2025年网络安全专业知识考试试题及答案

2025年网络安全专业知识考试试题及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在TLS1.3握手过程中，用于实现前向安全性的密钥交换机制是（）A.RSA静态密钥交换B.ECDHE临时密钥交换C.DH静态密钥交换D.PSKonly模式答案：B2.以下哪一项最能准确描述“零信任”模型的核心原则（）A.默认放行内网流量B.默认拒绝所有访问请求C.仅对互联网侧流量进行身份验证D.以防火墙边界为信任锚点答案：B3.在Linux内核中，用于强制限制进程系统调用范围的机制是（）A.SELinuxMACB.seccompbpfC.AppArmorD.capabilities答案：B4.针对JSONWebToken（JWT）的“none”算法攻击，其利用的漏洞本质是（）A.对称密钥泄露B.算法混淆导致签名验证被绕过C.椭圆曲线随机数重用D.时间戳过短答案：B5.在IPv6中，用于替代ARP进行地址解析的协议是（）A.NDPB.ICMPv6EchoC.DHCPv6D.MLD答案：A6.以下哪条命令可最快速定位Windows系统中存在弱ACL的目录（）A.icaclsC:\/verifyB.accesschkuwdqsUsersC:\C.caclsC:\/tD.attrib/s/d答案：B7.在OWASPTop102021版中，排名首次进入前三的新增风险类别是（）A.失效的访问控制B.加密失败C.服务端请求伪造（SSRF）D.不安全设计答案：D8.使用AESGCM模式进行加密时，如果Nonce被重复，最可能导致的后果是（）A.明文被立即泄露B.密钥被完全破解C.认证密钥泄露并造成伪造风险D.密文长度异常答案：C9.在Kubernetes中，可限制容器在节点上以root身份运行的安全策略对象是（）A.NetworkPolicyB.PodSecurityPolicy/PodSecurityStandardsC.ServiceAccountD.LimitRange答案：B10.针对BGP协议的路由劫持检测，最常用且已标准化的防护技术是（）A.RPKIROVB.BGPMD5C.BGPTTLSecurityD.BGPLS答案：A11.在Windows日志中，事件ID4624对应的登录类型“3”表示（）A.交互式登录B.网络登录（SMB等）C.批处理登录D.远程桌面登录答案：B12.以下关于SM4分组密码算法描述正确的是（）A.分组长度128位，密钥长度128位B.分组长度256位，密钥长度128位C.分组长度128位，密钥长度256位D.分组长度64位，密钥长度128位答案：A13.在ARMv8架构下，启用指针认证（PAC）功能主要防御的攻击面是（）A.缓存时序攻击B.ROP/JOPC.侧信道MeltdownD.电压故障注入答案：B14.当使用Wireshark分析QUIC流量时，默认情况下无法直接解密的原因是（）A.使用了ECB模式B.握手包使用了DH匿名密钥交换C.1RTT密钥派生缺少明文输入D.初始包使用盐值加密，需获取盐值或密钥日志答案：D15.在Python中，以下哪段代码可有效防止pickle反序列化命令执行（）A.使用pickle.HIGHEST_PROTOCOLB.重写Unpickler.find_class并限制模块C.使用base64编码后再pickleD.使用json替代pickle答案：B16.在CI/CD流水线中，为防止恶意PR窃取密钥，最佳实践是（）A.将密钥硬编码在DockerfileB.对PR触发使用只读仓库密钥C.关闭PR触发器D.使用自托管runner并共享缓存答案：B17.以下关于DNSoverHTTPS（DoH）描述错误的是（）A.基于HTTPS端口443传输B.天然防止中间人篡改C.可绕过本地DNS污染D.默认使用GET方法传输JSON格式查询答案：D18.在Android13中，针对应用读取剪贴板数据的最新限制是（）A.任何应用均可后台读取B.仅系统应用可读C.前台应用每分钟可读一次D.默认禁止，需用户每次授权答案：C19.在NISTSP80063B中，推荐的最短口令长度为（）A.6字符B.8字符C.10字符D.无下限，由熵值决定答案：D20.当利用Returntolibc绕过NX保护时，必须获取的地址信息是（）A.libc基址与system偏移B.栈金丝雀值C.PIE基址D.堆喷射地址答案：A21.在WindowsDefender中，启用“受控文件夹访问”功能主要缓解的威胁是（）A.键盘记录器B.勒索软件加密用户文件C.蓝牙蠕虫D.U盘Autorun答案：B22.以下哪项不是国密算法体系中的组成部分（）A.SM2B.SM3C.SM7D.SM9答案：C23.在HTTP/3中，传输层协议由TCP改为（）A.QUIC基于UDPB.SCTPC.DCCPD.TLS1.3overTCP答案：A24.针对机器学习模型的成员推理攻击（MembershipInference）主要利用了（）A.模型过拟合导致的输出置信度差异B.梯度爆炸C.输入投毒D.模型蒸馏答案：A25.在Linux中，若需审计所有调用ptrace的进程，应使用的audit规则是（）A.aalways,exitFarch=b64SptracekPTRACEB.w/usr/bin/gdbpxC.aentry,alwaysFpath=/proc/sys/kernel/yama/ptrace_scopeD.anever,exitSptrace答案：A26.在iOS16中，针对LockdownMode描述正确的是（）A.默认开启B.会禁用JIT与复杂Web字体C.仅对Safari生效D.需越狱才能启用答案：B27.在CVE202144228（Log4Shell）中，攻击者利用的入口点是（）A.JDBCURLB.JNDILookupC.EL表达式D.XML外部实体答案：B28.以下关于差分隐私（εDP）参数ε的说法正确的是（）A.ε越大隐私保护越强B.ε越小加入噪声越少C.ε为0时数据完全可用D.ε越小隐私保护越强答案：D29.在AWSS3Bucket策略中，用于强制要求使用SSEKMS加密的条件是（）A."s3:xamzserversideencryption":"AES256"B."s3:xamzserversideencryptionawskmsid":"arn:aws:kms:..."C."s3:signatureversion":"4"D."aws:SecureTransport":"true"答案：B30.在2023年发布的《个人信息出境标准合同办法》中，要求个人信息处理者自合同生效之日起保存标准合同至少（）A.1年B.2年C.3年D.5年答案：C二、多项选择题（每题2分，共20分。每题有两个或以上正确答案，多选少选均不得分）31.以下哪些属于常见的侧信道攻击手段（）A.功耗分析B.缓存时序C.电磁泄漏D.栈溢出答案：A、B、C32.关于SHA3与SHA2对比，下列说法正确的有（）A.SHA3基于Keccak海绵结构B.SHA3可输出任意长度C.SHA2已出现实用碰撞D.SHA3抗长度扩展攻击能力优于SHA256答案：A、B、D33.在Kubernetes渗透测试中，以下哪些行为可能导致集群权限提升（）A.创建特权Pod并挂载宿主机/根目录B.获取clusteradmin绑定的ServiceAccountTokenC.修改defaultServiceAccount自动挂载令牌D.利用容器逃逸漏洞获取宿主机root答案：A、B、D34.以下哪些技术可用于Web应用防重放攻击（）A.时间戳+随机数签名B.JWT单次使用声明（jti）C.验证码D.HSTS答案：A、B、C35.在Windows域环境中，可用来防御Kerberoasting的措施有（）A.为服务账户设置>25位随机口令B.启用AES256加密，禁用RC4C.使用组托管服务账户（gMSA）D.启用LDAP签名答案：A、B、C36.以下哪些属于国密SSL套件（）A.ECC_SM4_SM3B.ECDHE_SM4_SM3C.RSA_SM4_SM3D.TLS_AES_256_GCM_SHA384答案：A、B、C37.在Android应用逆向中，可用来检测root环境的指标有（）A.存在su二进制文件B.ro.debuggable=1C.加载Xposed框架库D.SafetyNetAPI返回ctsProfileMatch=false答案：A、B、C、D38.以下关于RansomwareasaService（RaaS）描述正确的有（）A.降低攻击者技术门槛B.核心作者抽取赎金分成C.通常采用比特币支付D.只针对Windows系统答案：A、B、C39.在Linux内核漏洞缓解技术中，针对内核栈溢出有效的有（）A.STACKPROTECTORB.KASLRC.RAPD.SMAP答案：A、C40.以下哪些属于个人信息保护法中规定的敏感个人信息（）A.宗教信仰B.行踪轨迹C.14岁以下未成年人信息D.购物记录答案：A、B、C三、填空题（每空1分，共20分）41.在RSA加密中，若公钥指数e=3且明文m小于n的立方根，则直接对密文c进行________运算即可恢复明文。答案：整数立方根42.在WindowsCredentialGuard中，用于隔离LSASS进程的技术基于________虚拟化安全（VBS）。答案：基于虚拟化的安全43.在HTTP响应头中，用于限制浏览器仅通过HTTPS访问某域名一段时间的头字段是________。答案：StrictTransportSecurity44.在IPv6地址2001:db8::/32中，前缀长度是________位。答案：3245.在Python3中，使用secrets模块生成32字节安全随机十六进制字符串的函数调用是secrets.token________(32)。答案：hex46.在Linux中，设置/proc/sys/kernel/core_pattern为"|/bin/false"的主要目的是禁止生成________文件，防止敏感信息泄露。答案：core47.在PKI体系中，OCSPStapling将服务器证书状态查询负载从客户端转移到________端。答案：服务器48.在AndroidAPK签名方案v3中，新增支持________轮换功能，可实现密钥升级。答案：签名密钥49.在NISTSP80090A推荐的DRBG中，基于哈希函数构造的算法简称为________。答案：Hash_DRBG50.在CTF中，利用格式化字符串漏洞泄露栈上内容的常用格式符是________。答案：%p51.在Kubernetes中，NetworkPolicy资源依赖________插件实现流量过滤。答案：CNI52.在TLS1.3中，用于加密握手后应用数据的密钥称为________密钥。答案：traffic53.在Windows事件日志中，事件ID4768表示请求________票据。答案：KerberosTGT54.在SM2签名算法中，签名结果包含两个整数，通常记为________和s。答案：r55.在XSS防御中，对不可信数据输出到JavaScript上下文时应使用________编码。答案：JavaScript（或JS）56.在Linux中，命令“echo2>/proc/sys/vm/drop_caches”用于释放________缓存。答案：页缓存（pagecache）57.在CVE编号规则中，年份后的数字最多可达________位。答案：任意（实践中常见45位，无上限）58.在iOS越狱检测中，若系统调用sandbox_check返回________，表明进程处于沙箱外。答案：0（成功绕过）59.在AWSIAM策略中，使用________元素可显式拒绝访问，优先级高于Allow。答案：Deny60.在差分隐私中，加入的噪声通常服从________分布。答案：拉普拉斯（或Laplace）四、简答题（每题6分，共30分）61.简述Kerberos协议中TGT的作用及获取流程，并说明黄金票据攻击如何利用TGT。答案：1)TGT（TicketGrantingTicket）是客户端向KDC证明身份后获得的初始票据，用于后续请求服务票据，避免重复输入口令。2)获取流程：a.客户端以哈希加密时间戳向AS请求预认证；b.AS验证后返回用用户密钥加密的TGT（含PAC、会话密钥）。3)黄金票据攻击：攻击者获取KRBTGT账户哈希后，可离线伪造任意TGT，设置超长有效期与任意权限，直接访问任意服务，无需合法密码。62.说明TLS1.3与TLS1.2在握手延迟上的差异，并给出1RTT与0RTT的具体场景。答案：TLS1.2完整握手需2RTT；TLS1.3缩减为1RTT：客户端在首条ClientHello中直接发送密钥共享，服务器返回加密扩展与证书，完成握手。0RTT基于先前会话的PSK，客户端首包即可携带应用数据，实现零往返，但存在重放风险，适用于幂等GET请求。63.列举三种常见的容器逃逸路径，并给出对应缓解措施。答案：1)特权容器+挂载宿主机/：禁止privileged，使用PodSecurityPolicy或OPAGatekeeper限制卷挂载；2)内核漏洞（如DirtyCow）：及时更新内核，启用Seccomp、AppArmor限制系统调用；3)恶意镜像带setuid程序：使用镜像签名与准入控制，禁止未知镜像，启用只读根文件系统。64.解释什么是“同态加密”，并给出在云计算中的一个应用示例。答案：同态加密允许在密文域直接进行运算，结果解密等价于明文运算结果。示例：用户将加密医疗数据上传至云服务器，云在密文上运行机器学习训练，返回加密模型，用户解密后获得与明文训练一致的模型，全程数据不暴露。65.描述一次典型的“钓鱼邮件+宏文档”攻击链，并给出企业级检测与响应方案。答案：攻击链：1)攻击者伪造高管邮箱发送“季度报告.docm”；2)受害者启用宏，PowerShell下载CobaltStrikeBeacon；3)Beacon通过DNS隧道回连，横向移动投放勒索软件。检测与响应：a.邮件网关启用高级威胁保护，静态+动态检测宏；b.EDR监控powershell.exe命令行特征，阻断下载；c.DNS日志发现异常长域名，联动防火墙封C2；d.用户培训+模拟钓鱼演练，提高报告率；e.事后取证：提取宏代码、Beacon配置，更新IOC。五、综合应用题（共50分）66.日志分析题（15分）背景：某电商网站遭遇数据泄露，需分析提供的Web访问日志片段（已脱敏）。日志格式：remote_addrtime_localrequeststatusbody_bytes_senthttp_refererhttp_user_agent（1）给出一段疑似SQL注入攻击的日志行，并指出判断依据。（4分）答案：5[12/Jun/2025:14:23:01+0800]"GET/product.php?id=1%20AND%20sleep(5)HTTP/1.1"2005234"""Mozilla/5.0(compatible;SQLiTester/1.0)"依据：参数出现SQL关键字AND、sleep函数注释符，且UserAgent显式声明SQLiTester。（2）统计当日404状态码数量，并列出出现404次数最多的前3个路径。（5分）答案：404总量：1278次；Top3：/wpadmin/adminajax.php234次；/config.php198次；/.env176次。（3）结合日志，说明如何确认攻击者已获取管理员后台登录地址，并给出后续排查命令。（6分）答案：发现日志中referer为“/admin/login.php”且返回200，useragent为sqlmap，表明攻击者已扫描到后台。排查：a.grepE'admin.200'access.log|awk'{print$1}'|sortu>admin_ips.txtb.对admin_ips.txt调用fail2ban封禁；c.检查session表，查找异常登录：mysqle"SELECTuser_id,ip,timeFROMadmin_sessionWHEREipIN(SELECTipFROMadmin_ips.txt);"67.密码学计算题（15分）已知SM2曲线参数采用素域256位，基点G=(xG,yG)，阶n为素数。用户A私钥dA=0x2E46...（随机），公钥PA=dA·G。（1）写出SM2数字签名生成过程中随机数k的熵要求，并解释重用k的后果。（5分）答案：k必须密码学随机、均匀、不可预测，长度≥256位；若重用k，则两次签名(r,s1)(r,s2)满足s1s2≡k^1(h1h2)modn，可解出私钥dA。（2）给定消息哈希e=0x1234...，随机数k=0xABCD...，计算签名分量r（给出公式与简化结果，不需求完整数值）。（6分）答案：r=(e+x1)modn，其中(x1,y1)=k·G；代入得r=(0x1234...+x1)modn。（3）说明SM2签名验证公式，并指出若公钥PA被中间人替换为PA'，验证是否通过。（4分）答案：验证：t=(r'+s')modn；计算(x'1,y'1)=s'·G+t·PA；验证r'≡(e'+x'1)modn。若PA被替换，验证使用PA'，则t值变化，x'1无法匹配，验证失败，因此攻击无效。68.渗透测试综合题（20分）场景：授权对某内网进行黑盒测试，目标为/24，已知存在域CORP.LOCAL。（1）请给出完整信息收集步骤及对应工具（至少5步）。（5分）答案：1)netdiscoverr/24发现存活主机；2)nmapsSsVO254端口服务扫描；3)enum4linuxa0枚举SMB/域信息；4)ldapsearchxHldap://0b"dc=corp,dc=local"收集LDAP用户；5)crackmapexecsmb/24users获取域