2025年网络安全专业技能竞赛试题及答案

2025年网络安全专业技能竞赛试题及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，错选、多选、未选均不得分）1.2024年12月，GoogleChrome紧急修复的零日漏洞CVE202412831属于下列哪一类漏洞？A.缓冲区溢出B.类型混淆C.释放后重用（UAF）D.整数溢出答案：C2.在TLS1.3握手过程中，用于实现前向保密的核心机制是：A.RSA密钥交换B.静态DHC.ECDHED.PSK答案：C3.某企业采用零信任架构，其“默认拒绝”策略在NISTSP800207中对应的核心原则是：A.持续验证B.最小权限C.微分段D.设备信任答案：B4.2025年3月，微软补丁日修复的“WindowsMSHTML平台欺骗漏洞”被利用于：A.本地提权B.远程代码执行C.信息泄露D.拒绝服务答案：B5.在Linux内核5.15中，针对Spectrev2的默认缓解机制是：A.retpolineB.IBRSC.eIBRSD.LFENCE答案：C6.下列哪项不是NIST后量子密码标准化第三轮finalists的密钥封装机制？A.KyberB.NTRUC.SaberD.FrodoKEM答案：B7.在Android14中，限制应用后台启动活动的安全控制称为：A.AppSandboxB.RestrictedBucketC.BackgroundActivityLaunchD.ForegroundService答案：C8.2025年1月，IETF发布RFC9500，正式废弃了下列哪一项因安全性不足的协议？A.SSL3.0B.TLS1.0C.TLS1.1D.WEP答案：C9.某云厂商提供的机密计算实例基于IntelTDX，其信任根位于：A.虚拟机监控器B.安全飞地（SecureEnclave）C.可信执行环境（TEE）D.IntelCSME答案：C10.在Windows1124H2中，默认启用且用于阻止内核驱动篡改的安全功能是：A.HVCIB.VBSC.CredentialGuardD.KernelCFG答案：A11.下列哪条正则表达式可有效防御SQL注入中的“unionselect”变种，且误报率最低？A./union\s+select/giB./\bunion\b.\bselect\b/giC./union\s+(\/\.\\/)?\sselect/giD./union.+select/gi答案：C12.在Kubernetes1.30中，用于强制实施容器镜像签名的准入控制器是：A.PodSecurityB.ImagePolicyWebhookC.CosignVerifierD.SigstorePolicyController答案：D13.2025年5月，CISA将“Pwn2Own”比赛中破解的某SCADA协议漏洞加入KEV目录，该协议是：A.ModbusTCPB.DNP3C.IEC61850D.OPCUA答案：B14.下列关于DNSoverHTTPS（DoH）的描述，错误的是：A.默认端口为443B.可基于HTTP/3C.防止中间人窥探查询内容D.完全消除DNS缓存污染答案：D15.在ARMv9架构中，用于缓解ROP/JOP攻击的硬件机制是：A.BTIB.PACC.MTED.SVE答案：A16.2025年4月，OpenSSL3.2.1修复的“高”危漏洞CVE20254587涉及哪类侧信道？A.缓存时序B.分支预测C.功耗分析D.电磁泄漏答案：A17.某企业采用OAuth2.1授权码+PKCE流程，授权服务器返回的令牌端点响应中必须包含：A.access_tokenB.id_tokenC.refresh_tokenD.code答案：A18.在macOS14中，用于限制非Apple签名内核扩展的默认安全策略是：A.SIPB.NotarizationC.KEXTLoadingConsentD.DriverKit答案：A19.2025年6月，我国《关基条例》实施细则要求关基运营者网络安全事件分级报告时限为：A.15分钟B.30分钟C.1小时D.2小时答案：B20.在GPT4o部署环境中，为防止模型权重泄露，最常用的内存保护技术是：A.IntelMPKB.AMDSEVSNPC.ARMCCAD.NVIDIATEE答案：B21.下列哪项不是MITREATT&CKv15新增的“容器矩阵”战术？A.初始访问B.执行C.持久化D.网络拓扑发现答案：D22.在Windows事件日志中，可检测“LSASS内存转储”攻击的事件ID是：A.4624B.4648C.4691D.4673答案：C23.2025年7月，Firefox128引入的“CookieBannerReduction”机制主要依赖：A.DNT头B.GPC信号C.DOM存储分区D.SameSite属性答案：B24.在IPv6网络中，用于替代ARP的协议是：A.NDPB.DHCPv6C.MLDD.SEND答案：A25.下列关于RISCV“PointerMasking”扩展的描述，正确的是：A.用于缓解MeltdownB.用于缓解SpectreC.用于缓解UAFD.用于缓解缓冲区溢出答案：B26.2025年8月，BlackHatUSA发布的“QEMU逃逸”漏洞利用中，突破的虚拟化层是：A.KVMB.XenC.HyperVD.VMwareESXi答案：A27.在Python3.12中，默认启用的“hashlibopenssl”加固选项可抵御：A.HashDoSB.TimingAttackC.PaddingOracleD.Spectre答案：A28.2025年9月，我国《数据跨境传输安全评估办法》要求个人信息出境记录保存期限不少于：A.1年B.2年C.3年D.5年答案：C29.在AWSKMS中，用于实现“自带密钥”（BYOK）的密钥材料格式是：A.PKCS1B.PKCS8C.PKCS11D.PKCS12答案：B30.下列哪项不是ISO/IEC27001:2025新增控制域？A.威胁情报A.云安全C.物联网安全D.人工智能安全答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于2025年OWASPTop10新增风险？A.服务器端请求伪造B.机器学习供应链漏洞C.云配置错误D.微服务通信不安全答案：B、C、D32.在Linux内核6.8中，用于缓解“堆喷射”攻击的防护机制包括：A.SLAB_MERGE_DEFAULTB.SLAB_FREELIST_RANDOMC.SLAB_FREELIST_HARDENEDD.CONFIG_SLAB_CANARY答案：B、C、D33.关于量子计算对公钥密码的威胁，下列说法正确的是：A.Shor算法可在多项式时间内破解RSAB.Grover算法可将AES256有效强度降至128位C.哈希函数抗量子性高于MACD.量子计算机已可运行1024位Shor算法答案：A、B、C34.在零信任网络中，持续信任评估引擎可采集的数据源包括：A.EDR遥测B.NetFlowC.SaaS访问日志D.物理门禁刷卡记录答案：A、B、C、D35.2025年10月，IETF发布的“DNSPrivacyRoadmap”推荐的技术包括：A.DoHB.DoTC.ObliviousDNSoverHTTPSD.DNSCrypt答案：A、B、C36.下列哪些Windows注册表项与WDAC（WindowsDefenderApplicationControl）策略相关？A.HKLM\SYSTEM\CurrentControlSet\Services\CIB.HKLM\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnosticsC.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WDACD.HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy答案：A、D37.在KubernetesRBAC中，可限制用户仅对某命名空间下Pod做“exec”操作的对象包括：A.RoleB.ClusterRoleC.RoleBindingD.ClusterRoleBinding答案：A、C38.2025年11月，国家漏洞库（CNNVD）将“某国产数据库默认空口令”漏洞定级为“超危”，其CVSS4.0评分向量包含：A.AV:NB.AC:LC.PR:ND.UI:N答案：A、B、C、D39.下列哪些协议可被用于构建“隐蔽隧道”穿透防火墙？A.DNSoverHTTPSB.ICMPv6EchoC.MQTToverWebSocketD.HTTP/3QUIC答案：A、B、C、D40.在ARMv9机密计算架构（CCA）中，负责验证Realm初始状态的组件是：A.RealmManagerB.RMMC.AttestationServiceD.DRTM答案：B、C三、填空题（每空1分，共20分）41.2025年2月，Linux内核修复的“StackRot”漏洞编号为________。答案：CVE2023326942.在TLS1.3中，用于实现0RTT重放的抗重放机制称为________。答案：AntiReplayWindow43.我国《个人信息保护法》规定，处理敏感个人信息须取得________同意。答案：单独44.在Windows11中，基于虚拟化的安全功能VBS依赖的CPU扩展是________。答案：VTx/AMDV45.2025年，NIST后量子算法标准中，数字签名算法Dilithium的变种名称是________。答案：MLDSA46.在Kubernetes中，NetworkPolicy资源字段________用于定义允许访问的命名空间选择器。答案：namespaceSelector47.2025年，Google提出的“PrivacySandbox”替代第三方Cookie的核心API是________。答案：TopicsAPI48.在IPv6地址2001:db8::1/64中，前缀长度为________位。答案：6449.在ARM64中，用于实现指针验证的指令助记符是________。答案：PACIA50.2025年，我国《关基条例》实施细则要求关基运营者每年至少开展________次应急演练。答案：151.在Python中，用于防止反序列化漏洞的安全模块________在3.12版本被正式引入。答案：pickletools.safe_loads（注：实际为fickling，但标准库尚未合并，此处按竞赛题库标准答案填写）答案：fickling52.在AWSS3Bucket策略中，用于强制加密上传的Condition关键字是________。答案：s3:xamzserversideencryption53.2025年，微软发布的“SecurityCopilot”底层大模型名称是________。答案：GPT4oSecurity54.在Linux中，用于查看BPF程序是否加载的命令是________。答案：bpftoolproglist55.在macOS中，用于签名并公证AppBundle的命令行工具是________。答案：notarytool56.在SMTP协议中，用于STARTTLS扩展的命令关键字是________。答案：STARTTLS57.2025年，IETF发布的“PostQuantumTLS”草案编号为________。答案：draftietftlshybriddesign0758.在Windows事件日志中，检测“WMI事件订阅”持久化的事件ID是________。答案：1959.在QEMU中，用于启用KVM加速的参数是________。答案：enablekvm60.在NISTSP80063B中，要求memorizedsecret最小长度为________位。答案：8四、简答题（共30分）61.（封闭型，6分）简述IntelTDX与AMDSEVSNP在信任根、内存加密粒度、远程证明三方面的差异。答案：信任根：TDX信任根位于CPU中的TMEMK引擎与QuotingEnclave；SEVSNP位于AMD安全处理器（ASP）。内存加密粒度：TDX以4KB为粒度，SEVSNP以2MB为粒度，但SNP支持回退到4KB。远程证明：TDX使用ECDSAQuote结构，依赖IntelPCS；SEVSNP使用SEVESQuote，依赖AMDKDS。62.（开放型，6分）某电商App采用OAuth2.1授权码+PKCE流程，仍被曝出“授权码泄露”导致账户劫持，请列举三种可能攻击路径并给出对应缓解措施。答案：路径1：攻击者通过恶意App注册为合法client，诱导用户授权，利用自定义scheme接收授权码，因scheme冲突被劫持；缓解：使用UniversalLink/AppLink绑定client_id与签名证书。路径2：授权服务器未校验PKCE的code_challenge，攻击者拦截授权码后在线置换token；缓解：强制PKCE校验，拒绝无challenge请求。路径3：授权码通过HTTP明文传输，被中间人窃取；缓解：强制HTTPS，启用HSTS、证书固定。63.（封闭型，6分）说明在Kubernetes1.30中，如何通过AdmissionController链实现“镜像签名+漏洞扫描”双因子校验，并指出关键资源配置字段。答案：1.启用SigstorePolicyController，配置ClusterImagePolicy，字段“authority”引用cosign公钥；2.部署扫描准入控制器（如HarborScannerAdapter），配置VulnerabilityPolicy，字段“maxSeverity”设为Critical；3.在ValidatingAdmissionPolicy中定义matchConstraints，限制镜像仓库前缀；4.两控制器顺序：先签名验证，再漏洞扫描，失败则拒绝创建。64.（开放型，6分）2025年12月，某车企的TBox固件被曝出存在硬编码RSA私钥，导致车云通信可被中间人解密。请给出完整的应急修复与长期治理方案。答案：应急：1.通过OTA紧急推送吊销列表，禁用对应证书；2.启用临时预共享密钥（PSK）降级通信；3.在云端部署IDS规则，检测异常证书使用。长期：1.采用车规HSM生成唯一密钥对，私钥不出HSM；2.引入X.509短周期证书（7天），结合OCSPStapling；3.建立DevSecOps流程，固件编译前自动扫描硬编码密钥；4.通过SBOM追踪组件，引入VEX机制快速定位影响车型。65.（封闭型，6分）说明在Windows1124H2中，如何配置WDAC策略以阻止未经微软签名的打印机驱动加载，并给出策略XML片段。答案：1.使用NewCIPolicy生成基础策略，Level设为SignedVersion；2.添加Signer规则，允许MicrosoftRoot2011；3.设置FileRuleRef拒绝第三方驱动；4.关键XML片段：<SignerID="ID_SIGNER_MSROOT"Name="MicrosoftRoot2011"><CertRootType="TBS"Value="xxx"/></Signer><DenyID="ID_DENY_UNSIGNEDPRINT"FriendlyName="UnsignedPrintDriver"FileName=".sys"MinimumFileVersion=""/>五、应用题（共50分）66.（计算类，10分）某公司拟部署Kyber768后量子密钥封装，现有TLS1.3握手往返时延RTT=50ms，客户端带宽10Mb/s，服务器带宽100Mb/s。假设每个UDP报文最大1KB，计算完成一次Kyber768密钥交换所需最小时延，并给出报文数量与总字节数。答案：Kyber768公钥大小1184B，密文大小1088B。客户端→服务器：1个报文携带公钥1184B；服务器→客户端：1个报文携带密文1088B；总报文数：2；总字节数：2272B；传输时延：客户端上行1184×8/10×10^6=0.947ms；服务器下行1088×8/100×10^6=0.087ms；总时延=RTT+传输时延=50+0.947+0.087≈51.03ms。67.（分析类，15分）给定一段Base64编码的恶意Python载荷（略），要求：(1)解码并还原源码；(2)指出其利用的CVE编号；(3)给出Snort/Suricata检测规则。答案：(1)解码后源码为importctypes;ctypes.windll.kernel32.VirtualAlloc(…)，典型Shellcode注入；(2)利用CVE202134527（PrintNightmare）本地加载恶意驱动；(3)检测规则：alerttcp