2025年网络安全专业技能竞赛试题及答案

2025年网络安全专业技能竞赛试题及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填在括号内）1.在TLS1.3握手过程中，用于实现前向保密的核心机制是（）A.RSA密钥传输B.静态DH密钥协商C.EphemeralDH密钥协商D.预共享密钥PSK答案：C2.下列关于IPv6扩展首部的说法，正确的是（）A.扩展首部必须出现在基本首部之前B.逐跳选项扩展首部可以被中间路由器修改C.目的选项扩展首部只能出现在目的节点D.路由扩展首部的剩余段数字段占32位答案：B3.某企业采用零信任架构，其身份认证策略中“持续信任评估”环节主要依赖的技术是（）A.单次登录SSOB.多因素认证MFAC.行为分析UEBAD.静态访问控制列表ACL答案：C4.在WindowsServer2022中，启用CredentialGuard后，Lsass进程将敏感凭据保存在（）A.内核模式虚拟安全模式VSM隔离区B.注册表HKLM\SECURITYC.本地安全策略缓存D.Wdigest.dll内存空间答案：A5.针对Log4j2漏洞（CVE202144228），下列缓解措施最早由Apache官方发布的是（）A.设置系统属性log4j2.formatMsgNoLookups=trueB.升级至2.17.0C.删除JndiLookup类D.使用WAF阻断${jndi:ldap://答案：A6.在Linux内核中，用于限制进程对文件系统访问的安全机制是（）A.SELinuxB.seccompC.capabilitiesD.AppArmor答案：D7.使用Scapy发送SYNFlood攻击时，若需伪造大量源IP且保证可达性，最可能配合的协议是（）A.ICMPB.BGPC.ARPD.IPsec答案：C8.在PKI体系中，OCSPStapling主要解决了（）A.根证书更新延迟B.OCSP响应者隐私泄露C.客户端验证性能瓶颈D.中间人伪造证书答案：C9.某云函数（Lambda）因误将AccessKey硬编码在代码仓库中导致泄露，最佳应急第一步是（）A.立即删除仓库历史记录B.禁用对应IAM用户/角色C.轮换所有用户密码D.启用CloudTrail日志答案：B10.根据GDPR第33条，数据控制者发生个人数据泄露后，原则上应向监管机构报告的时限为（）A.24小时B.48小时C.72小时D.7天答案：C11.在Android13中，防止应用程序在后台访问剪贴板的控制机制属于（）A.权限模型B.前台服务限制C.隐私仪表板D.剪贴板访问通知答案：B12.使用Wireshark分析流量时，显示过滤器“tcp.analysis.retransmission”用于筛选（）A.SYN重传B.TCP重传段C.重复ACKD.窗口满零答案：B13.在NISTSP800207零信任架构中，策略引擎PE与策略管理员PA之间的接口协议建议使用（）A.SAMLB.OpenIDConnectC.HTTPS+JSOND.gRPCoverTLS答案：D14.针对蓝牙BLE配对过程中“JustWorks”模式的主要攻击方式是（）A.中间人攻击B.重放攻击C.密钥混淆攻击D.反射攻击答案：A15.在容器安全中，AppArmor的默认配置文件位于（）A./etc/apparmor.d/B./var/lib/apparmor/C./sys/kernel/security/apparmor/D./usr/share/apparmor/答案：A16.某企业采用AESGCM加密云存储对象，若随机数Nonce重复使用，最直接的后果是（）A.密钥泄露B.明文可被完全还原C.完整性失效且可伪造密文D.加密性能下降答案：C17.在MITREATT&CK框架中，T1548.002指（）A.进程注入B.滥用高完整性权限C.绕过用户访问控制D.计划任务答案：B18.使用OWASPZAP进行API安全测试时，默认用于解析OpenAPI规范的插件是（）A.openapiB.swaggerC.ascanrulesD.soap答案：A19.在Windows事件日志中，成功登录类型为3表示（）A.交互式登录B.网络登录C.批处理登录D.服务登录答案：B20.下列关于同态加密的说法，正确的是（）A.RSA属于全同态加密B.CKKS方案支持浮点数近似计算C.BFV方案支持任意布尔电路D.全同态加密已具备商用级性能答案：B21.在Kubernetes中，防止容器突破宿主机内核的强制访问控制机制是（）A.NetworkPolicyB.PodSecurityPolicyC.SeccompD.SELinux答案：D22.使用Hashcat破解WindowsNTLM哈希时，若采用规则引擎“best64.rule”，其规则数量是（）A.64B.128C.512D.1024答案：A23.在SNMPv3中，提供认证和加密的安全级别是（）A.noAuthNoPrivB.authNoPrivC.authPrivD.privNoAuth答案：C24.某网站使用HSTS，maxage=31536000且includeSubDomains，浏览器首次访问时未收到该头，后续访问子域名（）A.仍强制HTTPSB.不强制HTTPSC.由浏览器预加载列表决定D.由OCSP决定答案：C25.在Linux中，使用auditd监控/etc/shadow文件被写的事件，需添加的规则类型为（）A.w/etc/shadowprB.w/etc/shadowpwaC.w/etc/shadowpxD.aalways,exitFarch=b64Sopen答案：B26.针对DNS隧道检测，下列统计特征最有效的是（）A.域名长度熵值B.响应码NXDOMAIN比例C.查询类型AAAA占比D.TTL平均值答案：A27.在iOS16中，锁定模式（LockdownMode）会禁用的功能是（）A.JIT编译的JavaScriptB.FaceIDC.iMessage加密D.无线充电答案：A28.使用BloodHound分析AD域时，标记“HighValueTargets”默认不包括（）A.DomainAdminsB.EnterpriseAdminsC.PrintOperatorsD.DNSAdmins答案：C29.在SQL注入中，使用“WITHROLLUP”语句可获取（）A.数据库版本B.列名C.总行数D.超级管理员密码答案：C30.在RSA加密中，若公钥指数e=3且明文m=4，模数n=35，则密文c为（）A.9B.14C.29D.30答案：B二、多项选择题（每题2分，共20分。每题有两个或以上正确答案，多选、少选、错选均不得分）31.以下哪些属于常见的侧信道攻击方式（）A.功耗分析B.电磁泄漏C.时间差异D.缓存命中答案：ABCD32.在KubernetesRBAC中，以下动词可对Secret资源进行敏感操作（）A.getB.listC.createD.patch答案：ABCD33.关于HTTP/3协议，下列说法正确的是（）A.基于QUICB.默认端口443/UDPC.支持0RTTD.强制使用TLS1.3答案：ABCD34.以下哪些技术可用于防御CSRF攻击（）A.SameSiteCookieB.验证码C.自定义请求头D.随机Token答案：ABCD35.在Windows日志中，事件ID4625可记录的失败登录类型包括（）A.未知用户名B.密码错误C.账户被锁定D.时间限制答案：ABCD36.以下哪些算法属于后量子密码学候选算法（）A.CRYSTALSKYBERB.FalconC.RSA4096D.SPHINCS+答案：ABD37.使用GPG对称加密时，可选择的加密算法有（）A.AES256B.TWOFISHC.CAMELLIA256D.IDEA答案：ABCD38.在Linux中，以下文件与SSH公钥认证相关（）A.~/.ssh/authorized_keysB./etc/ssh/sshd_configC./etc/ssh/ssh_host_rsa_keyD.~/.ssh/known_hosts答案：AB39.以下哪些属于OWASPAPISecurityTop10(2023)风险（）A.BrokenObjectLevelAuthorizationB.LackofResources&RateLimitingC.UnsafeConsumptionofAPIsD.UsingComponentswithKnownVulnerabilities答案：ABCD40.在容器镜像扫描中，可检测的漏洞来源包括（）A.OS包管理器B.语言级依赖C.基础镜像D.自定义二进制答案：ABCD三、填空题（每空1分，共20分）41.在TLS1.3中，用于实现0RTT的扩展称为________。答案：EarlyData42.使用nmap进行SYN扫描时，默认发送的探测包标志位为________。答案：SYN43.在Windows中，用于查看当前登录用户SID的命令是________。答案：whoami/user44.在Linux中，用于限制进程系统调用的机制是________。答案：seccomp45.在PKI中，CRL的下一更新字段使用的时间格式为________。答案：UTCTime或GeneralizedTime46.在Kubernetes中，NetworkPolicy的隔离模型默认是________。答案：拒绝所有（DenyAll）47.在SNMPv3中，用户认证协议HMACMD5的标识符为________。答案：..1.248.使用Hashcat的掩码攻击时，表示小写字母的掩码字符为________。答案：?l49.在iOS越狱检测中，常检查的私有API文件路径为________。答案：/Applications/Cydia.app50.在AES算法中，密钥长度为256位时，轮数为________。答案：1451.在Windows事件日志中，清除日志的事件ID为________。答案：110252.在BGP安全中，用于验证路由源授权的协议简称为________。答案：ROA53.在Dockerfile中，用于创建非特权用户的指令为________。答案：USER54.在OWASPTop102021中，A02类别名称是________。答案：CryptographicFailures55.在Linux中，查看当前系统所有capabilities的命令是________。答案：getcapr/2>/dev/null56.在RSA签名中，PKCS1v1.5的填充类型为________。答案：EMSAPKCS1v1_557.在HTTP响应头中，用于控制浏览器是否可嵌入iframe的头字段为________。答案：XFrameOptions58.在Kubernetes中，Pod安全策略（已废弃）的替代机制为________。答案：PodSecurityStandards59.在WiFi6中，用于防止密码暴力破解的增强开放认证简称为________。答案：OWE60.在Python中，使用secrets模块生成32字节安全随机十六进制字符串的函数为________。答案：secrets.token_hex(32)四、简答题（每题6分，共30分）61.简述TLS1.3与TLS1.2在握手延迟上的差异，并说明1.3如何实现1RTT握手。答案：TLS1.2完整握手需2RTT：ClientHello→ServerHello→Certificate→ServerHelloDone→ClientKeyExchange→ChangeCipherSpec→Finished。TLS1.3将密钥协商与加密应用数据合并，第一次握手即发送加密扩展，并在ServerHello后立即发送EncryptedExtensions与Certificate，省去等待ClientKeyExchange步骤，实现1RTT。若客户端缓存了服务器配置，还可通过PSK实现0RTT。62.说明Kubernetes中Secret以Base64编码存储带来的风险，并给出三种加固方案。答案：Base64仅为编码，非加密，任何获得etcd读取权限者可直接还原明文。加固：1.启用etcd静态加密（aescbc或kmsprovider）；2.使用外部密钥管理服务（如AWSKMS、AzureKeyVault）进行信封加密；3.启用RBAC最小权限并开启auditlog，禁止listsecrets权限；4.使用SealedSecret或VaultOperator将敏感数据独立于集群存储。63.描述针对SM4加密算法的差分故障攻击基本流程，并指出其关键假设。答案：攻击者在加密最后几轮注入精确故障，使中间状态发生单字节错误；通过对比正确与错误密文，推导轮密钥差异；重复多次可恢复完整轮密钥。关键假设：攻击者可在物理设备上引入可控、可重复的单比特/单字节故障，且可获取对应错误密文。64.说明WindowsDefenderApplicationControl（WDAC）与AppLocker的核心区别，并给出适用场景。答案：WDAC基于内核级代码完整性（CI）驱动，支持驱动级阻止、哈希/签名/文件属性多重规则，适用于Win101903+及Server2022，可阻止内核代码；AppLocker为用户态，规则粒度到Publisher、路径、哈希，仅支持EXE、DLL、脚本等用户态文件，适用于旧版系统。高安全场景（如金融终端）选WDAC；轻量级应用控制选AppLocker。65.解释什么是“影子API”（ShadowAPI），并给出企业级治理流程。答案：影子API指未经正式登记、文档化即部署上线的API，常因迭代快速、文档滞后产生，导致资产盲区。治理流程：1.通过API流量镜像、主机探针、网关日志持续发现未知端点；2.建立API目录与生命周期管理平台（如42Crunch、Noname）；3.强制CI/CD门禁，代码合并前自动扫描OpenAPI规范并注册；4.每季度进行API资产盘点与废弃下线；5.将发现与注册纳入KPI，未注册API禁止公网暴露。五、综合应用题（共50分）66.日志分析与入侵检测（15分）背景：某Web服务器访问日志片段如下（已脱敏）：```5[15/Jul/2025:14:32:11+0000]"GET/login.php?id=1'+UNION+SELECT+1,2,3+HTTP/1.1"200512"""Mozilla/5.0(compatible;AttackBot/1.0)"5[15/Jul/2025:14:32:12+0000]"POST/login.phpHTTP/1.1"302456"/login.php""Mozilla/5.0(compatible;AttackBot/1.0)"5[15/Jul/2025:14:32:13+0000]"GET/admin/dashboard.phpHTTP/1.1"2002341"""Mozilla/5.0(compatible;AttackBot/1.0)"```（1）指出攻击者利用的漏洞类型与具体参数。（2）说明攻击者如何绕过可能的WAF。（3）给出三条针对该攻击的实时阻断策略（含具体配置或规则）。答案：（1）UnionbasedSQL注入，参数为id，payload：1'UNIONSELECT1,2,3+（2）使用大小写混合、URL双编码、注释符混淆（如//代替空格）可绕过基于签名的WAF。（3）a.ModSecurityCRS规则：SecRuleARGS:id"@rxunion.select""id:942130,phase:2,block,msg:'SQLInjectionAttack'"b.Nginx+Lua：在access_by_lua_block中检查ngx.var.arg_id是否匹配unionselect，匹配则返回403。c.数据库层：为应用账户撤销SELECT权限，仅授予存储过程执行权限，使union查询失效。67.加密协议设计（15分）某物联网设备资源受限，需设计一轻量级密钥协商协议，要求：1.前向保密；2.抗中间人；3.计算量<1s（MCU48MHz）。（1）给出协议名称与核心算法选型。（2）画出三消息交互图（含算法与密钥衍生）。（3）列出密钥衍生函数KDF的输入参数与输出长度。答案：（1）选型：ECDHEX25519+HMACSHA256+AES128CCM（2）Device→Server:ECDHE_X25519_Pub_Device||nonce_DServer→Device:ECDHE_X25519_Pub_Server||nonce_S||AESCCM(Server_MAC)Device→Server:AESCCM(Device_MAC)共享密钥：KDF(ECDH(Pub_Server,Priv_Device),nonce_D||nonce_S,"IoTKey",16字节)（3）KDF输入：共享密钥32字节、上下文nonce_D||nonce_S16字节、标识符"IoTKey"7字节；输出：16字节会话密钥。68.云原生应急响应（20分）场景：某EKS集群发现异常Pod不断扫描内网Redis，集群已启用CalicoCNI、AWSGuardDuty、Falco。（1）给出定位恶意Pod的详细步骤（含命令与过滤条件）。（2）说明如何在不中断业务前提下隔离该Pod。（3）列出需收集的取证数据及对应获取命令。（4）给出后续防止横向移动的三条架构级改进。答案：（1）a.kubectlgetpodsallnamespacesowide