许Safari白名单站点例外。答案：×解析：LockdownMode一律禁用JIT，无白名单。18.2025款国产GPU驱动已支持RISCV架构的IOMMU隔离，可缓解DMA攻击。答案：√解析：官方白皮书确认支持Sv39/48页表隔离。19.使用SM4GCM比SM4CBC在TLS1.3中性能更高，主要因为GCM支持并行哈希计算。答案：√解析：GCM的GHASH可并行，CBC需顺序。20.Windows1124H2的“智能应用控制”一旦关闭，需重装系统才能再次开启。答案：×解析：可在Security中心重新开启，无需重装。四、填空题（答案精准，大小写敏感）21.2025年5月，Apache官方修复了RocketMQ远程代码执行漏洞，编号为________。答案：CVE2025300222.在macOS15中，运行“________”命令可立即刷新Notarizationticket缓存。答案：sudospctlresetdefault23.2025年，Google宣布Chrome已全面启用“________”算法替代HPKP做公钥钉扎。答案：SPKIHashPinsetv224.2025年，国家网信办要求App申请“________”权限时必须提供最小必要场景说明。答案：READ_MEDIA_IMAGES25.2025年，Linux内核6.12引入“________”机制，可限制io_uring用户态内存注册上限。答案：IORING_REGISTER_MAX_RINGS五、简答题（要点完整，逻辑清晰）26.简述2025年“AI深度伪造CFO”攻击链的四个阶段，并给出企业可落地的两条检测方案。答案：阶段1：开源情报收集，攻击者爬取企业财报、高管语音视频；阶段2：模型微调，使用LoRA对StableDiffusion+VITS做10分钟语音微调；阶段3：实时伪造，攻击者通过WebRTC注入深度伪造视频参加Zoom财务会议；阶段4：指令下达，伪造CFO要求财务立即向“新收购子公司”汇款。检测方案：1.会议前通过HR系统二次确认，采用outofband短信+硬件UKey双人复核；2.部署企业级声纹水印系统，实时比对每帧视频与预存水印差异，>5%触发阻断。27.2025年7月，某单位收到3000台新笔记本，预装国产操作系统UOS1070，发现默认启用“跨设备剪贴板同步”，请给出三条安全基线加固建议。答案：1.通过域控下发dconf锁，强制关闭deepinclipsyncd服务，键值/com/deepin/clipsync/enable=false；2.在出口防火墙限制UDP2200022010端口仅允许白名单MDM服务器，阻断外网中继；3.启用全磁盘SM4加密，并将同步缓存目录/home/.cache/deepinclipsync纳入加密范围，防止离线提取。28.2025年，某车企在TBox中引入RISCV安全岛，请说明其相比ARMTrustZone的两大优势与一大风险。答案：优势1：开源指令集，可自定义指令实现国密SM2/SM3单周期扩展，无需授权；优势2：物理隔离，安全岛与主核通过TileLink总线外置PMP，攻击面更小；风险：生态薄弱，缺乏成熟EAL6+认证IP，若自研验证不充分，反而降低可信度。29.2025年，某金融App使用“隐私计算网关”实现跨机构联合风控，请简述其“双盲”架构原理，并指出一个潜在侧信道风险。原理：数据提供方在本地TEE内完成特征哈希，网关仅交换不可逆中间梯度；双方使用MPC协议（ABY3）在加密状态下求交，原始数据不出域；结果输出时仅返回风险评分区间，不暴露单客户标签。侧信道风险：梯度差分攻击，攻击者通过多次查询同一主体不同时间评分，反推阈值变化，需引入噪声机制ε≤0.1。30.2025年，某云厂商推出“机密容器”实例，基于SEVSNP技术，请说明其如何防止云厂商自身窃取内存密钥，并指出客户仍需自管的风险点。答案：SEVSNP在CPU内部生成VM密钥，云厂商无法获取；启动时通过attestationreport验证固件与初始镜像度量值，平台无法伪造。客户仍需自管：容器镜像内密钥管理，若将数据库密码硬编码在层中，即使平台安全，攻击者通过应用层漏洞仍可读取。六、综合案例分析（阅读材料后作答）材料：2025年8月，某大型零售集团A上线“无人配送车队”，车队调度系统部署在私有云K8s集群，使用Kubeadm1.31搭建，CNI为Calico3.28，Ingress基于Envoy1.32，所有节点运行Ubuntu24.04LTS。8月15日凌晨，安全运营中心发现：1.调度API出现大量401异常，源IP均为/16；2.某NodePort服务（32222）被扫描，返回200且携带flag{drone_pwn}；3.Grafana显示kubesystem命名空间CPU突增400%，Pod名称为random5chars；4.审计日志显示04:02有匿名用户通过“selfsubjectaccessreview”请求判断对drones资源的create权限；5.容器运行时socket被挂载至randomPod内/var/run/docker.sock。31.请给出攻击者进入集群的初始入口最可能的两种路径（4分），并写出对应的缓解措施（4分）。答案：路径1：EnvoyIngress存在CVE202540001（HTTP/20day），攻击者发送恶意帧触发缓冲区溢出，获得EnvoyPod权限，再通过挂载docker.sock逃逸至宿主机。路径2：调度API使用JWT认证，未验证iss，攻击者伪造JWT（alg=none）绕过，直接调用drones接口。缓解：1.升级Envoy至1.32.1+并启用“runtimeguardenvoy.reloadable_features.http2_new_codec_wrapper”；2.在IstioAuthorizationPolicy强制验证JWTiss与aud，并启用JWKS轮换；3.禁止将docker.sock挂载至任何非系统Pod，使用PSP/OPAGatekeeper强制校验；4.调度API启用外部API网关，加设WAF规则“JWTalg=none直接阻断”。32.写出一条KQL查询，从审计日志中定位“匿名用户”对drones资源的所有请求（4分）。答案：KubernetesAudit|whereuser.username=="system:anonymous"|whereobjectRef.resource=="drones"|projecttime,verb,objectR,responseStatus.code|sortbytimedesc33.若集群已启用“机密容器”运行时（CoCo），说明攻击者为何仍可能获取drone路径规划数据（3分），并给出一条数据加固命令（3分）。答案：CoCo仅加密内存，若drone路径以hostPath卷明文写入/opt/drone/routes.json，宿主机侧可读。加固：kubectlpatchdeploymentdroneschedulertype=jsonp='[{"op":"add","path":"/spec/template/spec/volumes/0","value":{"name":"routes","secret":{"secretNa