安全技术培训考试试题及答案(E卷)

安全技术培训考试试题及答案(E卷)一、单项选择题（每题2分，共30分）1.某企业采用零信任架构，下列哪项最能体现其核心原则？A.内网流量无需二次认证B.默认信任已接入VPN的员工设备C.每次访问请求都需动态验证身份与上下文D.防火墙规则一旦下发永久生效答案：C解析：零信任强调“永不信任、持续验证”，任何访问请求都必须结合身份、设备、环境等多维上下文动态评估，而非一次性授权或静态规则。2.在Linux系统中，若需禁止普通用户通过Ctrl+Alt+Del重启服务器，应修改哪一文件？A./etc/inittabB./etc/systemd/system/ctrl-alt-del.targetC./etc/securettyD./etc/profile答案：B解析：systemd时代，Ctrl+Alt+Del事件由ctrl-alt-del.target触发，将其链接至/dev/null或mask该单元即可屏蔽重启功能；/etc/inittab已废弃。3.针对容器逃逸，哪项内核加固措施最直接？A.关闭SWAP分区B.启用seccomp并限制系统调用C.将docker.sock权限设为600D.使用overlay2存储驱动答案：B解析：seccomp（securecomputingmode）可过滤容器内进程的系统调用，直接缩小攻击面；其他选项与逃逸关联度较低。4.某Web应用使用JWT做会话，下列哪项配置最易导致令牌被伪造？A.将alg设为HS256，密钥长度256bitB.将alg设为none，且服务端未强制校验C.设置exp为当前时间+15分钟D.在payload中加入用户IP绑定答案：B解析：alg=none时，签名部分为空，攻击者可直接篡改payload；若服务端未拒绝无签名令牌，即可伪造任意身份。5.在Windows日志取证中，若要定位“哈希传递”攻击，应优先筛选哪组事件ID？A.4624/4625B.4672/4648C.4768/4769D.4771/4776答案：D解析：4771记录Kerberos预认证失败，4776记录NTLM认证，可发现异常登录与哈希传递痕迹；4768/4769为TGT与ST请求，关联度次之。6.某云函数（Lambda）需访问云数据库，最佳凭证管理方式为：A.将AK/SK硬编码在函数压缩包B.使用函数环境变量明文写入AK/SKC.为函数分配IAM角色，通过STS临时凭证访问D.在函数内调用metadata接口获取主账号AK答案：C解析：IAM角色自动颁发短期临时凭证，无需硬编码，支持最小权限与审计；metadata接口仅适用于EC2，且获取主账号AK风险极高。7.关于SM4分组密码，下列说法正确的是：A.分组长度128位，密钥长度128位，迭代32轮B.分组长度64位，密钥长度128位，迭代16轮C.分组长度128位，密钥长度256位，迭代32轮D.分组长度256位，密钥长度256位，迭代48轮答案：A解析：SM4为国家商用密码标准，固定128位分组与密钥，32轮非平衡Feistel结构，S盒与线性变换均为8×8。8.在iOS逆向中，若要绕过越狱检测，最通用的动态防护方案是：A.修改Info.plist添加UIFileSharingEnabledB.使用Fridahook“stat”函数，对“/bin/bash”返回ENOENTC.重签名ipa并降低最低版本号D.给可执行文件添加PT_DENY_ATTACH答案：B解析：越狱检测常通过stat访问特定路径，Frida可在运行时篡改返回值，通用且无需重打包；PT_DENY_ATTACH用于反调试。9.某企业部署了EDR，发现进程hollow技术，以下哪项指标最能确认？A.进程PID频繁变化B.内存私有可执行页与磁盘映像哈希不一致C.父进程为services.exeD.命令行参数长度超过512字节答案：B解析：进程镂空（ProcessHollowing）会替换内存映像，导致内存页哈希与磁盘文件不匹配；PID不变，父进程与命令行均可伪造。10.在KubernetesRBAC中，若要让用户只能查看default命名空间下的Pod，应创建：A.ClusterRole+ClusterRoleBindingB.Role+RoleBindingC.ClusterRole+RoleBindingD.PodSecurityPolicy答案：B解析：Role与RoleBinding作用域为命名空间级别，符合“仅default”要求；ClusterRoleBinding为集群级，PodSecurityPolicy已废弃。11.某单位收到一封“CEO紧急汇款”邮件，以下哪项技术措施无法直接降低BEC风险？A.部署DMARC并强制p=rejectB.在邮件网关添加“外部发件人”警示横幅C.对财务邮箱启用U2F硬件令牌D.使用自然语言处理模型检测异常措辞答案：C解析：U2F解决的是登录劫持，无法阻止攻击者伪造发件人域名或社工；DMARC可防域名伪造，横幅与NLP可直接提示异常。12.关于TLS1.3的0-RTT，下列哪项说法错误？A.可重放攻击是主要风险B.通过PSK派生早期密钥C.所有HTTP请求都默认开启0-RTTD.服务端可通过anti-replay机制缓解答案：C解析：0-RTT需客户端与服务端同时支持且显式开启，并非默认；重放风险由单次票证与时钟窗口缓解。13.在AndroidAPK加固中，哪项技术对抗动态调试最直接？A.将DEX隐藏到assets目录B.在JNI层调用ptrace(PTRACE_TRACEME)C.使用AES加密字符串常量D.添加gradle混淆规则答案：B解析：ptrace(PTRACE_TRACEME)可防止其他进程附加调试器；DEX隐藏与字符串加密增加静态分析难度，不直接防动态调试。14.某数据库表user(id,name,pass)，若pass字段存储如下值，哪项最符合bcrypt特征？A.5f4dcc3b5aa765d61d8327deb882cf99B.2yC.0x0100A607BA7C54A4D7446D3A3C8F26E8D.3b5fe1485712435bb92b081a215b1c9a答案：B解析：bcrypt哈希以2y、2a、15.某工控场景使用ModbusTCP，若要检测异常功能码，应在哪一层部署探针？A.物理层B.数据链路层C.应用层D.传输层答案：C解析：Modbus功能码属于应用层协议字段，需深度包解析（DPI）才能识别；下层仅能看到以太网帧或TCP段。二、多项选择题（每题3分，共30分）16.以下哪些做法可降低KubernetesAPIServer未授权访问风险？A.关闭匿名认证（--anonymous-auth=false）B.启用NodeRestriction准入控制器C.将APIServer监听端口改为非6443D.为kube-apiserver证书添加SAN字段E.使用RBAC绑定system:anonymous到cluster-admin答案：A、B、D解析：关闭匿名认证与NodeRestriction可直接缩小攻击面；证书SAN保证TLS握手成功，端口修改仅为隐蔽，不解决授权；E为错误配置。17.关于内存马（MemoryShell）特征，正确的有：A.磁盘无落地文件B.可通过JavaAgent技术注入C.重启容器后仍然存活D.在/proc/<pid>/fd目录下一定可见E.可被java.lang.instrument检测答案：A、B、E解析：内存马依托JVM运行时，无文件落地；Agent机制可动态注入；重启进程即消失；/proc/fd不一定暴露；instrumentAPI可枚举Agent。18.以下哪些属于可信计算技术范畴？A.TPM2.0芯片B.IntelSGXC.AMDSEVD.ARMTrustZoneE.AES-NI指令集答案：A、B、C、D解析：TPM、SGX、SEV、TrustZone均提供硬件级可信根与隔离执行；AES-NI仅为加密加速指令，不涉可信度量。19.在SDL流程中，哪些活动应在编码阶段完成？A.静态代码扫描（SAST）B.威胁建模C.依赖库漏洞扫描（SCA）D.渗透测试E.代码审查答案：A、C、E解析：SAST与SCA直接面向源码与依赖；代码审查在编码阶段同步进行；威胁建模在需求与架构阶段；渗透测试在测试或发布阶段。20.以下哪些HTTP响应头可缓解XSS？A.Content-Security-PolicyB.X-Content-Type-OptionsC.X-XSS-ProtectionD.Strict-Transport-SecurityE.Referrer-Policy答案：A、C解析：CSP与X-XSS-Protection直接针对XSS；X-Content-Type-Options防MIME嗅探，HSTS防明文，Referrer-Policy控制引用信息。21.关于国密算法，下列哪些组合可用于数字签名？A.SM2+SM3B.SM2+SHA256C.SM9+SM3D.RSA+SM3E.SM4+SM3答案：A、B、C解析：SM2、SM9为国家密码局认可的公钥算法，可配合SM3或SHA系列；SM4为对称加密，不能用于签名；RSA+SM3无标准定义。22.以下哪些日志源可用于检测DGA域名？A.DNS查询日志B.网络流量NetFlowC.Web访问日志D.TLSSNI字段E.WindowsSysmonEventID22答案：A、B、D、E解析：DNS日志、NetFlow、SNI、Sysmon22均含域名信息；Web日志仅记录HTTPHost，无法覆盖DNS阶段。23.在反爬虫场景中，哪些技术可区分人机？A.行为指纹（鼠标轨迹）B.TLSJA3指纹C.验证码D.IP频率限制E.Honeypot隐藏字段答案：A、B、C、E解析：行为指纹、JA3、验证码、蜜罐字段均面向客户端特征；IP频率属于网络层，易被代理绕过。24.以下哪些属于常见的侧信道攻击？A.时序攻击B.功耗分析C.电磁泄漏D.RowhammerE.Spectre答案：A、B、C解析：时序、功耗、电磁为经典侧信道；Rowhammer为物理位翻转，Spectre为投机执行，属微架构攻击但非传统侧信道。25.在数据脱敏场景，哪些算法可实现可逆脱敏？A.AES-256-GCMB.Format-PreservingEncryptionC.哈希加盐D.令牌化（Tokenization）E.掩码替换答案：A、B、D解析：对称加密与FPE、令牌化均可逆；哈希不可逆，掩码替换丢失原始数据。三、判断题（每题1分，共10分）26.在Windows中，启用LSAProtection后，mimikatz仍可读取NTLMHash。答案：错误解析：LSAProtection（RunAsPPL）将lsass.exe置于受保护进程，mimikatz无法注入读取；需额外驱动漏洞或物理访问。27.HTTP/3基于QUIC，天然具备TLS1.3加密，因此不再需Cookie属性Secure。答案：错误解析：Secure属性确保Cookie仅在加密通道传输，HTTP/3虽强制TLS，但中间层降级或本地代理仍可能明文暴露，需保留。28.使用ChaCha20-Poly1305比AES-GCM在移动端更省电，因为前者纯软件实现无硬件加速。答案：错误解析：ChaCha20在缺少AES-NI的设备上速度更快，但“省电”需综合考量，且现代ARMv8已含AES指令，结论不绝对。29.在Linux中，将/etc/shadow权限改为000，可阻止本地提权漏洞读取哈希。答案：错误解析：root用户不受文件权限限制，本地提权后仍可读取；反而导致合法服务无法认证。30.国密SM2公钥加密算法与ECIES完全兼容，可直接互通。答案：错误解析：SM2基于自研曲线与加密流程，虽类似ECIES，但细节（密钥派生、哈希、编码）不同，无法直接互通。31.使用JSONWebEncryption时，若采用A128GCM算法，则IV长度必须为96位。答案：正确解析：JWE规范（RFC7516）规定GCM模式IV固定12字节（96位），其他长度将拒绝解密。32.在Kubernetes中，PodSecurityPolicy已被PodSecurityStandards替代。答案：正确解析：PSP在v1.21弃用，v1.25移除，官方推荐PodSecurityAdmission或OPA/Gatekeeper。33.将Nginx版本号隐藏server_tokensoff;可彻底防止版本扫描。答案：错误解析：server_tokens仅隐藏响应头，错误页仍可能泄露，且主动探测可通过TCP指纹或特征行为识别。34.使用WireGuard时，所有流量默认经过内核态加密，因此无需再开iptables规则。答案：错误解析：WireGuard仅提供隧道加密，访问控制与NAT仍需iptables/nftables配合。35.在Android13及以上，非系统应用无法获取设备唯一标识IMEI，即使声明READ_PRIVILEGED_PHONE_STATE。答案：正确解析：Android10起限制非特权应用访问IMEI，13进一步强化，仅系统签名或运营商应用可获取。四、简答题（每题10分，共30分）36.描述一次完整的Pass-the-Hash攻击链，并给出Windows与Linux环境各自的检测方案。答案与解析：攻击链：1）信息收集：攻击者通过钓鱼或漏洞获取内网主机权限，利用secretsdump、mimikatz导出内存中的NTLMHash。2）横向移动：使用impacket-psexec或crackmapexec，将Hash注入SMB会话，无需破解密码即可登录其他主机。3）权限提升：在目标主机上再次DumpHash，循环直至获取域管。4）持久化：创建域管账号或GPO后门。Windows检测：•开启WindowsDefenderCredentialGuard，隔离lsass。•配置SysmonEventID4624（登录类型3）与4648（显式凭证），筛选源IP与账户不匹配事件。•使用AdvancedHunting查询LateralMovement：DeviceLogonEvents|whereProtocol=="SMB"andAccountName!=DeviceNameandLogonType==3•部署MicrosoftATA，检测异常Kerberos或NTLM行为。Linux检测：•若通过Samba模拟，监控/var/log/samba/log.smbd，搜索“NT_STATUS_WRONG_PASSWORD”与“NT_STATUS_LOGON_FAILURE”高频来源IP。•使用Auditd监控psexec.py写入的随机服务名：w/usr/sbin/smbd-px-kchmod•网络层：Zeek脚本检测SMBTreeConnect请求中携带的异常ShareName（如ADMIN、C•终端：osquery检测监听445端口的非系统进程，以及/tmp下突然出现的随机名可执行文件。37.某电商网站采用微服务架构，订单服务需调用支付服务，请设计一套零信任mTLS方案，涵盖证书生命周期、轮换、撤销与监控，并说明如何防止证书私钥泄露导致横向移动。答案与解析：1）证书架构：•自建CA：使用HashicorpVaultPKI引擎，根CA离线托管，中间CA在线签发，支持OCSP与CRL。•服务身份：采用SPIFFEID格式：spiffe://shop/order，嵌入证书SAN扩展，避免IP绑定。•短周期：证书有效期24h，自动续期，私钥内存不落盘。2）签发与轮换：•订单服务启动时通过VaultAgentFetch，获取SVID（证书+私钥），通过tmpfs挂载至/run/certs。•采用EnvoySidecar自动热加载，支持SDSAPI，无需重启业务容器。•轮换策略：证书剩余30%生命周期时触发续期，旧证书保留1h缓冲，防止时钟漂移。3）撤销：•Vault支持OCSPstapling，Envoy每5分钟查询一次，若状态revoked则立即断开连接。•紧急撤销：管理员调用Vaultrevoke-leaf，并推送CRL至所有Sidecar，CRL更新延迟<1min。4）监控：•Prometheus采集Envoy指标：envoy_cluster_ssl_fail_verify_cert_hash、envoy_vault_v2_secret_lease_expiration_time。•日志：Sidecar输出TLS握手失败原因，Fluent-bit解析后送入ELK，告警规则：x509_cert_verify_failed>10次/5min。5）防私钥泄露：•私钥仅驻留内存，使用mlock系统调用防止swap；进程崩溃时内核清零。•采用IntelSGXEnclave保存私钥，握手在Enclave内完成，即使容器逃逸也无法读取。•若检测到异常（如CoreDump），Vault立即吊销该SPIFFEID，并触发Pod重建，Istio自动隔离旧证书。•网络层：Calico策略限制订单服务仅可访问支付服务9443端口，即使证书泄露也无法横向扫描。38.说明如何在AWS多云账号环境中，利用IAMRolesAnywhere实现本地IDC服务器无AK/SK访问云资源，并给出临时凭证链的每一层签名过程与审计方案。答案与解析：1）架构：•本地服务器安装AWSIAMRolesAnywhere客户端，持有X.509证书（由企业CA签发，私钥HSM保护）。•创建TrustAnchor（AWS端导入CA证书），Profile绑定RoleARN与可选SessionPolicy。2）签名过程：①客户端构造CreateSession请求：URL:/Method:POSTHeaders:X-Amz-Date:20240618T120000ZX-Amz-Certificate-Arn:arn:aws:rolesanywhere:us-east-1:111111111111:trust-anchor/TA-123Body:{“durationSeconds”:3600,“roleArn”:“arn:aws:iam::111111111111:role/IDCReadOnly”}②使用客户端私钥对HTTP请求做SIGv4签名，算法为RSA-PSS-SHA256，签名作用域为“rolesanywhere”服务。③RolesAnywhere服务端使用TrustAnchor公钥验签，验证证书链与CRL，通过后调用STSAssumeRole，返回临时凭证：AccessKeyId:ASIA...SecretAccessKey:wJalr...SessionToken:IQoJb3JpZ2luX2VjEHYa...④客户端使用临时凭证调用S3:GetObject，签名过程遵循标准SIGv4。3）审计：•CloudTrail记录RolesAnywhereCreateSession事件，包含证书指纹、TrustAnchorID、源IP、请求ID。•在OrganizationTrail中开启跨账号聚合，通过Athena查询：SELECT*FROMcloudtrailWHEREeventName='CreateSession'ANDrequestParameters.roleArnLIKE'%IDCReadOnly%'ANDsourceIPAddressNOTIN(SELECTipFROMapproved_ip_list)•配置EventBridge规则，若同一证书5min内请求>10次，则触发Lambda吊销该证书（调用PCARevokeCertificate），并通知SNS。五、综合应用题（共30分）39.背景：某金融公司计划上线开放API，暴露/user/balance接口，需支持APP、H5、第三方合作方调用。安全团队提出以下要求：1）防参数篡改；2）防重放；3）防中间人；4）第三方合作方最小权限；5）国密合规。请给出端到端技术方案，包括加密、签名、密钥管理、网络、监控，并给出Java示例代码片段（仅关键逻辑），以及错误处理与降级策略。答案与解析：1）加密与签名：•传输层：强制TLS1.3，双向认证，服务端证书采用国密SM2双证书（签名+加密），客户端证书对第三方签发RSA或SM2。•应用层：敏感字段使用SM4-CBC加密，签名算法SM3withSM2，遵循《GM/T0009-2012》。•报文格式：JSON→Base64(SM4(明文))→封装为JWE-like结构，签名覆盖URI、时间戳、nonce、body。2）防重放：•时间窗120s，nonce一次性表使用RedisSETEX，key=nonce，value=1，TTL120s。•合作方需同步NTP，误差>30s拒绝。3）密钥管理：•服务端SM4密钥每日轮换，通过KMS（国密版）加密存储，API网关启动时拉取并缓存于内存，不落盘。•第三方RSA公钥通过JWKSendpoint暴露，支持X.509或JWK格式；私钥自行保管，建议使用HSM。4）网络：•外部流量经WAF（支持国密套件）→API网关→内网负载均衡；内网服务间采用Istio+mTLS（SM2双证书）。•合作方白名单：IP+ClientCertificate双重校验；APP端使用证书固定（CertificatePinning）。5）授权：•OAuth2.1+细粒度Scope，如balance:read，绑定合作方ID与AppID；JWT使用SM2签名，exp=30s。•对合作方采用“令牌化”模式，返回的balance字段为Token（随机UUID），真实值需二次兑换，降低泄露风险。6）Java关键代码（服务端Filter）：```javapublicclassGmGatewayFilterextendsOncePerRequestFilter{privatestaticfinalCipherPoolSM4_POOL=newCipherPool("SM4/CBC/PKCS7Padding");privatefinalRedisTemplate<String,String>redis;privatefinalBCECPublicKeyclientPubKey;//第三方SM2公钥protectedvoiddoFilterInternal(HttpServletRequestreq,HttpServletResponseresp,FilterChainchain)throwsServletException,IOException{Stringuri=req.getRequestURI();Stringtimestamp=req.getHeader("X-Time