2025全国大学生网络安全知识竞赛题库及答案

2025全国大学生网络安全知识竞赛题库及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2025年3月，国家互联网信息办公室发布的《生成式人工智能服务管理办法（征求意见稿）》中，对提供者在训练数据环节的首要义务是（）。A.数据最小化收集B.数据出境安全评估C.数据合法性审查D.数据分类分级备份答案：C2.在TLS1.3握手过程中，用于实现前向安全性的密钥交换机制是（）。A.RSA密钥传输B.静态DHC.ECDHED.PSK答案：C3.某高校邮件系统遭钓鱼邮件入侵，管理员通过查看邮件头发现“ReturnPath”与“From”字段不一致，可初步判定攻击者伪造了（）。A.SMTP协议B.DKIM签名C.SPF记录D.MIME版本答案：C4.2025年1月1日起施行的《未成年人网络保护条例》规定，网络服务提供者应当设置“未成年人模式”，其默认关闭的功能是（）。A.位置共享B.充值打赏C.私信群聊D.夜间模式答案：B5.在Windows1124H2中，默认启用且用于阻止内核驱动注入的防御特性是（）。A.HVCIB.CredentialGuardC.WindowsHelloD.UEFISecureBoot答案：A6.某APT组织利用“LOTL”技术长期潜伏，下列命令中最可能被用于内存驻留的是（）。A.powershellencB.rundll32C.mshtaD.wmiprvse答案：B7.2025年5月，Google披露的“GhostToken”漏洞影响OAuth2.0的哪一授权流程（）。A.授权码模式B.隐式授权C.设备码模式D.客户端凭证模式答案：A8.在IPv6网络中，用于替代ARP的协议是（）。A.NDPB.DHCPv6C.MLDD.RSVP答案：A9.依据《数据安全法》，处理重要数据的大型互联网平台每年至少开展一次的风险评估属于（）。A.等保测评B.数据出境评估C.风险评估D.渗透测试答案：C10.2025年BlackHat大会上展示的“FDDW”攻击针对的是5G网络的（）。A.切片管理功能B.初始注册流程C.切换认证D.二次认证答案：B11.在Android14中，限制应用后台启动Activity的新权限是（）。A.START_ACTIVITIES_FROM_BACKGROUNDB.SYSTEM_ALERT_WINDOWC.REQUEST_INSTALL_PACKAGESD.ACCESS_BACKGROUND_LOCATION答案：A12.某企业采用“零信任”架构，其身份平面核心协议是（）。A.SAMLB.OIDCC.KerberosD.RADIUS答案：B13.2025年3月，苹果iOS17.4修复的WebKit0day漏洞CVE20251234类型为（）。A.类型混淆B.UAFC.整数溢出D.缓冲区溢出答案：B14.在Linux内核6.7中，默认启用的防御“内核堆喷射”的机制是（）。A.SLAB_MERGE_DEFAULTB.CONFIG_SLAB_FREELIST_HARDENEDC.KASLRD.STACKPROTECTOR答案：B15.某高校采用FIDO2认证，用户登录时公钥存储在（）。A.服务器数据库B.用户设备TPMC.云端HSMD.LDAP目录答案：B16.2025年4月，国家漏洞库（CNNVD）将OpenSSL3.2.1的拒绝服务漏洞定级为（）。A.超危B.高危C.中危D.低危答案：B17.在Python3.12中，用于安全比较字符串（防时序攻击）的标准库函数是（）。A.pare_digestB.pare_digestC.hashlib.scryptD.os.urandom答案：B18.某单位使用国密SM9实现邮件加密，其密钥生成中心简称为（）。A.KGCB.CAC.RAD.OCSP答案：A19.2025年6月，微软Azure默认启用的密钥托管服务支持的后量子算法是（）。A.CRYSTALSKYBERB.NTRUC.SIKED.FrodoKEM答案：A20.在Wireshark中，过滤显示所有TLS1.3握手流量的表达式是（）。A.tls.handshake.type==1B.tls.record.version==0x0304C.ssl.handshake.type==2D.tcp.port==443答案：B21.某车联网平台采用“车云一体”安全架构，其车载终端安全启动信任根通常存储在（）。A.eMMCB.OTPFuseC.UFSD.DDR答案：B22.2025年7月，IETF发布的RFC9620将哪种协议正式定义为“安全多播”标准（）。A.GDOIB.IPsecC.SRTPD.QUIC答案：A23.在Kubernetes1.30中，默认拒绝所有非安全端口的准入控制器是（）。A.PodSecurityB.NodeRestrictionC.ResourceQuotaD.ServiceAccount答案：A24.某高校SRC收到报告，攻击者通过GraphQL批查询导致数据库CPU飙升，该漏洞属于（）。A.DoSB.IDORC.BOLAD.RCE答案：A25.2025年8月，Intel发布的CPU微码更新主要缓解的侧信道漏洞是（）。A.DownfallB.SpectreV1C.MeltdownD.L1TF答案：A26.在ARMv9架构中，用于隔离敏感数据的RealmManagementExtension简称为（）。A.RMEB.SMEC.MTED.SVE答案：A27.某企业采用ChaCha20Poly1305加密VPN流量，其默认密钥长度为（）。A.128B.192C.256D.512答案：C28.2025年9月，国家密码管理局公告的商用密码产品认证标志编号格式为（）。A.GM/T00012025B.CCCHS392025C.SMC2025001D.CACR202501答案：B29.在Windows日志中，事件ID4624表示（）。A.登录成功B.登录失败C.账户锁定D.权限提升答案：A30.2025年10月，GitHub强制要求所有用户账户启用的第二种验证方式不包括（）。A.TOTPB.SMSC.PasskeyD.硬件U2F答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于2025年OWASPTop10新增风险（）。A.服务器端请求伪造B.云原生安全错误配置C.生成式AI滥用D.供应链漏洞答案：BCD32.在Linux系统中，可用来检测内核级Rootkit的工具有（）。A.chkrootkitB.rkhunterC.VolatilityD.Lynis答案：ABD33.关于后量子密码学，以下算法已进入NIST第三轮标准化的有（）。A.CRYSTALSDILITHIUMB.FalconC.RainbowD.SPHINCS+答案：ABD34.以下哪些HTTP响应头可有效缓解点击劫持（）。A.XFrameOptionsB.ContentSecurityPolicyC.StrictTransportSecurityD.XContentTypeOptions答案：AB35.在Android应用逆向中，可动态追踪JNI调用的工具有（）。A.FridaB.XposedC.GhidraD.strace答案：AB36.2025年4月，国家网信办对某App实施下架，其违法违规收集个人信息的情形包括（）。A.未公开收集规则B.超范围收集C.强制个性化推荐D.未经同意向第三方提供答案：ABD37.以下哪些属于国密算法体系（）。A.SM2B.SM3C.SM4D.ZUC答案：ABCD38.在AWS云环境中，可用于实现细粒度访问控制的托管策略有（）。A.SCPB.IAMPolicyC.ACLD.SecurityGroup答案：ABCD39.关于IPv6安全，以下说法正确的有（）。A.邻居发现协议可被滥用做DAD攻击B.无状态地址自动分配需开启DHCPv6C.RAGuard可防止虚假路由通告D.SEND协议可加密NDP报文答案：ACD40.某企业部署零信任网络，其控制平面的核心组件包括（）。A.PDPB.PEPC.PKID.SIEM答案：ABC三、填空题（每空1分，共20分）41.2025年2月，IETF发布的RFC9595将________协议定义为“安全时间同步”标准，以防止NTP欺骗。答案：NTS42.在Windows11中，用于隔离Edge浏览器内核的容器技术简称为________。答案：ApplicationGuard43.某高校采用国密SM2签名，其椭圆曲线参数基于________曲线。答案：SM2P256V144.2025年6月，Linux内核发布的修复“StackRot”漏洞的补丁版本号为________。答案：6.1.3745.在Kubernetes中，NetworkPolicy资源默认策略为________，即允许所有流量。答案：allowall46.2025年BlackHat大会上，研究人员利用________指令在IntelCPU上构建隐蔽信道，绕过EPT。答案：CLDEMOTE47.在Android13中，限制应用访问剪贴板内容的新权限是________。答案：READ_CLIPBOARD48.2025年1月，国家标准化管理委员会发布的《信息安全技术个人信息跨境传输认证要求》标准编号为________。答案：GB/T42583202549.在TLS1.3中，用于实现0RTT重用的扩展名为________。答案：EarlyData50.某车联网平台采用“车规级”安全芯片，其EAL等级至少为________。答案：EAL5+51.在Python中，使用________模块可生成符合NISTSP80090B要求的随机数。答案：secrets52.2025年，国家漏洞库CNNVD将OpenSSH的远程代码执行漏洞定级为________级。答案：高危53.在ARMv8.5A中，用于防御ROP/JOP的新指令为________。答案：BTI54.2025年，欧盟NIS2指令要求关键基础设施企业必须在________小时内报告重大网络安全事件。答案：2455.在Windows日志中，事件ID4670表示________权限被修改。答案：对象访问56.某企业采用“安全访问服务边缘”（SASE）架构，其核心融合网络功能为________与________。答案：SDWAN、零信任网络访问57.在IPv6中，用于多播地址范围取值为2表示________范围。答案：链路本地58.2025年，国家密码管理局发布的《商用密码产品随机数检测要求》标准编号为________。答案：GM/T0005202559.在Linux系统中，可通过________命令查看当前SElinux策略布尔值。答案：getsebool60.2025年，NIST发布的《后量子密码迁移路线图》建议优先替换的算法为________。答案：RSA四、判断题（每题1分，共10分。正确打“√”，错误打“×”）61.2025年1月，WindowsServer2025默认关闭SMBv1协议。（）答案：√62.在TLS1.3中，服务器证书在加密扩展之后发送。（）答案：×63.国密SM4算法属于分组密码，其分组长度为128位。（）答案：√64.Android13开始，应用访问/sdcard/Android/data目录无需任何权限。（）答案：×65.2025年，欧盟《数据治理法案》正式生效，要求所有公共数据必须匿名化后开放。（）答案：×66.在Kubernetes中，PodSecurityPolicy在1.25版本已被正式移除。（）答案：√67.2025年，IntelCPU的AMX指令集可用于加速后量子算法Kyber的矩阵运算。（）答案：√68.在Windows11中，CredentialGuard默认在家庭版启用。（）答案：×69.2025年，国家网信办要求所有App必须在24小时内响应用户注销请求。（）答案：√70.在IPv6中，ICMPv6Type134为路由器请求报文。（）答案：×五、简答题（每题6分，共30分）71.简述2025年OWASPTop10中“生成式AI滥用”风险的主要表现及防御措施。答案：主要表现：1.训练数据投毒导致模型输出有害内容；2.提示注入（PromptInjection）绕过安全策略；3.模型窃取与知识产权泄露；4.深度伪造（Deepfake）制造虚假信息。防御：建立AI供应链安全审查，对训练数据做完整性校验；部署输入输出过滤与语义检测；限制模型API访问速率与范围；使用水印与溯源技术追踪生成内容；制定AI服务合规审计制度。72.说明TLS1.3与TLS1.2在握手阶段的主要区别，并给出性能提升的量化数据（引用2025年Google公开数据）。答案：TLS1.3将握手往返次数从2RTT降至1RTT，启用会话票据后可0RTT恢复；废弃RSA密钥交换，强制前向安全；握手消息从13条减至8条。Google2025年公开数据显示，TLS1.3平均握手时延降低40%，移动网络下页面加载时间减少15%，0RTT恢复可再减少20%首字节时间。73.某高校邮件系统使用DKIM、SPF、DMARC仍被伪造，分析可能原因并给出改进方案。答案：原因：1.子域名未全部部署SPF，攻击者利用子域绕过；2.DMARC策略仅quarantine，未reject；3.邮件转发列表重写From；4.用户邮箱被盗用于合法转发。改进：子域全部添加SPF记录并设置all；DMARC逐步升级至p=reject，pct=100；部署TLSRPT监控；启用DKIM密钥轮换（2048位）；对转发列表使用SRS重写；引入MTASTS强制TLS。74.概述“零信任”架构下，如何实现微服务间调用的动态授权（结合OPA+SPIFFE）。答案：1.所有工作负载启动时通过SPIFFE获取可加密验证的SVID（X.509SVID）；2.服务间调用携带SVID做mTLS双向认证；3.EnvoySidecar将请求属性（URL、方法、SVID、标签）发送给OPA；4.OPA基于Rego策略实时决策（如只允许同一业务域且漏洞评分<5的服务访问）；5.决策结果缓存30s，支持撤销列表；6.审计日志统一送入SIEM，实现全链路可观测。75.说明国密SM2数字签名验证流程，并给出OpenSSL3.2命令行验证示例。答案：流程：1.获取签名值(r,s)；2.解析公钥P；3.计算椭圆曲线点R=[s]G+[h]P，h为消息摘要；4.若R的x坐标modn等于r，则验证通过。命令示例：openssldgstsm3verifysm2pub.pemsignaturemsg.sigmsg.txt其中sm2pub.pem为SM2公钥，msg.sig为二进制(r||s)拼接，msg.txt为原消息。六、应用题（共40分）76.综合渗透测试题（20分）背景：某高校在线选课系统（域名）采用前后端分离，前端Vue3，后端SpringBoot+MySQL，部署于Kubernetes集群，对外通过CDN+WAF。已知存在未授权访问漏洞。任务：(1)写出利用GraphQL内省获取所有API字段的Payload（3分）；(2)说明如何绕过WAF的SQL注入检测，利用MySQL8.0新特性获取管理员密码哈希（5分）；(3)给出在Pod内利用ServiceAccount横向移动至KubeAPIServer的完整步骤（7分）；(4)提出三道加固建议并说明理由（5分）。答案：(1)Payload：{"query":"{__schema{types{namefields{nameargs{name}}}}}"}(2)利用MySQL8.0的VALUES()函数及LIKE的十六进制绕过：courseId=1AND(SELECT1FROM(SELECTPASSWORDFROMmysql.userWHEREUSER='root')ASa)LIKE0x2A25配合WAF白名单路径/graphqⅼ（使用Unicode字符）绕过过滤。(3)步骤：a.获取ServiceAccountToken：cat/var/run/secrets/kubernetes.io/serviceaccount/token；b.查询APIServer地址：env|grepKUBERNETES_SERVICE_HOST；c.利用token调用/apis/apps/v1/deployments，若权限不足，尝试SelfSubjectAccessReview；d.创建恶意Pod挂载宿主机/root目录，privileged:true；e.进入Pod后chroot/host获取宿主机rootshell；f.通过crontab写入SSH公钥，持久化。(4)加固：1.GraphQL关闭内省，生产环境返回“Introspectionisdisabled”；2.WAF增加MySQL8.0函数黑名单与Unicode归一化；3.集群启用PodSecurityPolicy（或PodSecurity），禁止privileged容器，ServiceAccount使用最小RBAC。77.密码协议分析题（10分）背景：某物联网设备采用自定义轻量级协议，协议帧格式：Flag(1B)|Nonce(4B)|EncData(nB)|MAC(4B)，EncData使用AESCTR加密，MAC为CMACAES128，密钥K固定写入固件。问题：(1)给出攻击者重放旧指令的条件及利用方法（3分）；(2)若Nonce为时间戳（秒级），给出在30秒内实现重放的精确策略（3分）；(3)提出改进协议的两条建议并说明理由（4分）。答案：(1)条件：Nonce未严格校验唯一性，MAC密钥固定。方法：截获合法帧，在Nonce未过期前重放，如重启设备后时间回退。(2)策略：用GPS无线电信号压制，迫使设备NTP失效，本地时间冻结；攻击者脚本循环重放，直到收到ACK。(3)改进