2025年全国大学生网络安全知识竞赛经典题库及答案

2025年全国大学生网络安全知识竞赛经典题库及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2021年12月，ApacheLog4j2被披露的漏洞编号是（）。A.CVE202144228  B.CVE20213156  C.CVE202134527  D.CVE202126855答案：A2.在Windows1020H2及以上版本，默认启用可阻止勒索软件加密用户文档的防护机制名称是（）。A.WindowsSandbox  B.ControlledFolderAccess  C.CredentialGuard  D.DeviceGuard答案：B3.以下哪条命令可直接查看Linux系统当前已加载的内核模块？（）A.lsmod  B.lsusb  C.lspci  D.modprobel答案：A4.关于国密算法SM2、SM3、SM4，下列说法正确的是（）。A.SM2是分组密码算法  B.SM3输出长度为256bit  C.SM4密钥长度为192bit  D.SM2基于椭圆曲线离散对数难题答案：D5.在TLS1.3握手过程中，用于实现前向保密的核心机制是（）。A.RSA密钥传输  B.静态DH  C.EphemeralDH  D.CBC模式答案：C6.利用“HTTP请求走私”攻击时，通常需恶意利用以下哪种头部字段差异？（）A.ContentLength与TransferEncoding  B.Host与XForwardedHostC.UserAgent与Server  D.Accept与AcceptEncoding答案：A7.2022年6月，国内某大型出行平台被审查的关键法律文件是（）。A.《网络安全法》  B.《数据安全法》  C.《个人信息保护法》  D.《密码法》答案：B8.在Android12中，限制应用读取设备标识符的新增权限是（）。A.READ_DEVICE_ID  B.READ_PRIVILEGED_PHONE_STATE  C.READ_PHONE_NUMBERS  D.READ_IMEI答案：B9.以下哪种技术可有效防御DNS劫持且支持加密查询？（）A.DNSSEC  B.DoH  C.SPF  D.DMARC答案：B10.在Metasploit中，用于生成Python反向Shellpayload的命令是（）。A.msfvenompcmd/unix/reverse_python  B.msfvenomppython/meterpreter/reverse_tcpC.msfvenomppython/shell_reverse_tcp  D.msfvenompcmd/windows/reverse_python答案：C11.关于零信任架构，错误的是（）。A.默认信任内网流量  B.以身份为基石  C.动态访问控制  D.持续信任评估答案：A12.在MySQL5.7中，利用“LOAD_FILE”读取文件成功的前提条件不包括（）。A.文件对数据库进程可读  B.secure_file_priv为空  C.用户有FILE权限  D.文件小于1MB答案：D13.以下哪项不属于软件供应链安全检测工具？（）A.Snyk  B.OWASPDependencyCheck  C.Jenkins  D.SonatypeNexusIQ答案：C14.在IPv6中，用于实现无状态地址自动分配的协议是（）。A.DHCPv6  B.SLAAC  C.NDProxy  D.RouterSolicitation答案：B15.当利用“心脏出血”漏洞获取内存数据时，攻击者主要发送的TLS扩展类型是（）。A.ServerName  B.Heartbeat  C.SessionTicket  D.RenegotiationInfo答案：B16.在Windows日志中，事件ID4624表示（）。A.账户登录失败  B.账户成功登录  C.权限提升  D.对象访问答案：B17.以下哪种算法被公认为可抵抗量子计算Shor算法攻击？（）A.RSA4096  B.ECDSAP384  C.Kyber  D.AES256答案：C18.在Kubernetes中，默认允许容器以root身份运行的安全上下文属性是（）。A.runAsNonRoot:true  B.allowPrivilegeEscalation:false  C.runAsUser:0  D.readOnlyRootFilesystem:true答案：C19.关于“同源策略”，正确的是（）。A.端口不同仍算同源  B.协议不同仍算同源  C.域名必须完全一致  D.子域默认共享cookie答案：C20.在Wireshark过滤器中，筛选所有TCP标志位SYN置1且ACK置0的表达式是（）。A.tcp.flags==0x002  B.tcp.flags.syn==1andtcp.flags.ack==0C.tcp.syn==1&&tcp.ack==0  D.tcp.flagseq0x12答案：B21.国内等保2.0标准中，第三级系统要求每年至少开展几次等级测评？（）A.1  B.2  C.3  D.4答案：A22.在iOS16中，锁定模式下将自动丢弃哪种格式的消息附件？（）A.PDF  B.JPEG  C.GIF  D.Passbook答案：A23.利用“DirtyPipe”漏洞（CVE20220847）可实现（）。A.远程代码执行  B.本地权限提升  C.拒绝服务  D.SQL注入答案：B24.以下哪项不是NISTSP80053控制措施族？（）A.AU  B.CM  C.PS  D.ZX答案：D25.在ARMv8架构下，开启PXN（PrivilegedExecuteNever）可缓解（）。A.缓冲区溢出  B.提权shellcode执行  C.侧信道  D.格式化字符串答案：B26.当使用“githooks”实现供应链投毒时，攻击者最可能修改的文件路径是（）。A..git/hooks/precommit  B..git/config  C..gitignore  D..git/FETCH_HEAD答案：A27.在云计算责任共担模型中，由客户负责的是（）。A.虚拟化层漏洞  B.物理机房安全  C.镜像操作系统补丁  D.底层存储介质故障答案：C28.关于“差分隐私”，正确的是（）。A.加入确定性噪声  B.保证任意两条记录查询结果不可区分  C.需公开原始数据  D.仅适用于图像答案：B29.在Python3.9中，可安全替代pickle进行序列化的模块是（）。A.json  B.yaml  C.shelve  D.marshal答案：A30.2023年3月，微软签发的“POODLE”漏洞补丁主要关闭的SSL版本是（）。A.SSLv2  B.SSLv3  C.TLS1.0  D.TLS1.1答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于社会工程学常见手段？（）A.鱼叉钓鱼  B.垃圾搜寻  C.预文本  D.水坑攻击答案：ABC32.在Linux系统中，可用来实现强制访问控制（MAC）的机制有（）A.SELinux  B.AppArmor  C.iptables  D.TOMOYO答案：ABD33.以下哪些HTTP响应头可缓解XSS攻击？（）A.XContentTypeOptions  B.XXSSProtection  C.ContentSecurityPolicy  D.StrictTransportSecurity答案：BC34.关于量子密钥分发（QKD），正确的是（）A.基于量子不可克隆定理  B.可实现信息论安全  C.依赖计算复杂性假设  D.需要专用光纤答案：ABD35.在Android反调试技术中，常用的检测项包括（）A.TracerPid  B.android:debuggable  C.timecheck  D.breakpointinstruction答案：ABCD36.以下哪些工具支持对容器镜像进行漏洞扫描？（）A.Clair  B.Anchore  C.kubebench  D.Trivy答案：ABD37.关于GDPR，数据主体享有的权利有（）A.访问权  B.删除权（被遗忘权）  C.可携带权  D.拒绝自动化决策权答案：ABCD38.在WiFi6中，提升安全性的新特性包括（）A.WPA3SAE  B.OWE  C.802.11w  D.TPC答案：ABC39.以下哪些属于常见的侧信道攻击？（）A.时序攻击  B.功耗分析  C.电磁泄漏  D.彩虹表答案：ABC40.在Python代码审计中，可导致命令注入的函数有（）A.os.system  B.subprocess.call(shell=True)  C.eval  D.exec答案：AB三、填空题（每空2分，共20分）41.在OpenSSL中，查看版本号的命令是openssl________。答案：version42.国内《个人信息保护法》自________年11月1日起施行。答案：202143.在Windows中，用于强制删除正在运行文件的命令行工具是________。答案：handle（或PendMoves，标准答案handle）44.在Linux下，赋予文件不可变属性使用的命令是chattr________。答案：+i45.在SQL注入中，如果过滤了空格，可用________符号替代空格（写一个即可）。答案：//（或括号、制表符、换行，任填其一）46.在Kubernetes中，默认用于服务发现的DNS插件名称是________。答案：CoreDNS47.在ARM汇编中，用于实现系统调用的指令是________。答案：svc（或swi，旧版）48.在Nmap中，参数________可启用NSE脚本暴力破解telnet。答案：scripttelnetbrute49.在Git中，用于验证提交者身份的GPG签名命令参数是gitcommit________。答案：S50.在IPv6地址2001:db8::1/64中，前缀长度为________位。答案：64四、判断题（每题1分，共10分。正确打“√”，错误打“×”）51.TLS1.3允许使用CBC模式加密数据。（）答案：×52.在Android13中，应用访问照片库必须声明新的READ_MEDIA_IMAGES权限。（）答案：√53.“震网”病毒利用了Windows快捷方式漏洞（CVE20102568）进行传播。（）答案：√54.SHA1目前仍可安全用于数字签名。（）答案：×55.在Linux中，设置umask027后，新建目录默认权限为750。（）答案：√56.量子计算机可在多项式时间内破解AES256。（）答案：×57.在iOS越狱环境下，App仍受Sandbox机制限制。（）答案：√58.使用JWT时，将算法设为“none”可导致任意伪造令牌。（）答案：√59.在Windows中，关闭SMBv1服务可彻底阻止“永恒之蓝”利用。（）答案：√60.在等保2.0中，云计算扩展要求将“镜像快照”列为重要客体。（）答案：√五、简答题（封闭型，每题6分，共30分）61.简述心脏出血（Heartbleed）漏洞的原理并给出修复方案。答案：原理：TLS心跳扩展实现未对payload长度做边界检查，攻击者构造异常length字段，服务器返回越界内存数据，导致私钥、cookie等泄露。修复：1.升级OpenSSL至1.0.1g或更高；2.重新生成私钥与证书；3.强制用户重登并更换cookie；4.启用PerfectForwardSecrecy。62.说明国密算法SM4与AES128在结构上的两点主要区别。答案：1.SM4采用非平衡Feistel结构，AES为SPN结构；2.SM4密钥扩展使用固定参数FK、CK，AES使用轮常数Rcon且与密钥长度相关。63.概述零信任架构中“持续信任评估”的实现技术。答案：通过SIEM收集多源日志，利用UEBA建立行为基线，实时计算风险评分；当评分超过阈值，触发动态访问控制引擎，强制二次认证或降级权限。64.给出Kubernetes中防止容器逃逸的三条配置建议。答案：1.设置securityContextreadOnlyRootFilesystem:true；2.禁止privileged:true并关闭allowPrivilegeEscalation；3.启用PodSecurityPolicy或OPAGatekeeper限制危险capability。65.简述差分隐私中“隐私预算ε”的含义及其大小对数据可用性的影响。答案：ε表示隐私保护强度，ε越小噪声越大，隐私保护越强，查询结果可用性越低；反之ε越大噪声越小，可用性提高但隐私保护减弱。六、简答题（开放型，每题10分，共30分）66.结合实例，论述软件物料清单（SBOM）在供应链安全中的作用与落地难点。答案：作用：快速定位漏洞影响范围，如Log4j事件企业通过SBOM秒级筛查受影响组件；合规输出给政府或下游客户。难点：1.闭源软件成分识别难；2.多层级依赖追踪难；3.更新频率高导致SBOM时效性差；4.厂商商业机密顾虑；5.缺乏统一格式与签名验证机制。解决：采用SPDX/CycloneDX标准，CI/CD自动扫描，加密签名SBOM，建立共享平台。67.量子计算对现有PKI体系的威胁与应对策略。答案：威胁：Shor算法可在多项式时间分解大整数、解离散对数，RSA/ECDSA失效；Grover算法降低对称密钥强度约一半。应对：1.部署抗量子算法（CRYSTALSKyber、Dilithium）替换现有密钥交换与签名；2.采用混合证书（传统+抗量子）过渡；3.增加密钥长度（AES256）；4.研究量子随机数源增强不可预测性；5.建立加密敏捷性框架，实现算法热插拔。68.请设计一个面向中小企业的“云端”一体化数据防泄漏（DLP）方案，包括技术架构、关键控制点与合规对标。答案：架构：1.端点部署轻量级Agent，监控USB、剪切板、截屏；2.SaaSDLP网关代理企业微信、钉钉、邮箱外发通道；3.云存储（OSS/S3）集成ServersideDLP，扫描上传对象；4.统一管控平台基于标签与正则策略集中管理。控制点：1.事前分类分级，自动打标签；2.事中阻断/审计，OCR识别图片敏感字；3.事后水印追溯，泄露文件可定位员工ID；4.UEBA异常下载预警。合规：对标《个人信息保护法》第51条、《数据安全法》第27条，输出审计报告满足等保2.0三级要求；加密采用国密SM4，密钥托管在KMS并通过密码产品认证。七、应用题（综合类，共40分）69.渗透测试实战（20分）场景：某电商站点使用HTTPS，登录接口为POST/api/login，参数为{"user":"admin","pass":"123456"}。测试者发现服务器返回SetCookie:PHPSESSID=abc;HttpOnly;SameSite=Lax。（1）给出至少两种可能绕过SameSite=Lax限制的攻击场景。（6分）（2）若站点同时开启CSP:defaultsrc'self'，请写出一种可加载外部JavaScript的绕过思路。（4分）（3）假设服务器使用JWTaccesstoken，签名算法为RS256，公钥可通过/jwks.json获取。请写出伪造任意用户身份的攻击步骤与关键Payload。（10分）答案：（1）场景A：找到同主站任意GET型XSS，诱导已登录用户访问，浏览器在顶级导航发送GET请求携带Cookie；场景B：利用子域下上传文件形成恶意HTML，通过子域发起请求，SameSite=Lax允许顶级导航。（2）寻找站点引用的JSONP接口，构造callback=;利用JSONP注入脚本，CSPdefaultsrc'self'允许同域JS。（3）步骤：1.下载jwks.json获取公钥；2.将JWTheader中alg改为HS256；3.使用公钥作为HS256对称密钥，对token重新签名；4.发送伪造token。Payload示例：header={"alg":"HS256","typ":"JWT"}payload={"sub":"admin","exp":9999999999}key=公钥n值（Base64url解码后原始字节）签名=HMAC_SHA256(base64url(header)+'.'+base64url(payload),key)70.日志分析（10分）给出一段Linuxaudit日志：type=SYSCALLmsg=audit(1234567890.123:45):arch=c000003esyscal