2026年全国职业院校技能大赛备考试卷

2026年全国职业院校技能大赛备考试卷一、单项选择题（本大题共20小题，每小题2分，共40分。在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填在题后的括号内。错选、多选或未选均无分。）1.在2026年主流的网络安全防御体系中，零信任架构的核心原则被重新定义为“永不信任，始终验证”。在以下技术组件中，哪一个不是实现零信任架构的关键支撑技术？A.软件定义边界（SDP）B.身份识别与访问管理（IAM）C.传统基于边界的网络防火墙D.微隔离技术2.某企业网络正在部署基于云原生的安全防护方案。在容器逃逸攻击日益增多的背景下，以下哪项配置措施最能有效防止容器内的进程获取宿主机的特权？A.在Dockerfile中使用USER指令切换到非root用户运行B.限制容器的CPU和内存使用配额C.只使用官方可信的基础镜像D.定期更新容器内的应用软件3.在进行Web应用渗透测试时，测试人员发现某电商平台存在SQL注入漏洞。为了绕过WAF（Web应用防火墙）对“UNIONSELECT”关键字的过滤，测试人员决定使用内联注释技术。以下哪段Payload是最有效的绕过尝试？A.'UNION/**/SELECT1,2,3--B.'UNIONSELECTnull,null,null--C.'unionselect1,2,3--D.'UNION%0ASELECT%0A1,2,3--4.随着量子计算技术的发展，传统的非对称加密算法如RSA和ECC面临被量子算法（如Shor算法）破解的风险。目前被公认为能够抵抗量子计算机攻击的后量子密码算法主要基于哪类数学难题？A.大整数分解问题B.离散对数问题C.格理论或多变量多项式问题D.椭圆曲线离散对数问题5.在使用Wireshark分析网络流量时，安全分析师注意到大量的TCP数据包中标志位被设置为PSH（Push）和ACK。这通常意味着什么？A.正在建立TCP三次握手连接B.正在断开TCP四次挥手连接C.接收方应立即将数据交付给应用层，而不是等待缓冲区填满D.发生网络拥塞，发送方正在重传数据6.某网络安全团队正在编写Python脚本用于自动化应急响应。在处理外部输入的文件名时，为了防止路径遍历攻击，以下哪种方法是最安全的验证方式？A.检查文件名字符串中是否包含“..”B.使用os.path.basename()提取文件名并重新拼接白名单目录C.在前端JavaScript中进行文件名验证D.仅检查文件扩展名是否为“.jpg”或“.png”7.在工业控制系统（ICS）安全中，PLC（可编程逻辑控制器）的固件更新是一个高风险操作。为了确保固件完整性和真实性，最推荐的安全措施是？A.使用未加密的HTTP协议下载固件以加快速度B.仅在夜间维护窗口期进行更新，不进行校验C.使用数字签名验证固件，并在更新前校验哈希值D.断开PLC与上位机连接后，通过U盘直接拷贝固件8.某大型企业内部网络采用OSPF动态路由协议。为了增强路由协议的安全性，防止恶意路由器注入虚假路由条目，网络管理员应配置哪种OSPF认证机制？A.Null认证（无认证）B.明文认证C.MD5认证或SHA-HMAC认证D.WPA2-PSK认证9.在Windows系统取证分析中，PE文件（PortableExecutable）的节表包含了代码和数据。恶意软件常将恶意代码隐藏在非标准节中。以下哪个节名通常是合法的PE文件节，但也常被恶意代码利用？A..textB..rsrcC..rdataD..UPX010.在进行密码学分析时，假设攻击者截获了一段使用AES-128-CBC模式加密的密文。如果攻击者已知第一块明文的内容，并能够修改传输中的密文，这种攻击属于？A.侧信道攻击B.填充预言攻击C.比特翻转攻击D.暴力破解攻击11.某Web应用允许用户上传头像图片，但在后端处理时未严格限制文件解析的库。攻击者上传了一个名为“avatar.php.jpg”的文件，且内容包含PHPWebshell代码。如果服务器配置不当，这可能导致哪种漏洞？A.文件包含漏洞B.SQL注入漏洞C.文件上传漏洞（利用解析漏洞）D.XSS跨站脚本攻击12.在Linux系统中，/etc/passwd文件存储了用户账户信息。如果该文件的权限被错误地设置为777（全局可写），这主要违反了安全基线中的哪项原则？A.最小权限原则B.职责分离原则C.纵深防御原则D.失败安全原则13.安全运营中心（SOC）使用SIEM系统收集日志。在分析某次登录失败日志时，时间戳显示为“1704067200”。这通常代表什么格式的时间？A.UTC格式的字符串B.Unix时间戳（EpochTime，秒级）C.MicrosoftFILETIMED.MacAbsoluteTime14.关于HTTP/3协议，它基于QUIC传输层协议运行。与HTTP/2相比，HTTP/3在安全性方面的主要改进是？A.强制使用TLS1.3B.移除了所有HTTP头部C.不再支持压缩算法D.禁用了Cookie机制15.某数据库管理员使用MySQL数据库。为了防止通过SQL注入获取数据库结构信息，以下哪个MySQL配置项应该被设置为禁用或限制？A.allow_url_includeB.secure_file_privC.local_infileD.information_schema.tables访问权限（需通过权限控制而非配置项直接禁用，但最接近的是限制文件加载）16.在Kubernetes集群安全配置中，PodSecurityPolicy(PSP)已被废弃并移除，取而代之的是？A.RBAC(Role-BasedAccessControl)B.PodSecurityStandards(admissioncontrollers)C.NetworkPoliciesD.ServiceAccounts17.在逆向工程中，OllyDbg和x64dbg是常用的动态调试工具。当分析人员尝试调试一个开启了反调试技术的恶意程序时，程序可能会检测到调试器的存在并退出。常见的反调试技术包括检测？A.IsDebuggerPresentAPIB.GetTickCountAPIC.MessageBoxAPID.CreateFileAPI18.某公司实施了数据防泄漏（DLP）系统。DLP系统主要通过以下哪种技术来识别敏感数据（如身份证号、信用卡号）？A.深度包检测（DPI）和正则表达式匹配B.仅通过文件扩展名过滤C.仅通过文件大小限制D.随机抽样检查19.在无线网络安全中，WPA3(Wi-FiProtectedAccess3)引入了一种新的握手协议来替代WPA2中的4-WayHandshake，以防止离线字典攻击。该协议被称为？A.SAE(SimultaneousAuthenticationofEquals)B.WPS(Wi-FiProtectedSetup)C.TKIP(TemporalKeyIntegrityProtocol)D.CCMP(CounterModeCBC-MACProtocol)20.某PythonWeb应用使用了Flask框架。为了防止跨站请求伪造（CSRF）攻击，开发者应该？A.只使用POST方法提交表单B.在Cookie中设置HttpOnly标志C.在表单中包含不可预测的CSRFToken，并在服务端验证D.在响应头中添加X-Frame-Options二、多项选择题（本大题共10小题，每小题3分，共30分。在每小题列出的五个备选项中至少有两个是符合题目要求的，请将其代码填在题后的括号内。错选、多选、少选或未选均无分。）21.针对生成式人工智能（AIGC）带来的新型安全风险，企业在部署内部大模型应用时，应采取哪些安全措施以防止“提示词注入”和敏感数据泄露？A.实施严格的输入验证和过滤机制，识别并拦截恶意提示词模式B.对用户与模型的交互流量进行实时审计和敏感词检测C.允许模型直接访问互联网以获取最新信息，无需限制D.对返回给用户的内容进行红队测试，确保不包含训练数据中的隐私信息E.将核心数据库凭证直接硬编码在Prompt中以便模型查询22.以下哪些技术或协议属于VPN（虚拟专用网络）的实现方式，且能提供较高的机密性？A.IPSec(InternetProtocolSecurity)B.PPTP(Point-to-PointTunnelingProtocol)C.SSL/TLSVPN(如OpenVPN)D.L2TP(Layer2TunnelingProtocol)单独使用E.SSHTunneling23.在Windows日志取证中，事件ID（EventID）是识别特定安全事件的关键。以下哪些事件ID通常与登录行为相关？A.4624(Anaccountwassuccessfullyloggedon)B.4625(Anaccountfailedtologon)C.4720(Auseraccountwascreated)D.5061(Cryptographicoperation)E.1102(Theauditlogwascleared)24.关于XSS（跨站脚本攻击）的防御措施，以下哪些描述是正确的？A.在输出用户输入的数据到HTML页面时，进行HTML实体编码B.设置Content-Security-Policy(CSP)响应头限制脚本来源C.使用HttpOnlyCookie标志防止JavaScript通过document.cookie读取CookieD.只要在前端JavaScript中进行了过滤，后端就不需要再处理E.对所有用户输入进行trim()处理即可完全防御25.在应急响应流程中，当确认服务器已被入侵，为了保全证据，以下哪些操作是正确的？A.立即拔掉服务器网线以断开网络B.对内存进行全镜像捕获C.对磁盘进行位对位镜像复制，并在只读模式下进行分析D.直接在受感染服务器上重启系统以“杀毒”E.记录当前系统时间、运行进程和网络连接状态26.以下哪些工具常用于网络扫描和漏洞发现？A.NmapB.NessusC.BurpSuiteD.WiresharkE.MetasploitFramework27.关于公钥基础设施（PKI）和数字证书，以下说法正确的有？A.CA（证书颁发机构）负责签发和吊销数字证书B.CRL（证书吊销列表）用于查询已失效的证书C.证书中包含公钥和持有者的身份信息D.私钥可以公开在网络中传输E.OCSP（在线证书状态协议）比CRL查询速度更快28.Linux系统中，/etc/ssh/sshd_config是SSH服务的重要配置文件。为了加固SSH服务，以下哪些配置是推荐的？A.PermitRootLoginnoB.PasswordAuthenticationnoC.Port2222(修改默认端口)D.Protocol1(为了兼容旧版本)E.AllowUsersspecific_user(限制登录用户)29.在Web安全中，SSRF（服务器端请求伪造）漏洞的危害包括？A.扫描内网端口B.读取本地文件（利用file://协议）C.攻击内网Redis等服务D.窃取客户端的CookieE.直接执行系统命令30.关于数据备份策略，以下哪些描述符合“3-2-1”备份原则？A.至少有3份数据拷贝B.存储在至少2种不同的存储介质上（如磁盘、磁带、云）C.至少有1份备份存储在异地（离线或远程）D.所有备份都必须是全量备份E.备份文件必须加密存储三、判断题（本大题共10小题，每小题1分，共10分。请判断每小题的表述是否正确，正确的填“√”，错误的填“×”。）31.在对称加密算法中，加密和解密使用相同的密钥，因此密钥的分发和管理是该算法的主要安全挑战。()32.ICMP协议主要用于网络层的错误报告和诊断，因此ICMP流量永远不会被用于攻击，防火墙应该始终放行所有ICMP包。()33.只要使用了HTTPS协议，Web应用就是绝对安全的，不存在任何中间人攻击或数据泄露的风险。()34.在渗透测试中，获得了一个低权限的WebShell后，通常需要进行提权操作，如利用内核漏洞或SUID程序配置不当，以获取Root权限。()35.布尔盲注是SQL注入的一种类型，攻击者无法从页面直接获取数据，只能通过页面的真/假响应来逐位推测数据。()36.防火墙的三张表分别是过滤表、NAT表和Mangle表，其中NAT表主要用于修改数据包的源地址、目标地址或端口。()37.Base64编码是一种加密算法，常用于将敏感数据转换为不可读字符串以保护其机密性。()38.在Python中，使用pickle模块进行反序列化操作是安全的，因为pickle会自动验证数据来源。()39.ARP协议用于将IP地址解析为MAC地址，ARP欺骗攻击的核心原理是伪造ARP响应包，以此篡改网关或主机的ARP缓存表。()40.数字签名的主要作用是保证数据的完整性、认证发送方身份，并具有不可抵赖性，但它不提供数据机密性。()四、填空题（本大题共10小题，每小题2分，共20分。请将答案填在题中的横线上。）41.在网络协议分析中，HTTP协议默认使用TCP端口____，HTTPS协议默认使用TCP端口____。42.某IP地址为3，子网掩码为24。则该子网的网络地址是____，广播地址是____。43.在Linux权限系统中，rwxr-xr--对应的八进制数值表示为____。其中，只有文件所有者拥有____权限。44.SQL注入攻击中，若要获取当前数据库用户名，通常会使用MySQL的____函数，在MSSQL中则可以使用____函数。45.在CTF比赛中，MISC类题目常涉及隐写术。若一张PNG图片的末尾隐藏了另一个文件，可以使用Linux命令____来查看文件尾部十六进制数据，或者使用____工具来分离文件。46.Windows操作系统中，用于远程桌面连接的默认端口是____，而用于服务器消息块（SMB）文件共享的默认端口是____。47.在Python的socket模块中进行网络编程时，____方法用于接收数据，____方法用于发送数据。48.常见的Web中间件中，Tomcat默认的配置文件名是____，Nginx默认的配置文件路径通常是____。49.密码学中，RSA算法的安全性基于大整数分解难题，而ECC（椭圆曲线加密）的安全性基于____难题。50.在日志分析中，正则表达式常用于匹配特定模式。若要匹配IPv4地址，可以使用正则表达式：\b(?:\d{1,3}\.){3}\d{1,3}\b。若要匹配电子邮件地址，通常需要包含符号____。五、简答题（本大题共5小题，每小题6分，共30分。）51.简述TCP三次握手的过程，并解释为什么需要三次握手而不是两次。52.什么是中间人攻击（Man-in-the-MiddleAttack）？请列举两种常见的中间人攻击实施方式及其防御措施。53.请解释什么是同源策略（Same-OriginPolicy），以及它如何限制跨域访问。列举三种常见的跨域资源共享（CORS）配置错误导致的安全风险。54.在应急响应中，当发现Linux服务器存在异常挖矿进程，请列出标准排查步骤（至少4步）。55.简述IDS（入侵检测系统）和IPS（入侵防御系统）的区别。基于特征（签名）的检测和基于异常的检测各有什么优缺点？六、综合应用题（本大题共3小题，共40分。）56.（本题15分）子网划分与路由配置计算某公司申请到了一个C类IP地址段：/24。网络规划要求如下：(1)部门A需要60个主机IP地址。(2)部门B需要30个主机IP地址。(3)部门C需要10个主机IP地址。(4)部门D需要2个主机IP地址（点对点链路）。请使用VLSM（可变长子网掩码）技术进行规划，并回答以下问题：(1)请写出各部门的子网地址、子网掩码（或CIDR格式）及可用IP地址范围。(2)假设路由器R1连接外网和内网，内网接口IP配置为各子网的第一个可用IP。请计算部门A的默认网关IP地址。(3)若部门A的一台主机IP地址配置为5，子网掩码配置为92，请计算该主机所在子网的广播地址。57.（本题12分）Web安全渗透测试分析某电商网站存在一个搜索功能，URL如下：`http://www.example/products/search?keyword=laptop`安全测试人员对该参数进行测试，发现当输入`laptop'orderby1--`时页面正常，输入`laptop'orderby10--`时页面报错。随后测试人员使用`laptop'unionselect1,2,3,4,5,6--`页面显示正常，且在页面位置“商品描述”处显示了数字“3”。测试人员进一步构造Payload：`laptop'unionselect1,2,database(),4,5,6--`，页面在“商品描述”处显示了“ecommerce_db”。(1)请判断该漏洞的类型，并说明上述步骤中“orderby”和“unionselect”的作用。(2)已知MySQL版本为5.7+，请写出获取“ecommerce_db”数据库中所有表名的Payload语句（假设已知表名存储在information_schema.tables中）。(3)在获取到敏感数据后，攻击者如何进一步利用该漏洞获取WebShell（假设具有file_priv权限，且知道网站绝对路径）？请写出利用思路。58.（本题13分）日志分析与应急响应某企业Web服务器（Nginx+PHP）遭受了攻击，安全分析师提取了部分访问日志（access.log）如下：```log00--[10/Oct/2026:14:55:01+0800]"GET/index.php?id=1UNIONSELECT1,2,3--HTTP/1.1"2001234"-""Mozilla/5.0"00--[10/Oct/2026:14:55:05+0800]"GET/config.phpHTTP/1.1"2005678"-""Mozilla/5.0"00--[10/Oct/2026:14:55:10+0800]"POST/upload.phpHTTP/1.1"20045"-""Mozilla/5.0"00--[10/Oct/2026:14:55:15+0800]"GET/images/shell.phpHTTP/1.1"200321"-""Mozilla/5.0"```(1)请分析上述日志，描述攻击者的攻击链条。(2)针对日志中的攻击行为，管理员应立即采取哪些隔离和遏制措施？(3)为了溯源攻击者，除了日志中的IP地址，还应该收集哪些证据？如何防止此类攻击再次发生？（请从代码层面和服务器配置层面各给出一条建议）。七、实操编程题（本大题共2小题，共30分。）59.（本题15分）Python脚本编写：简单的端口扫描器请编写一个Python脚本，使用多线程技术，对指定目标IP的常见端口（1-1024）进行TCP全连接扫描。要求：(1)脚本接受两个命令行参数：目标IP和线程数。(2)输出格式为：[+]Port80isOPEN。(3)需包含异常处理，防止因网络问题导致脚本崩溃。(4)使用socket模块。60.（本题15分）Python脚本编写：RSA签名验证模拟模拟一个简单的RSA签名验证过程（不使用实际的复杂加密库，仅模拟数学逻辑或使用PyCryptodome库的简化接口）。要求：(1)假设公钥为，指数e=65537（为简化计算，题目不要求生成大素数，假设已知模数n和私钥d）。(2)实际上，为了考察逻辑，请编写一个函数`verify_signature(message,signature,n,e)`。(3)验证逻辑：计算=sig(4)请描述在真实的RSA签名中，为什么要先对消息进行Hash处理，再对Hash值进行签名运算？参考答案与解析一、单项选择题1.【答案】C【解析】零信任架构的核心是打破网络边界的信任模型。传统的基于边界的网络防火墙（C）假定内部网络是可信的，这与零信任的理念背道而驰。SDP、IAM和微隔离都是实现零信任的重要技术组件。2.【答案】A【解析】在容器中以root用户运行是导致容器逃逸的高危因素，因为如果容器配置不当（如共享了宿主机进程命名空间或文件系统），攻击者获得容器root权限即可尝试获取宿主机权限。使用USER指令切换非root用户是最佳实践之一。3.【答案】A【解析】内联注释`//`可以有效地分割关键字，绕过对空格或连续字符串的过滤。`UNION//SELECT`是常见的WAF绕过技巧。选项B包含空格，选项C是小写（可能被大小写敏感过滤拦截），选项D使用换行符（%0A），虽然也可能有效，但A是更标准的SQL注释绕过方式。4.【答案】C【解析】后量子密码学旨在抵抗量子计算机攻击。RSA基于大整数分解，ECC基于离散对数，这两者均可被量子算法破解。基于格理论（如Kyber、Dilithium）或多变量多项式、哈希的算法是目前的主流研究方向。5.【答案】C【解析】PSH（Push）标志位指示接收端应尽快将数据交付给应用层，而不必等待缓冲区填满。这常用于交互式应用，如Telnet或SSH。6.【答案】B【解析】A选项仅检查“..”可能被绕过（如编码）。C选项前端验证极易绕过。D选项仅检查扩展名不安全。B选项使用`os.path.basename()`提取纯文件名，并强制将其拼接到预定义的安全目录下，是防止路径遍历的最安全方法。7.【答案】C【解析】固件更新必须保证完整性和真实性。使用数字签名和哈希校验是标准的安全验证流程。HTTP不安全，U盘可能传播病毒，仅靠时间窗口不解决篡改问题。8.【答案】C【解析】OSPF支持明文认证和MD5/HMAC认证。Null认证无安全性。明文认证易被嗅探。MD5或SHA-HMAC提供了加密完整性验证。WPA2是无线认证协议。9.【答案】D【解析】.text,.rsrc,.rdata都是标准的PE节。.UPX0是UPX加壳工具生成的节名，常用于恶意软件压缩，虽然合法但在分析中需重点关注。10.【答案】C【解析】CBC模式下，明文块与前一个密文块异或。如果攻击者修改密文块，解密时会发生变化（通过异或特性翻转比特），这就是比特翻转攻击。这通常用于改变明文含义（如权限位）。11.【答案】C【解析】这是典型的文件上传解析漏洞。服务器可能配置为从右向左解析后缀，或者Apache解析了“avatar.php.jpg”中的php。如果上传目录可执行，则会将文件作为PHP执行。12.【答案】A【解析】最小权限原则要求主体仅拥有完成其任务所需的最小权限。/etc/passwd全局可写违反了此原则，允许任意用户修改系统账户信息。13.【答案】B【解析】1704067200是标准的Unix时间戳（自1970-01-0100:00:00UTC起的秒数）。14.【答案】A【解析】HTTP/3基于QUIC，QUIC集成了TLS1.3，并且从一开始就强制使用加密，不提供明文版本，相比HTTP/2（TLS可选或早期版本）安全性更高。15.【答案】D【解析】虽然无法直接通过配置项“关闭”information_schema的访问，但限制对它的访问是防止SQL注入获取元数据的关键。A是PHP配置，B是MySQL文件导入导出限制，C是本地文件加载。题目考察的是防止结构泄露，D最相关（通过权限控制）。注：本题D选项描述略显特殊，但在SQL注入防御语境下，限制对元数据库的访问是核心。16.【答案】B【解析】Kubernetes废弃了PSP，引入了基于准入控制器的PodSecurityStandards来强制实施Pod安全标准。17.【答案】A【解析】`IsDebuggerPresent`是WindowsAPI，用于检查当前进程是否被调试器调试，是最基础的反调试技术。`GetTickCount`可用于计时检测，`MessageBox`和`CreateFile`是通用API。18.【答案】A【解析】DLP系统通过深度包检测（DPI）还原流量，结合正则表达式匹配敏感数据模式（如身份证号规则）。仅靠扩展名或大小是不够的。19.【答案】A【解析】WPA3引入了SAE（SimultaneousAuthenticationofEquals）握手，替代了WPA2的4-WayHandshake，有效防止了离线字典攻击和KRACK攻击。20.【答案】C【解析】防御CSRF的标准做法是在表单中加入不可预测的Token，并在服务器端验证请求是否携带正确的Token。A、B、D不能防御CSRF。二、多项选择题21.【答案】ABD【解析】防止提示词注入需要输入过滤（A）、流量审计（B）和输出红队测试（D）。C会导致数据泄露风险，E是严重的安全错误。22.【答案】ABCE【解析】IPSec、SSL/TLSVPN、SSHTunneling都提供加密机密性。PPTP加密较弱（虽使用MPPE但易破解），L2TP本身不加密，需配合IPSec使用。通常选A、C、E为最佳，B也算VPN方式。23.【答案】AB【解析】4624是登录成功，4625是登录失败。4720是创建用户，5061是加密操作，1102是日志清除。24.【答案】ABC【解析】输出编码（A）、CSP（B）、HttpOnly（C）都是有效的XSS防御手段。前端验证不可信（D），trim不能防御XSS（E）。25.【答案】BCE【解析】应急响应中，应先进行内存镜像（B）和磁盘镜像（C），并记录现场（E）。直接拔网线（A）可能导致内存数据丢失或破坏某些网络状态，通常建议在流量镜像完成后断网。直接重启（D）会破坏易失性证据。26.【答案】ABCD【解析】Nmap（扫描）、Nessus（漏扫）、BurpSuite（Web扫描/审计）、Wireshark（分析）都是发现漏洞的工具。Metasploit是利用框架，虽然包含扫描模块，但主要用于攻击。27.【答案】ABCE【解析】CA签发证书（A），CRL和OCSP用于查询状态（B、E），证书包含公钥（C）。私钥必须保密（D）。28.【答案】ABCE【解析】禁止Root登录（A）、禁止密码认证（B）、修改端口（C）、限制用户（E）都是加固措施。Protocol1已过时且不安全（D）。29.【答案】ABC【解析】SSRF可以攻击内网（A）、读取文件（B）、攻击内网服务（C）。它攻击的是服务器端，不能直接窃取客户端Cookie（D），也不能直接执行系统命令（E，除非配合gopher等协议特定场景，但非直接功能）。30.【答案】ABC【解析】3-2-1原则：3份数据，2种介质，1个异地。D和E不是必须的，虽然推荐。三、判断题31.【答案】√32.【答案】×（ICMP可用于Ping洪水攻击，且某些ICMP重定向可被利用，防火墙通常只允许特定类型如EchoReply）33.【答案】×（HTTPS虽加密，但可能有SSL剥离、中间人证书信任、应用程序逻辑漏洞等风险）34.【答案】√35.【答案】√36.【答案】√37.【答案】×（Base64是编码，可逆，无密钥，不提供机密性）38.【答案】×（Pickle反序列化不安全，可能执行任意代码）39.【答案】√40.【答案】√四、填空题41.【答案】80；44342.【答案】2；3【解析】掩码224（/27），块大小32。33属于32-63块。网络32，广播63。43.【答案】754；写入【解析】r(4)+w(2)+x(1)。Owner:rwx=7,Group:r-x=5,Other:r--=4。Owner有w权限。44.【答案】user()；user_name()或system_user45.【答案】xxd或tail或hexdump；binwalk或foremost46.【答案】3389；44547.【答案】recv；send48.【答案】server.xml；/etc/nginx/nginx.conf49.【答案】椭圆曲线离散对数50.【答案】@五、简答题51.【答案】TCP三次握手过程：1.客户端发送SYN包（seq=x）给服务器，进入SYN_SENT状态。2.服务器收到SYN包，回复SYN+ACK包（ack=x+1,seq=y），进入SYN_RCVD状态。3.客户端收到SYN+ACK包，回复ACK包（ack=y+1），进入ESTABLISHED状态。服务器收到后也进入ESTABLISHED状态。原因：为了防止已失效的连接请求报文段突然又传送到了服务端，因而产生错误。如果是两次握手，服务端无法确认客户端的接收能力，且无法有效处理历史重复的连接请求。52.【答案】中间人攻击是指攻击者秘密拦截并可能篡改两个通信方之间消息的攻击方式。实施方式：1.ARP欺骗：攻击者伪造ARP响应，将受害者的流量导向攻击者机器。2.恶恶热点：攻击者建立一个与合法Wi-Fi同名或相似的虚假AP，诱骗用户连接。防御措施：1.使用强加密协议（如TLS/SSL）并验证证书。2.在局域网中使用静态ARP表或ARP监控工具。3.使用VPN进行加密通信。53.【答案】同源策略（SOP）是浏览器的一种安全机制，它限制一个源（协议、域名、端口）的文档或脚本如何与另一个源的资源进行交互。它阻止了跨域读取数据（如Cookie、DOM）。限制：如果协议、域名、端口任一不同，则视为不同源，受到限制。CORS配置错误风险：1.反射Origin：服务器将请求头中的Origin值直接作为Access-Control-Allow-Origin返回，导致任何域都能访问。2.配置为`*`且携带凭证：允许携带Cookie的跨域请求对所有源开放，极易导致敏感信息泄露。3.正则匹配错误：如配置为`*.example`，可能被`attackerexample`等绕过（取决于解析逻辑）。54.【答案】1.查看当前系统负载和异常进程：使用`top`、`ps`命令，查找高CPU占用的进程。2.定位恶意进程文件路径：通过`ls-l/proc/<PID>/exe`确定进程对应的可执行文件位置。3.检查网络连接：使用`netstat-antp`或`ss`查看该进程建立的对外连接（特别是连接矿池地址的连接）。4.检查定时任务：查看`crontab-l`、`/var/spool/cron/`等位置，检查是否有恶意计划任务维持驻留。5.杀死进程并删除文件：结束恶意进程，删除对应的二进制文件和定时任务。55.【答案】区别：IDS（入侵检测系统）是旁路部署，主要作用是检测和报警，不直接阻断流量。IPS（入侵防御系统）是串接部署（Inline），具有阻断能力，能实时拦截攻击流量。优缺点：基于特征（签名）的检测：优点：准确率高，误报率低，对已知攻击检测效果好。缺点：无法检测未知攻击（0-day），规则库需持续更新。基于异常的检测：优点：能检测未知攻击和新型变体。缺点：误报率高，因为难以定义完美的“正常”行为基线。六、综合应用题56.【答案】(1)部门A（需60主机）：−2子网1：/26。范围：-2。广播：.63。部门B（需30主机）：−2子网2：4/27。范围：5-4。广播：.95。部门C（需10主机）：−2子网3：6/28。范围：7-10。广播：.111。部门D（需2主机）：−2子网4：12/30。范围：13-14。广播：.115。(2)部门A的子网是/26。第一个可用IP是。这通常分配给网关。部门A的默认网关：。(3)主机IP：5，掩码：92(/26)。块大小=256-192=64。65所在的子网范围是：64~127。网络地址：4。广播地址：网络地址+块大小-1=64+64-1=127。广播地址：27。57.【答案】(1)漏洞类型：SQL注入（Union查询注入）。Orderby1~10的作用：判断当前查询语句的列数（字段数）。当数字超出列数时报错，从而确定列数为6。Unionselect1,2,3,4,5,6的作用：测试联合查询是否可行，并确定哪些列的位置会在页面直接回显（此处数字3在页面显示，即第3列是数据回显点）。(2)Payload：`laptop'unionselect1,2,table_name,4,5,6frominformation_schema.tableswheretable_schema='ecommerce_db'--+`(3)利用思路：1.使用`SELECT...INTOOUTFILE`语句。2.构造Payload写入一句话木马：`laptop'unionselect1,2,'<?phpeval($_POST[cmd]);?>',4,5,6intooutfile'/var/www/html/shell.php'--+`（注意：需知道绝对路径，且MySQL用户有FILE权限，且目标目录可写）。3.成功后，访问/shell.php，使用中国菜刀或冰蝎等工具连接，获取服务器控制权。58.【答案】(1)攻击链条：1.SQL注入探测与利用：攻击者通过`index.php?id=...`进行注入，获取数据库结构。2.信息泄露：访问`config.php`，尝试读取数据库配置文件或敏感配置信息。3.文件上传：利用`upload.php`上传恶意文件（可能是图片马或利用解析漏洞）。4.Webshell执行：访问`images/shell.php`，触发恶意代码执行，成功获取服务器权限。(2)隔离措施：1.立即从网络层断开受感染服务器的连接（或通过防火墙阻断攻击源IP00）。2.暂停Web服务（如停止Nginx/PHP-FPM），防止攻击者继续操作。3.对服务器进行快照备份（如果是虚拟机），保留现场证据。(3)其他证据：系统日志（/var/log/messages,/var/log/secure）、Webshell文件本身、进程快照、内存镜像。防御建议：代码层面：对`id`参数进行严格的参数化查询或整数校验，修复SQL注入漏洞；对上传文件进行重命名、类型验证和内容检查。配置层面：设置