2025年网络安全防护基础考试真题与解析

2025年网络安全防护基础考试练习题与解析一、单项选择题（每题2分，共30分。每题只有一个正确答案，请将正确选项的字母填入括号内）1.在OSI七层模型中，负责端到端可靠数据传输的是（）。A.网络层  B.传输层  C.会话层  D.数据链路层答案：B解析：传输层通过TCP等协议实现端到端可靠传输，提供差错控制、流量控制与重传机制。2.以下哪一项最能有效降低暴力破解口令的成功率（）。A.增加密码长度并引入大小写、数字、特殊字符  B.定期更换加密算法C.关闭账户锁定策略  D.使用对称加密存储口令答案：A解析：密码空间随长度与字符集指数级增长，复杂度提升直接提高暴力破解成本。3.关于TLS1.3与TLS1.2的差异，下列说法正确的是（）。A.TLS1.3支持RSA密钥交换  B.TLS1.3默认启用前向保密C.TLS1.3握手需要更多往返  D.TLS1.3保留压缩选项答案：B解析：TLS1.3废除了RSA静态密钥交换，强制使用ECDHE等临时密钥协商，实现前向保密。4.在Linux系统中，若文件权限为“rwxrsrx”，则该文件的SGID位表现为（）。A.运行进程继承属主组  B.运行进程继承属主用户C.运行进程继承文件属组  D.运行进程继承当前用户组答案：C解析：s位出现在组执行位表示SGID，进程有效组ID变为文件属组。5.以下哪种技术最能有效检测APT（高级持续威胁）中的横向移动（）。A.基于签名的杀毒软件  B.网络微分段+东西向流量分析C.静态代码审计  D.黑名单URL过滤答案：B解析：微分段限制横向通信，结合东西向流量行为分析可发现异常横向移动。6.关于零信任架构，下列描述错误的是（）。A.默认不信任任何主体  B.访问决策基于持续风险评估C.网络边界是主要信任依据  D.需结合身份、设备、环境等多维因子答案：C解析：零信任摒弃“边界=信任”模型，强调永不信任、持续验证。7.在Windows日志中，事件ID4624表示（）。A.账户登录失败  B.账户成功登录  C.权限提升  D.对象访问审计答案：B解析：4624为成功登录事件，4625为失败登录。8.以下哪项不是对称加密算法（）。A.SM4  B.ChaCha20  C.ECDSA  D.AES256GCM答案：C解析：ECDSA为椭圆曲线数字签名算法，属于非对称密码。9.使用nmap扫描目标/24的UDP53端口，正确命令为（）。A.nmapsUp53/24  B.nmapsSp53/24C.nmapsTp53/24  D.nmapsFp53/24答案：A解析：sU启用UDP扫描，p53指定端口。10.关于SQL注入防御，以下代码片段最安全的是（）。A.SELECTFROMuserWHEREid=‘“+request.get(“id”)+”’B.SELECTFROMuserWHEREid=?C.SELECTFROMuserWHEREid=‘“+request.get(“id”).replace(“’”,””)+”’D.SELECTFROMuserWHEREid=‘“+Integer.parseInt(request.get(“id”))+”’答案：B解析：预编译语句（参数化查询）将SQL与数据分离，杜绝注入。11.在公钥基础设施中，负责签发并管理用户证书的是（）。A.RA  B.CA  C.OCSP  D.CRL答案：B解析：CA（CertificateAuthority）是核心签发机构。12.以下哪项最能有效缓解DNS劫持（）。A.启用DNSSEC  B.增大TTL值  C.使用TCP53端口  D.关闭递归查询答案：A解析：DNSSEC通过数字链式签名保证记录完整性，防止中间人篡改。13.关于容器安全，以下做法错误的是（）。A.使用非root用户运行容器进程  B.将Docker守护进程暴露于公网C.启用seccomp限制系统调用  D.定期扫描镜像漏洞答案：B解析：暴露守护进程等于给攻击者提供DockerAPI入口，风险极高。14.在IPv6中，用于本地链路通信、前缀为fe80::/10的地址类型是（）。A.全球单播  B.唯一本地  C.链路本地  D.组播答案：C解析：链路本地地址用于同一二层网络内自动配置与邻居发现。15.当发现Web服务器返回“SetCookie:JSESSIONID=abc;Secure;HttpOnly;SameSite=Strict”，以下说法正确的是（）。A.Cookie可在HTTP明文传输  B.JavaScript可读取该CookieC.跨站POST请求会携带该Cookie  D.仅同站请求可发送该Cookie答案：D解析：SameSite=Strict禁止跨站请求携带，Secure限制HTTPS，HttpOnly禁止脚本读取。二、多项选择题（每题3分，共30分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）16.以下哪些属于社会工程学攻击（）。A.鱼叉式钓鱼邮件  B.假冒客服电话套取密码  C.USB诱饵投放  D.SYNFlood答案：A、B、C解析：SYNFlood属于DDoS，不属于社工。17.关于WAF（Web应用防火墙）的防护机制，正确的有（）。A.基于正则的规则匹配  B.基于机器学习的异常检测C.可防御零日漏洞无需更新  D.可结合威胁情报动态阻断IP答案：A、B、D解析：WAF对零日无签名时效果有限，需模型或虚拟补丁。18.以下哪些协议/技术可提供IP层加密（）。A.IPSecESP  B.L2TP  C.GRE  D.WireGuard答案：A、D解析：ESP提供加密，WireGuard基于UDP构建加密隧道；L2TP与GRE本身不加密。19.关于Linux能力（capabilities），正确的有（）。A.可将root特权细分为独立单元  B.CAP_SYS_ADMIN等同于root全部权限C.容器常通过capabilities降权  D.能力位保存在文件扩展属性中答案：A、C、D解析：CAP_SYS_ADMIN仍只是一部分，不等同全部root权限。20.以下哪些日志源可用于威胁狩猎（）。A.DNS查询日志  B.ProxyURL日志  C.主机EDR事件  D.NetFlow答案：A、B、C、D解析：多源数据关联可发现C2、横向移动等痕迹。21.关于勒索软件防护，有效的措施包括（）。A.321备份策略  B.网络分段隔离  C.禁用Office宏  D.关闭多因素认证答案：A、B、C解析：多因素认证应启用而非关闭。22.以下哪些属于国密算法（）。A.SM2  B.SM3  C.SM4  D.ZUC答案：A、B、C、D解析：均为国家商用密码算法。23.关于OAuth2.0授权码模式，正确的有（）。A.授权码通过前端通道传递  B.访问令牌通过后端通道交换C.支持刷新令牌  D.隐式模式比授权码模式更安全答案：A、B、C解析：隐式模式将令牌暴露在前端，风险更高。24.以下哪些操作可能破坏数字证据的司法链（）。A.未记录MD5值直接镜像  B.镜像后未写保护继续开机C.由调查人员当场封存并签字  D.使用硬件写保护器获取镜像答案：A、B解析：未校验、未写保护均可能改变数据，破坏完整性。25.关于云原生安全，正确的有（）。A.镜像层漏洞需运行时修复  B.应使用AdmissionController进行镜像准入C.需对K8sRBAC最小权限配置  D.云供应商与客户责任共担答案：B、C、D解析：镜像层漏洞应在构建阶段修复，运行时修复风险高。三、填空题（每空2分，共20分）26.在密码学中，HMACSHA256输出的摘要长度为______位。答案：256解析：SHA256输出256bit，HMAC结构不改变长度。27.当使用OpenSSL生成长度为2048bit的RSA私钥，默认保存格式为______编码。答案：PEM解析：OpenSSL默认输出Base64包装的PEM格式。28.在Windows中，使用命令______可查看当前登录用户的访问令牌。答案：whoami/all解析：显示SID、权限、组信息等令牌内容。29.若iptables规则链默认策略为DROP，需允许本机回环接口通信，应执行iptablesAINPUTi______jACCEPT。答案：lo解析：lo为回环接口设备名。30.在K8s中，用于限制Pod使用最大内存量的字段为______。答案：limits.memory解析：resources.limits.memory指定上限。31.国家互联网应急中心英文缩写为______。答案：CNCERT解析：ChinaNationalComputerEmergencyResponseTeam。32.当使用Wireshark过滤HTTPPOST请求，过滤器表达式为______。答案：http.request.method==POST解析：Wireshark显示过滤器语法。33.在PKI体系中，OCSP协议默认使用的传输层端口为______。答案：80解析：OCSP基于HTTP，默认80端口。34.若某网站启用HSTS，响应头中maxage单位是______。答案：秒解析：maxage=31536000表示一年。35.在Linux中，用于查看文件扩展属性的命令为______。答案：getfattr解析：需安装attr包，可查看user.与security.等命名空间。四、简答题（每题10分，共30分）36.简述缓冲区溢出攻击原理，并给出两种防御技术及其原理。答案：原理：程序未对输入长度进行校验，外部输入数据超出预分配缓冲区，覆盖返回地址或函数指针，导致攻击者注入并执行恶意代码。防御技术：1.栈金丝雀（StackCanaries）：编译器在栈帧返回地址前插入随机值，函数返回前检测该值是否被篡改，若变化则终止程序。2.数据执行保护（DEP/NX）：CPU将栈内存页标记为不可执行，即使攻击者注入Shellcode也无法执行，强制返回导向编程（ROP）难度增加。37.说明DiffieHellman密钥交换协议的基本流程，并指出中间人攻击的成因与对应防御。答案：流程：1.双方约定大素数p和生成元g；2.甲方选随机私钥a，计算A=g^amodp发送乙方；3.乙方选随机私钥b，计算B=g^bmodp发送甲方；4.甲方计算共享密钥s=B^amodp；乙方计算s=A^bmodp；因离散对数难题，双方得到相同s。中间人攻击成因：协议本身无身份认证，攻击者可分别与双方建立不同密钥。防御：使用数字签名或证书对DH参数进行认证，如ECDHERSA，确保参数来自预期实体。38.概述云环境中“共享责任模型”的内容，并以IaaS场景举例说明客户与云厂商各自的安全职责。答案：模型内容：云安全由云服务商与客户共同承担，责任划分随服务类型（IaaS、PaaS、SaaS）变化，越往上云厂商责任越大。IaaS举例：云厂商责任：物理基础设施、数据中心环境、虚拟化层、存储与网络底层控制平面。客户责任：操作系统补丁、应用程序、数据加密、身份与访问管理、防火墙规则、备份、合规治理。例如AWSEC2，用户需自行管理AMI系统更新、安全组配置、EBS快照加密；AWS负责硬件、Hypervisor隔离、底层网络ACL。五、应用题（共40分）39.综合渗透测试与应急响应案例分析（20分）背景：某企业Web服务器（IP）被发现异常外联，安全团队获取到一段access.log，关键记录如下：[15/Mar/2025:13:45:22+0000]"GET/login.php?user=admin'%20OR%201=1&pass=aaaHTTP/1.1"2001024[15/Mar/2025:13:45:25+0000]"POST/upload.phpHTTP/1.1"200512[15/Mar/2025:13:45:30+0000]"GET/uploads/shell2025.phpHTTP/1.1"20015（1）指出攻击者利用的漏洞类型并写出利用载荷。（4分）答案：SQL注入，载荷为admin'OR1=1，绕过密码验证直接登录。（2）分析upload.php可能存在的缺陷，并给出加固代码片段（语言不限）。（6分）答案：未校验文件类型与内容，可上传PHPwebshell。加固：```phpif(!isset($_FILES['file']))exit('Nofile');$finfo=finfo_open(FILEINFO_MIME_TYPE);$mime=finfo_file($finfo,$_FILES['file']['tmp_name']);finfo_close($finfo);$allowed=['image/jpeg','image/png'];if(!in_array($mime,$allowed))exit('Invalidtype');$newname=bin2hex(random_bytes(16)).'.jpg';move_uploaded_file($_FILES['file']['tmp_name'],'/var/www/images/'.$newname);```同时禁用PHP解析目录，上传路径与Web服务分离。（3）若服务器已部署WAF，提出两条可绕过上传限制的攻击思路（假设WAF仅检测.php扩展）。（4分）答案：1.双写扩展：shell.pphphp，利用WAF正则替换不彻底；2.大小写混写：shell.PHP，若文件系统不区分大小写且WAF区分，可解析为.php。（4）作为应急响应人员，请列出事后取证的四个关键步骤。（6分）答案：1.网络隔离：保留现场，防止继续外联；2.磁盘镜像：使用dd或FTK获取完整磁盘比特镜像，计算并记录哈希；3.内存获取：使用LiME或winpmem导出内存，提取进程、网络连接、密钥；4.日志收集：集中Web、系统、防火墙、EDR日志，建立时间线，分析攻击路径。40.网络流量分析计算题（20分）某公司在边界镜像口捕获到一段疑似勒索软件通信的PCAP，文件大小为1GB，捕获时长1小时。已知：平均数据包长度800byte；TCP会话数20000条；约5%流量为外联C2，目的端口443，使用TLS1.3；公司出口带宽1Gbps，实际平均利用率40%