奥鹏远程南开大学本部20春学期《攻防技术基础》在线作业参考答案.docx

1、奥鹏远程南开大学本部20春学期攻防技术基础在线作业参考答案南开大学（奥鹏）网络教育攻防技术基础在线作业参考资料20春学期（1709、1803、1809、1903、1909、2003）攻防技术基础在线作业1. 在软件产品完成开发并发布后,往往在功能、安全性、运行稳定性等方面不能满足用户要求或者暴露出问题,为此,需要对软件进行()。【选项】：A 管理B 维护C 测试D 更新【答案】：2. 进程使用的内存区域有()。【选项】：A 代码区和数据区B 数据区和堆栈区C 代码区、数据区和堆栈区D 数据区和代码区【答案】：3. 以下命令解释错误的是()。【选项】：A mv 移动或重命名B grep在文本文件

2、中查找某个字符串C ln创建链接文件D ps 查看磁盘大小【答案】：4. 以下哪项上传的文件不会造成危害()。【选项】：A 木马B 文本文件C 恶意脚本D Webshell【答案】：5. 数据执行保护DEP技术可以限制内存堆栈区的代码为(),从而防范溢出后代码的执行。【选项】：A 不可执行状态B 可执行状态C 不可编译状态D 捕获异常状态【答案】：A6. ()成立于1999年9月,是工业和信息化部领导下的国家级网络安全应急机构。【选项】：A BugTraqB CNCERTC CNNVDD EDB【答案】：7. 蠕虫病毒的传染目标是()。【选项】：A 计算机内的文件系统B 计算机内的病毒C 计算

3、机内的木马D 互联网内的所有计算机【答案】：8. 以下有关SQL说法错误的是()。【选项】：A SQL是用于访问和处理数据库的标准的计算机语言。B SQL由数据定义语言（DDL）和数据操作语言（DML）两部分组成。C DDL用于定义数据库结构，DML用于对数据库进行查询或更新。D DDL主要指令有SELECT、CREATE等。【答案】：9. 网页与HTML对应的关系是()。【选项】：A 一对一B 多对一C 一对多D 多对多【答案】：10. 前整个渗透测试方提体系中最容易被忽略、最不被重视、最易受人误解的一环是()。【选项】：A 前期交互B 漏洞分析C 信息搜集D 威胁建模【答案】：11. ()

4、是指厂商已经发布补丁或修补方法,大多数用户都已打过补丁的漏洞。【选项】：A 0day漏洞B 1day漏洞C 未公开漏洞D 已公开漏洞【答案】：12. 下面有关XSS描述错误的是()。【选项】：A XSS根据其特征和利用手法的不同，主要分成两大类型：一种是反射式跨站脚本；另一种是持久式跨站脚本。B 反射式跨站脚本也称作非持久型、参数型跨站脚本。主要用于将恶意脚本附加到URL地址的参数中。C 反射式跨站脚本也称作非持久型、参数型跨站脚本。主要用于将恶意脚本附加到URL地址的参数中。D 存储式XSS中的脚本来自于Web应用程序请求。【答案】：13. IDA PRO简称IDA,是一个交互式()工具。【

5、选项】：A 调试B 汇编C 编译D 反汇编【答案】：14. 以下哪项指令全部属于算数运算指令()【选项】：A MOV、ADD、ADCB PUSH、POP、LOOPC INC、SUB、ANDD ADD、SBB、MUL【答案】：15. 网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限以及各类账户信息并从中谋取()的一条产业链。【选项】：A 非法经济利益B 经济效益C 效益D 利润【答案】：A16. 以下哪个选项属于木马()。【选项】：A 震网病毒B WannaCryC 灰鸽子D 熊猫烧香【答案】：17. ()是针对二进制代码的测试。【选项】：A 白盒测试B 黑盒测试C 灰盒测试D 模糊测

6、试【答案】：18. 以下有格式化符号选项错误的是()【选项】：A o以八进制数形式输出整数B f用来输出虚数，以小数形式输出C n不向printf传递格式化信息D s用来输出一个字符串【答案】：19. 下面说法错误的是()。【选项】：A GET请求的数据会附在URL之后。B POST请求的数据会附在URL之后。C POST把提交的数据放置在HTTP包的包体中。D 通过GET提交数据，用户名和密码将明文出现在URL上。【答案】：A20. 以下哪项不是Javascript在网页中的用途()。【选项】：A 嵌入动态文本于HTML页面B 对浏览器事件做出响应C 表示HTML文件开头D 控制cookie

7、s创建和修改【答案】：21. ()的方法通过将程序转换并表示为逻辑公式,然后使用公理和规则证明的方法,验证程序是否为一个合法的定理,从而发现其中无法证明的部分,从中发现安全缺陷。【选项】：A 定理证明B 模型检验C 符号执行D 词法分析【答案】：A22. 栈是由()分配,堆由()分配。【选项】：A 系统自动、程序员自己申请B 程序员自己申请、程序员自己申请C 系统自动、系统自动D 程序员自己申请、系统自动【答案】：A23. 以下哪项不是情报搜集阶段要做的事情()。【选项】：A 社会工程学B 被动监听C 与客户交流D 公开来源信息查询【答案】：24. 地址空间分布随机化ASLR(addresss

8、pace layout randomization)是一项通过将()随机化,从而使攻击者无法获得需要跳转的精确地址的技术。【选项】：A 物理地址B 逻辑地址C 虚拟地址D 系统关键地址【答案】：25. 为了提高瀑布模型的开发效率,在系统的架构设计完成后,可将系统分为多个可()开发的模块。【选项】：A 快速B 高速C 并行D 分别【答案】：26. Weakness指的是系统难以克服的缺陷或不足,缺陷和错误可以更正、解决,但不足和弱点可能没有解决的办法。【选项】：T 对F 错【答案】：A27. 为了减少漏洞的产生,尽量用复杂的代码。【选项】：T 对F 错【答案】：28. 充分考虑软件运行环境,这是

9、软件设计的基础。【选项】：T 对F 错【答案】：A29. 智能模糊测试不需要进行对可执行代码进行输入数据、控制流、执行路径之间相关关系的分析。【选项】：T 对F 错【答案】：30. 堆空间是由低地址向高地址方向增长,而栈空间从高地址向低地址方向增长。【选项】：T 对F 错【答案】：A31. 运行时的验证测试过程是先解析测试目标的结构和格式,然后收集尽可能多的有效的输入样本库,然后依据输入样本进行畸形化变异操作,最后拿畸形化后的非正常样本进行测试,并检测是否发生异常。【选项】：T 对F 错【答案】：32. Vulnerability和Hole都是一个总的全局性概念,包括威胁、损坏计算机系统安全性

10、的所有要素。【选项】：T 对F 错【答案】：A33. 智能模糊测试的关键是反汇编。【选项】：T 对F 错【答案】：34. 全面防御原则是针对软件的不同使用用户、不同程序或函数,在不同的环境和时间给予不同的权限。【选项】：T 对F 错【答案】：35. Nessus工具不仅可以在电脑上使用,而且还可以在手机上使用。【选项】：T 对F 错【答案】：A36. 主动信息收集也就是说不会与目标服务器做直接的交互、在不被目标系统察觉的情况下,通过搜索引擎、社交媒体等方式对目标外围的信息进行收集。【选项】：T 对F 错【答案】：37. 加壳过的程序不可以直接运行,但是能查看源代码。【选项】：T 对F 错【答案

11、】：38. SEH(Structured Exception Handler)是Linux异常处理机制所采用的重要数据结构链表。【选项】：T 对F 错【答案】：39. Saturn安全检测工具使用的是模型检验技术。【选项】：T 对F 错【答案】：40. Session的使用是由浏览器按照一定的原则在后台自动发送给服务器的。【选项】：T 对F 错【答案】：41. 当格式化符号为%s时以16进制的形式输出堆栈的内容,为%x时则输出对应地址所指向的字符串。【选项】：T 对F 错【答案】：42. 全面检查访问对象的路径、调用的返回代码及关键的输入参数属于数据的机密性。【选项】：T 对F 错【答案】：4

12、3. 指令的地址字段指出的不是操作数的地址,而是操作数本身,这种寻址方式称为直接寻址。【选项】：T 对F 错【答案】：44. 最小权限原则是为软件授予其所需要的最少权限。【选项】：T 对F 错【答案】：A45. Metasploit模块中的所有参数只有set一个状态。【选项】：T 对F 错【答案】：46. 数据流分析适合检查因控制流信息非法操作而导致的安全问题,如内存访问越界、常数传播等。【选项】：T 对F 错【答案】：A47. 漏洞利用中最关键的是Shellcode的编写,对一些特定字符需要转码,函数API的定位比较简单。【选项】：T 对F 错【答案】：48. Kali Linux是专门用于渗透测试的Linux操作系统,含有可用于渗透测试的各种工具。【选项】：T 对F 错【答案】：A49. 软件安全测试不但可以进行对软件代码的安全测试,还可以对软件成品进行安全测试。【选项】：T 对F 错【答案】：A50. 由于堆与栈结构的不同,堆溢出不同于栈溢出。相比于栈溢出,堆溢出的实现难度要小一点,而且往往要求进程在内存中具备特定的组织结构。【选项】：T 对F 错【答案】：