奥鹏远程南开大学本部20春学期《攻防技术基础》在线作业参考答案Word文档下载推荐.docx

奥鹏远程南开大学本部20春学期《攻防技术基础》在线作业参考答案Word文档下载推荐.docx

《奥鹏远程南开大学本部20春学期《攻防技术基础》在线作业参考答案Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《奥鹏远程南开大学本部20春学期《攻防技术基础》在线作业参考答案Word文档下载推荐.docx（12页珍藏版）》请在冰豆网上搜索。

D数据区和代码区

3.以下命令解释错误的是（）。

Amv移动或重命名

Bgrep在文本文件中查找某个字符串

Cln创建链接文件

Dps查看磁盘大小

4.以下哪项上传的文件不会造成危害（）。

A木马

B文本文件

C恶意脚本

DWebshell

5.数据执行保护DEP技术可以限制内存堆栈区的代码为（）,从而防范溢出后代码的执行。

A不可执行状态

B可执行状态

C不可编译状态

D捕获异常状态

A

6.（）成立于1999年9月,是工业和信息化部领导下的国家级网络安全应急机构。

ABugTraq

BCNCERT

CCNNVD

DEDB

7.蠕虫病毒的传染目标是（）。

A计算机内的文件系统

B计算机内的病毒

C计算机内的木马

D互联网内的所有计算机

8.以下有关SQL说法错误的是（）。

ASQL是用于访问和处理数据库的标准的计算机语言。

BSQL由数据定义语言（DDL）和数据操作语言（DML）两部分组成。

CDDL用于定义数据库结构，DML用于对数据库进行查询或更新。

DDDL主要指令有SELECT、CREATE等。

9.网页与HTML对应的关系是（）。

A一对一

B多对一

C一对多

D多对多

10.前整个渗透测试方提体系中最容易被忽略、最不被重视、最易受人误解的一环是（）。

A前期交互

B漏洞分析

C信息搜集

D威胁建模

11.（）是指厂商已经发布补丁或修补方法,大多数用户都已打过补丁的漏洞。

A0day漏洞

B1day漏洞

C未公开漏洞

D已公开漏洞

12.下面有关XSS描述错误的是（）。

AXSS根据其特征和利用手法的不同，主要分成两大类型：

一种是反射式跨站脚本；

另一种是持久式跨站脚本。

B反射式跨站脚本也称作非持久型、参数型跨站脚本。

主要用于将恶意脚本附加到URL地址的参数中。

C反射式跨站脚本也称作非持久型、参数型跨站脚本。

D存储式XSS中的脚本来自于Web应用程序请求。

13.IDAPRO简称IDA,是一个交互式（）工具。

A调试

B汇编

C编译

D反汇编

14.以下哪项指令全部属于算数运算指令（）

AMOV、ADD、ADC

BPUSH、POP、LOOP

CINC、SUB、AND

DADD、SBB、MUL

15.网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限以及各类账户信息并从中谋取（）的一条产业链。

A非法经济利益

B经济效益

C效益

D利润

16.以下哪个选项属于木马（）。

A震网病毒

BWannaCry

C灰鸽子

D熊猫烧香

17.（）是针对二进制代码的测试。

A白盒测试

B黑盒测试

C灰盒测试

D模糊测试

18.以下有格式化符号选项错误的是（）

A％o以八进制数形式输出整数

B％f用来输出虚数，以小数形式输出

C％n不向printf传递格式化信息

D％s用来输出一个字符串

19.下面说法错误的是（）。

AGET请求的数据会附在URL之后。

BPOST请求的数据会附在URL之后。

CPOST把提交的数据放置在HTTP包的包体中。

D通过GET提交数据，用户名和密码将明文出现在URL上。

20.以下哪项不是Javascript在网页中的用途（）。

A嵌入动态文本于HTML页面

B对浏览器事件做出响应

C表示HTML文件开头

D控制cookies创建和修改

21.（）的方法通过将程序转换并表示为逻辑公式,然后使用公理和规则证明的方法,验证程序是否为一个合法的定理,从而发现其中无法证明的部分,从中发现安全缺陷。

A定理证明

B模型检验

C符号执行

D词法分析

22.栈是由（）分配,堆由（）分配。

A系统自动、程序员自己申请

B程序员自己申请、程序员自己申请

C系统自动、系统自动

D程序员自己申请、系统自动

23.以下哪项不是情报搜集阶段要做的事情（）。

A社会工程学

B被动监听

C与客户交流

D公开来源信息查询

24.地址空间分布随机化ASLR（addressspacelayoutrandomization）是一项通过将（）随机化,从而使攻击者无法获得需要跳转的精确地址的技术。

A物理地址

B逻辑地址

C虚拟地址

D系统关键地址

25.为了提高瀑布模型的开发效率,在系统的架构设计完成后,可将系统分为多个可（）开发的模块。

A快速

B高速

C并行

D分别

26.Weakness指的是系统难以克服的缺陷或不足,缺陷和错误可以更正、解决,但不足和弱点可能没有解决的办法。

T对

F错

27.为了减少漏洞的产生,尽量用复杂的代码。

28.充分考虑软件运行环境,这是软件设计的基础。

29.智能模糊测试不需要进行对可执行代码进行输入数据、控制流、执行路径之间相关关系的分析。

30.堆空间是由低地址向高地址方向增长,而栈空间从高地址向低地址方向增长。

31.运行时的验证测试过程是先解析测试目标的结构和格式,然后收集尽可能多的有效的输入样本库,然后依据输入样本进行畸形化变异操作,最后拿畸形化后的非正常样本进行测试,并检测是否发生异常。

32.Vulnerability和Hole都是一个总的全局性概念,包括威胁、损坏计算机系统安全性的所有要素。

33.智能模糊测试的关键是反汇编。

34.全面防御原则是针对软件的不同使用用户、不同程序或函数,在不同的环境和时间给予不同的权限。

35.Nessus工具不仅可以在电脑上使用,而且还可以在手机上使用。

36.主动信息收集也就是说不会与目标服务器做直接的交互、在不被目标系统察觉的情况下,通过搜索引擎、社交媒体等方式对目标外围的信息进行收集。

37.加壳过的程序不可以直接运行,但是能查看源代码。

38.SEH（StructuredExceptionHandler）是Linux异常处理机制所采用的重要数据结构链表。

39.Saturn安全检测工具使用的是模型检验技术。

40.Session的使用是由浏览器按照一定的原则在后台自动发送给服务器的。

41.当格式化符号为%s时以16进制的形式输出堆栈的内容,为%x时则输出对应地址所指向的字符串。

42.全面检查访问对象的路径、调用的返回代码及关键的输入参数属于数据的机密性。

43.指令的地址字段指出的不是操作数的地址,而是操作数本身,这种寻址方式称为直接寻址。

44.最小权限原则是为软件授予其所需要的最少权限。

45.Metasploit模块中的所有参数只有set一个状态。

46.数据流分析适合检查因控制流信息非法操作而导致的安全问题,如内存访问越界、常数传播等。

47.漏洞利用中最关键的是Shellcode的编写,对一些特定字符需要转码,函数API的定位比较简单。

48.KaliLinux是专门用于渗透测试的Linux操作系统,含有可用于渗透测试的各种工具。

49.软件安全测试不但可以进行对软件代码的安全测试,还可以对软件成品进行安全测试。

50.由于堆与栈结构的不同,堆溢出不同于栈溢出。

相比于栈溢出,堆溢出的实现难度要小一点,而且往往要求进程在内存中具备特定的组织结构。