2026年网络安全专业技能竞赛备考试题库(含答案)

2026年网络安全专业技能竞赛备考试题库(含答案)一、网络安全基础1.选择题：以下哪项不属于OSI参考模型的传输层协议？A.TCPB.UDPC.ICMPD.SCTP答案：C（ICMP属于网络层）2.判断题：SYN洪泛攻击通过伪造大量源IP地址向目标发送SYN包，导致目标TCP连接队列耗尽。（）答案：√3.简答题：简述TCP三次握手的具体过程。答案：第一次握手：客户端发送SYN=1，随机序列号seq=x的包至服务器，进入SYN_SENT状态；第二次握手：服务器收到后发送SYN=1、ACK=1，确认号ack=x+1，自身序列号seq=y的包，进入SYN_RCVD状态；第三次握手：客户端发送ACK=1，确认号ack=y+1的包，服务器收到后建立连接，双方进入ESTABLISHED状态。4.选择题：以下哪个协议用于在不安全网络中建立安全隧道？A.ARPB.IPsecC.DHCPD.DNS答案：B（IPsec通过AH和ESP协议提供加密和认证，构建VPN隧道）5.判断题：默认情况下，Windows防火墙会阻止所有入站连接，允许所有出站连接。（）答案：√（Windows默认入站规则为“阻止”，出站为“允许”）二、渗透测试与漏洞利用6.选择题：使用Nmap进行端口扫描时，以下哪个参数用于检测服务版本？A.-sSB.-sVC.-sTD.-sU答案：B（-sV用于服务版本检测，-sS为SYN扫描，-sT为TCP连接扫描，-sU为UDP扫描）7.简答题：简述SQL注入攻击的基本原理及常见类型。答案：原理：攻击者通过输入恶意SQL代码，利用应用程序未对用户输入进行严格过滤的漏洞，使后端数据库执行非预期的SQL命令。常见类型包括：基于布尔的盲注（通过页面返回的布尔值推断数据）、基于时间的盲注（通过延迟响应时间推断数据）、报错注入（利用数据库错误信息获取数据）、联合查询注入（通过UNION合并查询结果获取数据）。8.实操题：假设目标主机IP为0，开放80端口且存在Struts2命令执行漏洞（S2-057），请写出利用Metasploit框架攻击的主要步骤。答案：步骤1：启动Metasploit控制台（msfconsole）；步骤2：搜索S2-057模块（searchstruts2_057）；步骤3：使用对应模块（useexploit/multi/http/struts2_rest_xstream）；步骤4：设置RHOSTS为0，RPORT为80；步骤5：设置PAYLOAD为linux/x86/meterpreter/reverse_tcp（根据目标系统选择）；步骤6：设置LHOST为攻击机IP，LPORT为监听端口；步骤7：执行攻击（exploit），成功后获取meterpreter会话。9.选择题：以下哪个工具常用于绕过WindowsDefender的恶意软件扫描？A.MimikatzB.CobaltStrikeC.WiresharkD.Nmap答案：B（CobaltStrike支持Beacon有效载荷混淆和加密，可绕过部分杀软；Mimikatz用于凭证提取）10.判断题：目录遍历漏洞的本质是应用程序未对用户输入的文件路径进行有效校验，导致访问非预期文件。（）答案：√三、漏洞挖掘与分析11.选择题：缓冲区溢出攻击中，覆盖返回地址（ReturnAddress）的目的是？A.修改程序执行流程B.增加内存容量C.破坏堆结构D.触发系统蓝屏答案：A（通过覆盖返回地址为shellcode地址，使程序跳转到恶意代码执行）12.简答题：简述XSS漏洞的三种类型及区别。答案：类型1：反射型XSS（非持久型），恶意代码随用户请求发送至服务器，服务器处理后将代码反射回客户端，仅当前请求有效；类型2：存储型XSS（持久型），恶意代码被存储在服务器数据库中（如评论、用户信息），所有访问该页面的用户都会触发；类型3：DOM型XSS，漏洞存在于客户端JavaScript代码中，通过修改DOM树结构触发，不经过服务器端处理。区别核心在于恶意代码的存储位置和触发方式。13.选择题：以下哪个漏洞属于逻辑漏洞？A.SQL注入B.CSRFC.缓冲区溢出D.栈溢出答案：B（CSRF利用用户身份认证状态执行非预期操作，属于业务逻辑缺陷；其他为代码执行类漏洞）14.判断题：CVE（CommonVulnerabilitiesandExposures）是全球统一的漏洞编号系统，每个漏洞对应唯一CVEID。（）答案：√四、应急响应与安全运营15.选择题：恶意代码分析中，“沙箱”技术的主要作用是？A.加速代码执行B.隔离分析环境，防止恶意代码影响真实系统C.提取代码数字签名D.恢复被删除的文件答案：B（沙箱通过虚拟环境模拟真实系统，安全执行恶意代码并记录行为）16.简答题：简述网络安全事件应急响应的主要阶段及关键操作。答案：阶段1：准备（制定预案、组建团队、部署监控工具）；阶段2：检测（通过SIEM、日志分析、入侵检测系统发现异常）；阶段3：分析（确定事件类型、影响范围、攻击路径）；阶段4：抑制（隔离受影响主机、关闭漏洞服务、终止恶意进程）；阶段5：根除（清除恶意文件、修复系统漏洞、重置凭证）；阶段6：恢复（数据备份恢复、系统重新上线）；阶段7：总结（撰写报告、优化防御措施）。17.实操题：某企业发现Web服务器日志中存在大量“/admin/deleteUser?id=1”的POST请求，且部分用户账户被删除。请列出排查步骤及可能的漏洞类型。答案：排查步骤：1.检查日志时间、源IP，确认是否为合法用户操作；2.分析请求头是否包含合法会话Cookie，判断是否存在会话劫持；3.查看应用程序代码，确认删除用户接口是否验证Referer头、CSRF令牌；4.测试接口是否仅依赖Cookie认证，未验证用户权限（如普通用户能否删除管理员）。可能漏洞：CSRF（跨站请求伪造）或权限绕过漏洞。18.判断题：EDR（端点检测与响应）工具主要用于网络流量监控，无法检测终端本地恶意行为。（）答案：×（EDR重点监控终端进程、文件、注册表等行为，可检测本地恶意操作）五、密码学与安全通信19.选择题：以下哪种算法属于非对称加密？A.AES-256B.DESC.RSAD.SHA-256答案：C（RSA使用公钥加密、私钥解密；AES、DES为对称加密；SHA-256为哈希算法）20.简答题：简述数字签名的实现流程及作用。答案：流程：1.发送方对原始数据计算哈希值（摘要）；2.用发送方私钥对摘要进行加密，提供数字签名；3.将原始数据、数字签名、发送方公钥（或证书）一同发送；4.接收方用发送方公钥解密签名，得到原始摘要；5.接收方对收到的数据重新计算哈希值，与解密后的摘要比对，一致则验证成功。作用：确保数据完整性（防止篡改）、身份认证（确认发送方身份）、不可抵赖（发送方无法否认发送行为）。21.选择题：若AES加密使用128位密钥，其轮数为？A.10轮B.12轮C.14轮D.16轮答案：A（AES-128轮数10，AES-192轮数12，AES-256轮数14）22.判断题：HTTPS通过SSL/TLS协议加密传输，因此无需验证网站证书的有效性。（）答案：×（需验证证书是否由可信CA颁发、是否过期、域名是否匹配，否则可能遭遇中间人攻击）六、云安全与数据安全23.选择题：以下哪项属于云服务模式SaaS（软件即服务）的典型应用？A.阿里云ECS（弹性计算服务）B.腾讯云数据库TDSQLC.钉钉在线办公系统D.华为云对象存储OBS答案：C（SaaS提供完整的软件应用，用户无需管理底层架构；ECS为IaaS，TDSQL为PaaS，OBS为IaaS存储服务）24.简答题：简述云环境下IAM（身份与访问管理）的核心控制措施。答案：核心措施包括：1.最小权限原则（仅授予必要的资源访问权限）；2.多因素认证（MFA）增强身份验证；3.角色分离（如管理员、审计员、普通用户角色权限隔离）；4.策略管理（通过JSON策略定义允许/拒绝的操作，如S3存储桶的读写权限）；5.访问日志审计（记录所有IAM操作，便于追溯）。25.实操题：某企业使用AWSS3存储用户敏感数据，近期发现存储桶被公开访问导致数据泄露。请列出修复步骤及预防措施。答案：修复步骤：1.登录AWS控制台，进入S3存储桶管理页面；2.关闭“公共访问权限”（BlockPublicAccess），取消所有匿名读取权限；3.检查存储桶策略（BucketPolicy）和访问控制列表（ACL），删除允许“所有人”访问的规则；4.启用版本控制（Versioning），恢复泄露前的历史版本数据；5.配置AWSCloudTrail记录所有S3操作日志。预防措施：1.遵循“默认私有”原则，仅通过IAM角色或预签名URL授权访问；2.定期审计存储桶权限（使用AWSConfig或第三方工具）；3.对敏感数据启用客户端加密或SSE-S3服务器端加密；4.设置警报（如CloudWatch警报）监控异常访问请求。26.判断题：数据脱敏技术中的“哈希脱敏”是可逆的，可通过反向计算恢复原始数据。（）答案：×（哈希算法（如SHA-256）是单向函数，无法通过哈希值还原原始数据；可逆脱敏常用加密或替换算法）七、高级安全技术27.选择题：以下哪种技术用于检测未知恶意软件？A.特征码扫描B.行为分析C.沙箱检测D.黑名单过滤答案：B（行为分析通过监控进程创建、文件写入、网络连接等行为识别异常，可检测0day攻击；其他为已知威胁检测）28.简答题：简述零信任架构（ZeroTrust）的核心原则。答案：核心原则包括：1.永不信任，始终验证（所有访问请求需身份、设备、环境等多维度验证）；2.最小权限访问（根据上下文动态调整权限，如位置、时间、用户角色）；3.持续监控（实时评估访问会话的安全性，异常则终止连接）；4.资源微隔离（将网络划分为细粒度区域，限制横向移动）；5.端到端加密（所有传输数据必须加密，防止中间人攻击）。29.实操题：某企业部署了WAF（Web应用防火墙），但近期仍发生SQL注入攻击。请分析可能原因及排查方法。答案：可能原因：1.WAF规则库未及时更新，未覆盖新型SQL注入Payload；2.WAF模式为“检测模式”而非“阻断模式”，仅记录未拦截；3.攻击使用编码/混淆技术（如双URL编码、Unicode转换）绕过WAF检测；4.应用程序存在W