可做奥鹏院校所有作业，毕业论文，咨询请添加QQ：3230981406      微信：aopopenfd777

[南开大学]20秋学期（1709、1803、1809、1903、1909、2003、2009 ）《攻防技术基础》在线作业
试卷总分:100    得分:100
第1题,IDA PRO简称IDA,是一个交互式()工具。
A、调试
B、汇编
C、编译
D、反汇编
正确答案:


第2题,()适合检查因控制流信息非法操作而导致的安全问题,如内存访问越界、常数传播等。
A、词法分析
B、数据流分析
C、符号执行
D、模型检验
正确答案:


第3题,当程序启动将执行文件加载到内存时,操作系统通过内核模块提供的ASLR功能,在原来映像基址的基础上加上一个()作为新的映像基址。
A、整数
B、小数
C、特定数
D、随机数
正确答案:


第4题,下面有关造成文件上传漏洞原因说法错误的是()。
A、文件上传时检查过于严格。
B、文件上传后修改文件名时处理不当。
C、使用第三方插件时引入。
D、文件上传仅仅在客户端进行了检查。
正确答案:


答案来源：（www.）,()解决的是如何组织软件的开发过程,但是它没有解决如何在软件开发过程中防止安全缺陷的出现。
A、软件开发生命周期
B、安全威胁模型
C、安全设计
D、安全编程
正确答案:


第6题,以下有格式化符号选项错误的是()
A、％o以八进制数形式输出整数
B、％f用来输出虚数，以小数形式输出
C、％n不向printf传递格式化信息
D、％s用来输出一个字符串
正确答案:


第7题,以下有关GS说法错误的是()
A、GS Stack Protection技术是一项缓冲区溢出的检测防护技术。
B、VC++编译器中提供GS编译选项。
C、攻击者可以对security_cookie进行篡改。
D、GS技术对基于栈的缓冲区溢出攻击能起到很好的防范作用。
正确答案:


第8题,()则指计算机程序中不正确的步骤、方法或数据定义,是造成运行故障的根源。
A、Fault
B、Hole
C、Weakness
D、Error
正确答案:


第9题,病毒、()和木马是可导致计算机和计算机上的信息损坏的恶意程序。
A、程序
B、蠕虫
C、代码
D、数据
正确答案:


答案来源：（www.）,超文本标记语言中文件的开头的标记符是()。
A、
B、
C、
D、
正确答案:


第11题,软件漏洞与软件缺陷的区别是()。
A、会造成软件奔溃
B、会使电脑无法运行
C、会盗取用户的秘密信息
D、隐藏很深
正确答案:


答案来源：（www.）,以下有关加壳说法正确的是()。
A、加壳的全称应该是可执行程序资源压缩，是破坏文件的常用手段。
B、加壳其实是利用特殊的算法，对EXE、DLL文件里的代码、资源等进行压缩、加密。
C、加壳过的程序无法直接运行，但是不能查看源代码。要经过脱壳才可以查看源代码。
D、CPU需要暴力解压加壳程序。
正确答案:


第13题,缓冲区溢出漏洞是程序由于缺乏对缓冲区()检查而引起的一种异常行为。
A、边界条件
B、容量大小
C、内存地址
D、内存位置
正确答案:


第14题,使用ASLR技术的目的就是打乱系统中存在的(),使攻击者很难从进程的内存空间中找到稳定的()。
A、特定地址、跳转地址
B、跳转地址、特定地址
C、固定地址、跳转地址
D、跳转地址、固定地址
正确答案:


答案来源：（www.）,以下有关Metasploit命令错误的是()
A、show exploits会显示Metasploit框架中所有可用的渗透攻击模块。
B、当你想要查找某个特定的渗透攻击、辅助或攻击载荷模块时，search命令非常有用。
C、show auxiliary会显示所有的辅助模块以及它们的用途。
D、show payloads会列出这个模块所需的各种参数。
正确答案:


第16题,想要查找URL中包含nankai的搜索指令的是()。
A、site：nankai
B、inurl：nankai
C、intitle：nankai
D、ip：nankai
正确答案:


第17题,源代码通过()后形成可执行文件。
A、汇编
B、编译
C、连接
D、编译和连接
正确答案:


第18题,堆是程序运行时动态分配的内存,用户一般通过()、new等函数申请内存。
A、scanf
B、printf
C、malloc
D、free
正确答案:


第19题,缓冲区溢出后执行的代码,会以()的身份权限运行。
A、系统
B、用户
C、原有程序
D、程序
正确答案:


答案来源：（www.）,以下有关SessionID说法错误的是()
A、最常见的做法是把SessionID加密后保存在Cookie中传给服务器。
B、SessionID一旦在生命周期内被窃取，就等于账户失窃。
C、如果SessionID是被保存在Cookie中，则这种攻击被称为Cookie劫持。
D、SessionID只可以作为请求的一个参数保持在URL中传输。
正确答案:


第21题,()是通过全面的采用防范技术可以避免因单个漏洞对系统造成的危害。
A、最小权限原则
B、全面防御原则
C、心里接受性
D、代码重用性
正确答案:


第22题,堆栈溢出一般是由什么原因导致的()
A、函数代码长度过长
B、循环的递归调用
C、大数据结构的局部变量
D、代码运行时错误
正确答案:


第23题,Pin是由()公司开发和维护,具有跨平台特性的一个强大的动态二进制指令分析框架。
A、IBM
B、Google
C、Intel
D、Apple
正确答案:


第24题,下面描述错误的()。
A、＜head＞ 定义了文档的信息
B、＜link＞ 定义了HTML文档中的元数据
C、＜script＞ 定义了客户端的脚本文件
D、＜base＞ 定义了页面链接标签的默认链接地址
正确答案:


答案来源：（www.）,()指还处于未公开状态的漏洞。
A、XSS
B、SQL
C、0day
D、SSRF
正确答案:


第26题,为了提高瀑布模型的开发效率,在系统的架构设计完成后,可将系统分为多个可并行开发的模块。
T、对
F、错
更多答案下载：（www.）


第27题,软件静态安全检测技术是针对未处于运行状态的软件所开展的安全分析测试技术,可以用于对软件源代码和可执行代码的检测。
T、对
F、错
正确答案:


第28题,SQL是二十世纪七十年代由IBM创建的,于1994年作为国际标准纳入ANSI。
T、对
F、错
正确答案:


第29题,全面检查访问对象的路径、调用的返回代码及关键的输入参数属于数据的机密性。
T、对
F、错
正确答案:


答案来源：（www.）,钩子(Hook)是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。
T、对
F、错
更多答案下载：（www.）


第31题,所有的WWW文件都必须遵守超文本传输协议。
T、对
F、错
正确答案:


第32题,WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门。
T、对
F、错
正确答案:


第33题,段寄存器主要用来存放操作数的地址,用于堆栈操作和变址运算中计算操作数的有效地址。
T、对
F、错
正确答案:F


第34题,如果返回地址被覆盖,当覆盖后的地址是一个无效地址,则程序运行失败。如果覆盖返回地址的是恶意程序的入口地址,则源程序将转向去执行恶意程序。
T、对
F、错
正确答案:


第35题,软件漏洞只会造成软件奔溃不能运行。
T、对
F、错
正确答案:


第36题,程序开发时不需要自己进行边界检查,交给测试环节就可以。
T、对
F、错
正确答案:


第37题,最小权限原则是为软件授予其所需要的最少权限。
T、对
F、错
更多答案下载：（www.）


第38题,美国国家漏洞数据库NVD(National Vulnerabilities Database)是美国国家标准与技术局NIST于2007年创建的,由国土安全部DHS的国家赛博防卫部和US-cert赞助支持。
T、对
F、错
正确答案:F


第39题,蠕虫是利用文件寄生来通过网络传播的恶性病毒。
T、对
F、错
正确答案:


第40题,Metasploit模块中的所有参数只有set一个状态。
T、对
F、错
正确答案:


第41题,主动信息收集也就是说不会与目标服务器做直接的交互、在不被目标系统察觉的情况下,通过搜索引擎、社交媒体等方式对目标外围的信息进行收集。
T、对
F、错
正确答案:F


第42题,软件安全测试不但可以进行对软件代码的安全测试,还可以对软件成品进行安全测试。
T、对
F、错
正确答案:


第43题,Metasploit框架中的exploits可以分为两类:主动型与被动型。被动型exploits能够直接连接并攻击特定主机。而主动型exploits则等待主机连接之后对其进行渗透攻击。
T、对
F、错
正确答案:


第44题,对于存在高风险的软件产品,有必要通过威胁建模开展深入的风险分析。
T、对
F、错
更多答案下载：（www.）


第45题,加"壳"虽然增加了CPU负担,但是减少了硬盘读写时间,实际应用时加"壳"以后程序运行速度更快。
T、对
F、错
更多答案下载：（www.）


第46题,只要做好客户端的文件检查就可以避免文件上传漏洞。
T、对
F、错
正确答案:


第47题,本地利用漏洞是指攻击者可以直接通过网络发起攻击并利用的软件漏洞。
T、对
F、错
正确答案:


第48题,信息收集是渗透测试中最重要的一环。在收集目标信息上所花的时间越多,后续阶段的成功率就越高。
T、对
F、错
正确答案:


第49题,渗透测试会影响业务系统正常运行。
T、对
F、错
正确答案:F


答案来源：（www.）,渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。
T、对
F、错
更多答案下载：（www.）