2025年网络安全工程师基础技能挑战试题及答案

2025年网络安全工程师基础技能挑战试题及答案一、单项选择题（每题2分，共30分）1.在TCP/IP协议栈中，负责将IP地址转换为物理地址的协议是（）A.ARPB.RARPC.DNSD.ICMP答案：A2.以下哪项不属于OWASP2023十大安全风险更新内容？（）A.不安全的AI集成B.失效的身份认证C.软件和数据完整性失效D.安全配置错误答案：A（注：OWASP2023更新将“不安全的AI集成”列为新兴风险，未正式纳入十大核心）3.某企业网络中，防火墙策略设置为“默认拒绝，允许HTTP/HTTPS、SSH、SMTP”，若发现445端口（SMB）存在异常流量，最可能的原因是（）A.防火墙策略未禁用445端口B.内网存在勒索软件攻击C.员工私搭文件共享服务D.DNS缓存中毒答案：C（默认拒绝策略下，未显式允许的端口应被阻断，445流量异常多为内网违规服务）4.以下哈希算法中，输出长度为256位的是（）A.MD5B.SHA-1C.SHA-256D.SHA-512答案：C5.渗透测试中，“指纹识别”阶段的主要目标是（）A.获取目标系统权限B.识别目标开放的服务及版本C.植入后门维持访问D.横向移动至其他主机答案：B6.关于零信任模型的核心原则，错误的描述是（）A.持续验证访问请求B.最小权限原则C.信任内网默认安全D.动态风险评估答案：C（零信任模型强调“从不信任，始终验证”，否定内网默认安全假设）7.某Web应用使用JWT令牌认证，若令牌未设置“exp”（过期时间）字段，可能导致的风险是（）A.令牌被重放攻击B.令牌被暴力破解C.跨站请求伪造（CSRF）D.会话固定攻击答案：A（未设置过期时间的令牌可被无限次使用，易被截获后长期利用）8.以下哪类漏洞属于内存安全漏洞？（）A.SQL注入B.XSSC.缓冲区溢出D.CSRF答案：C9.物联网设备（IoT）常见的安全隐患不包括（）A.硬编码默认凭证B.固件更新机制缺失C.支持多因素认证D.弱加密协议（如WEP）答案：C（多因素认证是安全增强措施，非隐患）10.在应急响应中，“遏制阶段”的首要任务是（）A.收集证据B.恢复业务C.隔离受感染设备D.分析攻击路径答案：C11.以下哪个端口通常与远程桌面协议（RDP）关联？（）A.22B.3389C.443D.1433答案：B12.关于IDS（入侵检测系统）和IPS（入侵防御系统）的区别，正确的是（）A.IDS仅监控，IPS可主动阻断B.IDS基于特征检测，IPS基于异常检测C.IDS部署在流量旁路，IPS部署在流量路径上D.A和C答案：D13.若某系统日志中频繁出现“401Unauthorized”状态码，可能的问题是（）A.暴力破解登录尝试B.服务器端脚本错误C.DDoS攻击D.跨站脚本攻击答案：A（401表示未授权，频繁出现可能是恶意登录尝试）14.以下加密算法中，属于非对称加密的是（）A.AESB.DESC.RSAD.3DES答案：C15.云环境中，“数据脱敏”的主要目的是（）A.提高数据传输速度B.防止敏感信息泄露C.优化存储成本D.增强数据完整性答案：B二、填空题（每题2分，共20分）1.常见的DDoS攻击类型中，针对应用层的攻击称为_________攻击（如HTTP洪水）。答案：慢速HTTP2.CVE编号的格式为CVE-YYYY-XXXX，其中“YYYY”代表_________。答案：漏洞发现或发布的年份3.缓冲区溢出攻击的本质是向程序内存的_________区域写入超出其容量的数据。答案：栈（或堆，注：栈溢出更常见）4.网络安全中，“最小权限原则”要求用户或进程仅获得完成任务所需的_________权限。答案：最小必要5.防火墙的三种基本工作模式是路由模式、透明模式和_________。答案：NAT模式6.渗透测试的标准流程包括前期交互、信息收集、漏洞探测、_________、报告编写。答案：漏洞利用7.常见的Web应用防火墙（WAF）部署方式有反向代理模式、_________和云模式。答案：透明代理模式8.加密通信中，TLS1.3相比TLS1.2减少了_________次握手往返（RTT）。答案：1（TLS1.3支持0-RTT或1-RTT，TLS1.2需2-RTT）9.日志分析中，“SIEM”的中文全称是_________。答案：安全信息与事件管理系统10.物联网设备的“固件安全”主要关注固件的完整性、_________和可更新性。答案：真实性（或防篡改）三、简答题（每题8分，共40分）1.简述SQL注入攻击的原理及至少三种防范措施。答案：原理：攻击者通过在用户输入中插入恶意SQL代码，欺骗服务器执行非预期的数据库操作（如数据泄露、删除）。防范措施：①使用预编译语句（PreparedStatement）参数化查询；②对用户输入进行严格的类型校验和转义；③限制数据库用户权限（如仅授予查询权限）；④启用WAF过滤恶意SQL特征；⑤定期进行代码审计和漏洞扫描。2.解释“零信任网络架构（ZeroTrustNetworkArchitecture,ZTNA）”的核心设计原则，并举例说明其应用场景。答案：核心原则：①持续验证：所有访问请求（无论内外网）需验证身份、设备状态、环境风险；②最小权限：仅授予完成任务所需的最小访问权限；③动态控制：根据实时风险调整访问策略。应用场景：企业员工通过互联网访问内部ERP系统时，ZTNA要求验证用户双因素认证、设备是否安装最新补丁、登录IP是否异常，若风险过高则阻断访问，而非仅依赖VPN的内网接入。3.分析JWT（JSONWebToken）的潜在安全风险，并提出改进建议。答案：风险：①令牌泄露：若存储在本地（如LocalStorage），可能被XSS攻击窃取；②签名绕过：若使用无签名算法（none）或弱签名（如HS256密钥泄露）；③过期时间不当：未设置或过长的过期时间导致令牌长期有效；④信息泄露：JWT的Payload部分为Base64编码（未加密），敏感信息可能被明文解析。改进建议：①启用HTTPS防止传输中泄露；②使用强签名算法（如RS256）并保护密钥安全；③设置合理的过期时间（如15-30分钟），配合刷新令牌（RefreshToken）；④避免在Payload中存储敏感信息（如密码）；⑤对客户端存储使用HttpOnlyCookie而非LocalStorage。4.简述APT（高级持续性威胁）攻击的特点，并列举三种检测APT的关键方法。答案：特点：①针对性强：目标通常是政府、金融等关键领域；②持续性长：攻击周期可达数月至数年；③技术复杂：结合0day漏洞、社会工程、多阶段渗透；④隐蔽性高：通过加密通信、擦除日志等手段规避检测。检测方法：①异常流量分析：识别C2服务器的加密通信（如DNS隧道、HTTPS异常流量）；②日志深度挖掘：追踪跨时间、跨设备的异常操作（如非工作时间的高权限访问）；③威胁情报关联：结合外部情报库（如已知APT组织的IP、域名、工具特征）；④端点检测与响应（EDR）：监控终端的异常进程、文件操作（如未知脚本执行、内存注入）。5.说明蜜罐（Honeypot）的作用及分类，并举例说明低交互蜜罐的典型应用。答案：作用：①诱捕攻击者，收集攻击工具、手法等情报；②分散攻击者注意力，保护真实系统；③评估现有安全措施的有效性。分类：按交互程度分为低交互蜜罐（模拟部分服务，仅响应有限操作）和高交互蜜罐（完全模拟真实系统，风险较高）；按部署目的分为生产型蜜罐（部署在真实网络中）和研究型蜜罐（用于学术研究）。低交互蜜罐典型应用：在企业边界部署模拟SSH服务的蜜罐，记录攻击者尝试的暴力破解密码（如常见弱口令“admin/123456”），并分析攻击来源IP，进而调整防火墙策略封禁相关IP段。四、实操题（共10分）【场景】某企业Web服务器（IP：00）的Nginx访问日志中出现以下异常记录：```[05/Mar/2025:14:23:45+0800]"GET/user?name=admin'-HTTP/1.1"2001234[05/Mar/2025:14:23:46+0800]"GET/user?name=admin'OR1=1-HTTP/1.1"50023[05/Mar/2025:14:23:47+0800]"GET/user?name=admin'UNIONSELECT1,version(),3-HTTP/1.1"50023```1.分析上述日志反映的攻击类型及攻击者意图。（5分）2.提出至少两种针对该攻击的防御措施。（5分）答案：1.攻击类型：SQL注入攻击。攻击者意图：通过构造恶意URL参数（如`name=admin'--`尝试注释后续SQL语句，`OR1=1`尝试绕过身份验证，`UNIONSELECT`尝试获取数据库版本等信息），探测Web应用是否存在SQL注入漏洞，进而窃取或破坏数据库数据。2.防御措施：①代码层面：使用预编译语句（如Python的`cursor.exe