2026年网络安全攻防模拟试卷

2026年网络安全攻防模拟试卷1.（单选）某企业采用零信任架构，所有访问请求需经SDP控制器动态评估。下列哪项最能体现“动态信任”的核心原则？A.用户首次登录即获得永久证书B.每5分钟重新评估设备健康度并调整权限C.内网流量默认放行，仅拦截外网请求D.所有流量强制通过同一静态防火墙策略答案：B2.（单选）攻击者利用DNS-over-HTTPS（DoH）隧道窃取数据，防守方在流量侧无法直接看到明文域名。最有效的溯源手段是：A.封锁所有UDP53端口B.在终端部署DoH代理透明日志C.启用TLS1.30-RTT降低延迟D.将DNS响应TTL全部设为0答案：B3.（单选）某Linux服务器出现以下crontab条目：/3wget-q-O/x.sh|bash/3wget-q-O/x.sh|bash管理员已清理该条目并重启系统，但3分钟后发现重新被写入。最可能的持久化机制是：A.systemdtimer单元被篡改B./etc/rc.local被加入写回脚本C.inode0x8019的隐藏ext4属性被设置D.内核模块rootkit劫持了crontabsyscall答案：A4.（单选）在Windows1124H2上，攻击者通过WHQL驱动漏洞获取内核句柄。防守方启用MicrosoftVBS与CredentialGuard后，下列哪项攻击面仍无法被完全缓解？A.利用内核ROP篡改EPROCESSTokenB.通过DMA访问PCI设备物理内存C.利用UAF在Win32k中提权D.通过WMI事件订阅持久化答案：A5.（单选）某Web应用使用React+GraphQL，采用JWT（RS256）认证。下列哪项配置可导致算法混淆攻击？A.公钥以JWK形式暴露在/.well-known/jwks.jsonB.服务端同时支持HS256与RS256验证C.JWT有效期设置为15分钟D.启用JWT加密（JWE）答案：B6.（单选）在IPv6-only网络中，攻击者通过SLAAC伪造默认网关。防守方应启用哪项安全扩展？A.SEND（RFC3971）B.DHCPv6-PDC.RAGuard+TrustAnchorD.RPKIforIPv6答案：A7.（单选）某容器集群使用Cilium+eBPF实现网络策略。若要阻断PodA（label:app=frontend）对PodB（label:app=backend）的TCP8080访问，但允许UDP53，应使用的CiliumNetworkPolicy片段为：A.ingress段匹配frontend，ports仅允许TCP8080B.egress段匹配frontend，toEndpoints匹配backend，ports仅允许UDP53C.egress段匹配backend，fromEndpoints匹配frontend，ports仅允许TCP8080D.ingress段匹配backend，fromEndpoints匹配frontend，ports拒绝TCP8080答案：D8.（单选）在ARM64Android15上，攻击者利用GPU驱动mmap漏洞实现物理页重用时，以下哪项缓解技术最直接？A.CFIB.PACC.MTE（MemoryTaggingExtension）D.ShadowCallStack答案：C9.（单选）某企业采用Kyber512后量子密钥交换，同时保留ECDHEP-256用于兼容。攻击者拥有量子计算机时，仍可解密哪一阶段流量？A.首次TLS1.3握手后0-RTT数据B.使用Kyber的握手后应用数据C.会话票据重用的第二次握手D.使用PSK-only模式且无(EC)DHE答案：A10.（单选）在OT网络中，攻击者利用ModbusTCP功能码0x5A（非标准）触发PLC固件后门。防守方部署Zeek脚本检测时，应关注的字段是：A.unitidentifierB.protocolidentifierC.functioncodeD.datalength答案：C11.（多选）某APT组织通过ISO镜像投递恶意LNK，LNK执行后下载CobaltStrike。下列哪些Windows事件ID组合可完整还原攻击链？A.4688（进程创建）+7045（服务安装）B.4624（登录）+4104（PowerShell脚本块）C.11（SysmonFileCreate）+3（NetworkConnect）D.20（WMIEventConsumer）+22（DNSQuery）答案：A,B,C12.（多选）针对SMBoverQUIC（TCP443）的横向移动，防守方在WindowsServer2025可启用的安全功能包括：A.SMB签名强制B.SMBAES-256-GCM加密C.QUIC强制证书pinningD.WindowsDefenderRemoteCredentialGuard答案：A,B,C,D13.（多选）某云函数（Lambda）使用临时AK/SK访问S3，攻击者通过SSRF获取元数据服务明文密钥。以下哪些加固可同时缓解此风险？A.启用IMDSv2并设置高HopLimitB.为函数配置VPCEndpoint仅允许PrivateLinkC.使用Resource-based策略限制S3bucket仅允许VPC源D.将AK/SK硬编码于函数环境变量并启用KMS加密答案：A,B,C14.（多选）在Kubernetes1.32集群中，以下哪些配置可导致容器逃逸到宿主机？A.允许hostPID=true且容器具备CAP_SYS_PTRACEB.挂载/var/run/docker.sock且镜像包含dockerCLIC.使用privileged=true并挂载/sys/fs/cgroupD.设置runAsUser=0且allowPrivilegeEscalation=false答案：A,B,C15.（多选）针对IntelTME（TotalMemoryEncryption）绕过攻击，下列哪些硬件特性可提供额外保护层？A.IntelSGXB.AMDSEV-SNPC.IntelTXTD.ARMConfidentialComputeArchitecture答案：A,B,D16.（多选）某企业采用ChaCha20-Poly1305加密备份文件，密钥派生使用Argon2id，参数：memory=256MB，iterations=8，parallelism=4，salt随机16B。下列哪些做法会降低抗离线爆破能力？A.将parallelism降为1B.将salt缩短至8BC.将iterations增至16D.将memory降为64MB答案：B,D17.（多选）在5G核心网SBA架构中，以下哪些接口需强制使用OAuth2.0+TLS1.3？A.Nudm_UEAuthenticationB.Npcf_PolicyAuthorizationC.Nsmf_SessionD.Nausf_UEAuthentication答案：A,B,C,D18.（多选）针对机器学习模型投毒攻击，以下哪些防御措施属于“鲁棒聚合”？A.KrumB.TrimmedMeanC.DifferentialPrivacyD.FederatedAveragingwithMomentum答案：A,B19.（多选）某车规级ECU采用CANFD，需防止伪造诊断指令（0x2EWriteDataByIdentifier）。以下哪些机制有效？A.在ClassicCAN上使用MAC（如CMAC-AES-128）B.启用CANFD的SecOC扩展C.在UDS层实施Challenge-Response基于HMACD.物理隔离诊断CAN与动力CAN答案：B,C,D20.（多选）在DevSecOps流水线中，以下哪些工具可检测IaC模板（Terraform）中的密钥硬编码？A.tfsecB.CheckovC.git-secretsD.Semgrep答案：A,B,C,D21.（判断）Windows1124H2默认启用HVCI，所有未签名的内核驱动将无法加载，即使使用测试签名模式。答案：正确22.（判断）在TLS1.3中，证书压缩（RFC8879）采用zlib算法，可能引发CRIME类攻击，因此浏览器默认禁用。答案：错误（浏览器默认启用，但采用Brotli或Zstandard，且已缓解CRIME）23.（判断）eBPF程序在Linux内核5.15之后，若未启用LOCKDOWNLSM，root用户仍可写入任意内核内存。答案：错误（eBPFverifier禁止写入任意内存）24.（判断）AppleiMessage联系人密钥验证（CKV）可防御量子中间人攻击，因其使用PQ3协议。答案：正确25.（判断）在AWSKMS中，客户主密钥（CMK）的密钥材料可导出至本地HSM，因此AWS仍可离线解密。答案：错误（用户选择外部密钥材料时，AWS无副本）26.（填空）在Linux内核中，针对Meltdown漏洞的缓解补丁名称是________。答案：KAISER（或KPTI）27.（填空）针对JSONWebToken的“none”算法攻击，服务端应始终拒绝alg字段为________的令牌。答案：none28.（填空）在ARM64汇编中，用于启用PAN（PrivilegedAccessNever）的寄存器位位于________寄存器。答案：SCTLR29.（填空）在BGPsec协议中，用于签名AS_Path的算法默认采用________。答案：RSAPKCS#1v1.5withSHA-256（或更新标准RSASSA-PSS）30.（填空）在Windows事件日志中，Sysmon事件ID________记录WMI事件消费者创建。答案：1931.（简答）描述如何利用“GhostRace”漏洞（CVE-2024-XXXX）在Linux内核中绕过SLAB_FREELIST_RANDOM实现任意释放。限150字。答案：攻击者结合条件竞争与Spectre-v1，在free过程中触发推测窗口，利用racecondition使freelist指针在随机化前被泄露，随后通过UAF写入伪造的free对象，实现任意地址释放。32.（简答）说明在Kubernetes中，如何利用CVE-2024-YYYY（绕过PodSecurityadmission）运行特权容器。限150字。答案：攻击者在Pod模板中嵌入ephemeralcontainer，利用controller-manager的缓存延迟，PodSecurity未校验ephemeral字段，通过kubectldebug附加privilegedephemeralcontainer逃逸。33.（简答）解释“后量子IKEv2”中，为何需保留“伪随机函数PRF”而非直接用KEM密钥作为会话密钥。限150字。答案：KEM密钥可能具有结构或偏置，直接用作会话密钥会削弱对称加密安全性；PRF可均匀化熵并引入额外上下文（nonces、SPI），提供密钥分离与前向保密。34.（简答）在OT环境中，如何利用“CIPSafety”协议的CRC-32冗余位实现隐蔽信道传输16bit数据。限150字。答案：攻击者将16bit数据嵌入Safety报文的CRC余数空间，通过预先计算碰撞，使CRC仍满足校验，接收端提取余数低16位还原数据，信道速率约1bit/报文。35.（简答）说明在Android15中，如何绕过“RestrictedSettings”安装恶意Accessibility服务。限150字。答案：利用分屏模式下的NotificationListener绑定陷阱，诱导用户通过SettingsSlice间接授予权限，随后动态更新XML配置注入恶意服务，绕过UI限制弹窗。36.（计算）某企业采用PBKDF2-HMAC-SHA256，迭代次数c=20000，派生256bit密钥。若攻击者使用GPU集群，每秒可计算2^30次HMAC-SHA256，求完全遍历62字符集（A-Za-z0-9）8位口令所需时间（年）。给出公式与结果。答案：总口令空间：（26+26+10）^8=62^8≈2.18×10^14单次PBKDF2需20000次HMAC总计算量：2.18×10^14×2×10^4=4.36×10^18GPU算力：2^30≈1.07×10^9次/秒时间：4.36×10^18/1.07×10^9≈4.08×10^9秒≈129年公式：T=\frac{62^{8}\timesc}{2^{30}\times31536000}\approx129\\text{年}37.（计算）在TLS1.3握手后，使用AES-256-GCM记录层，最大记录大小2^14B，标签长度16B，nonce长度12B。若带宽为10Gbps，忽略握手开销，求理论最大吞吐量（pps）与有效吞吐（Gbps）。答案：每记录开销：header5B+nonce12B+tag16B=33B最大payload：2^14=16384B总帧长：16384+33=16417B10Gbps=1.25×10^9B/spps=1.25×10^9/16417≈7.61×10^4有效吞吐=16384/16417×10≈9.98Gbps38.（综合）阅读以下攻击链，回答问题：1)攻击者发送钓鱼邮件，携带恶意URLhttps://login-microsoftonline.evil/，使用EV证书。2)用户点击后，页面通过WebRTCSTUN获取内网IP，并触发XHR到/rom-0，下载路由器固件。3)攻击者利用CVE-2024-ZZZ（路由器认证绕过）提取PPPoE口令，进一步拿到NAS。4)在内网部署BadUSB固件，模拟键盘输入，打开PowerShell，下载CobaltStrikebeacon。5)使用Kerberoasting获取ServiceAccount哈希，离线破解得口令“P@ssw0rd2026”。6)利用此账户登录SQLServer，启用xp_cmdshell，执行“netuseradd”创建域管等价账户。问题：a)指出第1步中，可检测的两种证书异常。（4分）b)第2步中，如何在不阻断WebRTC前提下，防止内网IP泄露？（4分）c)第3步，若路由器已启用HTTPS管理，如何防御rom-0下载？（4分）d)第5步，如何在不修改口令策略下，让Kerberoasting失效？（4分）e)第6步，如何基于零信任原则，限制SQLServer即使被入侵也无法创建域账户？（4分）答案与解析：a)证书透明度日志未查询到对应EV证书；域名高相似度（typosquatting）触发DGA模型；证书颁发时间极短（<1h）。b)在浏览器策略中禁用WebRTC内网候选（mDNS），或部署企业策略强制使用代理，使STUN返回代理地址。c)在路由器HTTP头添加“X-Router-Access:admin-only”并启用Referer白名单；或在固件层移除rom-0接口。d)将ServiceAccount口令长度设为>256bit随机值，或改用组托管服务账户（gMSA）自动轮转，使哈希无破解价值。e)SQLServer服务账户取消AD写权限，采用gMSA；服务器置于特权访问工作站（PAW）边界，禁止出站LDAP与SAMR；启用Just-Enough-Administration（JEA），xp_cmdshell命令白名单仅允许SELECT。39.（综合）某云原生平台使用Istio1.22，启用mTLSSTRICT模式。发现服务A可绕过授权策略直接访问服务B的/admin接口。排查发现：1)服务Bsidecar版本为1.21，存在CVE-2024-IST1，允许path区分大小写绕过。2)服务A使用HTTP/1.1，服务B使用HTTP/2，Istio启用auto-mtls，但path规范化在HTTP/1.1→2转换时丢失。3)授权策略使用“exact:/admin”，未使用“ignoreCase:true”。问题：a)给出临时缓解方案（不升级sidecar）。（3分）b)给出长期修复方案并说明理由。（3分）c)说明如何利用eBPF在sidecar之前强制path小写，给出CiliumGo代码片段。（4分）答案：a)在授权策略中增加regex匹配：^/[Aa][Dd][Mm][Ii][Nn]，并设置HTTP/1.1→2转换策略为“normalize_path:ALWAYS”。b)升级sidecar至1.22patch版本，启用“path_normalization:CASE_INSENSITIVE”；在PeerAuthentication中强制mTLS，禁用PERMISSIVE。c)代码片段（Go，CiliumeBPF）：```go//+buildignoreinclude<linux/bpf.h>include<linux/pkt_cls.h>include<string.h>defineETH_HLEN14defineMAX_PATH64__section("tc")intpath_tolower(struct