1、下列关于信息收集说法不正确的是?
信息收集型攻击本身会对目标造成损害
2、在网络入侵的预攻击阶段,攻击者所感兴趣的信息包含下列信息中的哪些?
口令、账号、低级的协议信息、机密或敏感的信息数据
3、网络嗅探技术在信息安全防御技术和黑客攻防技术中都处于非常重要的地位。下列关于嗅探说法正确的是哪一个?
嗅探器工作在网络环境中的底层
4、在网络安全防护中,蜜罐是一个重要的安全资源,以下关于蜜罐的说法中,错误的是?
入侵蜜罐不需要负法律责任
5、下列不属于权限维持操作的是?
烧毁主板
6、在拒绝服务攻击类型中不属于“带宽消耗型”的是哪个?
SYN洪水
7、在口令攻击过程中,下列哪种方法无法直接获取用户口令?
消耗目标网络带宽资源
8、2017年流行的“Wannacry”属于下列哪个分类?
木马
9、在网络入侵的初始阶段,踩点是一种十分重要的工作,那么踩点的主要目的不包含哪个?
物理破环目标主机
10、下列哪个不是踩点过程中需要做的工作?
建立僵尸网络
11、踩点具有哪些途径?
Nmap扫描命令、通过搜索引擎进行信息收集、网络查点、漏洞扫描
12、网络扫描无法获取下列哪种信息?
主机管理员的金融账户和密码
13、在实际运用中,nmap不只能用来进行存活主机发现,还可以用来进行端口扫描。使用SYN扫描不易被记入系统日志的原因是什么?
SYN扫描不建立完整的TCP连接
14、在漏洞验证中,漏洞扫描是粗略了解目标主机中漏洞的主要手段之一,而AWVS和Nessus则是主流的漏洞扫描工具。下列哪个不属于漏洞扫描主要使用的技术?
端口反向连接技术
15、AWVS主要有哪些功能?
漏洞扫描、网络爬虫、HTTP嗅探
16、SQL注入漏洞被列为“严重”等级的漏洞,那么他可以造成哪些危害?
php指什么上传webshell、获取系统权限、远程命令执行
17、SQL注入的主要特点不包括以下哪一点?
需要数据库密码
18、在使用sqlmap进行SQL注入测试时,如何指定需要查询的数据库?
        '-D
19、XSS中危害最大的种类是哪个?
        存储型
20、在漏洞验证时,文件上传漏洞是验证的重点,下列哪种情况最可能造成文件上传漏洞?
        有上传文件的位置,并且上传到的目录能够解析脚本语言
21、在web漏洞中,文件包含漏洞经常配合文件上传漏洞使用,在PHP语言中,下列哪些函数可能会造成文件包含漏洞?
    Includerequireinclude_oncerequire_once
22、文件包含漏洞可能会造成的危害有哪些?
    获取目标主机系统权限、读取敏感文件、执行系统命令
23、PHP 带有很多内置 URL 风格的封装协议,可用于类似 fopen()、 copy()、 file_exists() 和 filesize() 的文件系统函数。这些封装协议经常被用来网络入侵。php://input可以访问请求的原始数据的只读流,他的实行条件是?
        allow_url_fopen:on
24、PHP封装协议file://是什么意思
        访问本地文件系统
25、在下列敏感文件中,哪个文件无法直接当作文本文件读取?
        SAM
26、使用PHP文件包含漏洞,黑客可以向Apache日志中写入木马代码,再使用文件包含漏洞利用木马代码。可以向apache的哪个日志文件中写入木马代码?
        access.logaccess_logerror.logerror_log
27、下列PHP函数中,可能会造成命令执行漏洞的是?
        system()exec()
28、下列不属于代码执行危害的是?
    主机电源短路
29、代码执行漏洞的成因是对某些函数的输入值过滤不够严格,那么下列可以直接执行代码的是?
        eval()
30、国家安全面临的最大挑战,一是网络信息安全,二是金融安全。在信息安全核心原则的三个方面中,最重要的是。
        同等重要
31、以下哪种人通常受高级管理人员的委托,负责数据保护任务,任务通常包括验证数据的完整性、测试备份和管理安全策略?
        数据管理员
32、以下哪一个角会成为信息安全项目最高级的负责人?
        首席信息官(CIO)
33、Beth是一所公立学校的安全管理员,她正在建立一个新的学生信息系统,她对代码进行了测试,从而确保学生无法更改他们的成绩。Beth的做法符合什么类型的信息安全原则?
        完整性
34、组织经历DoS或DDoS攻击时哪一个信息安全目标会受到影响?
        可用性
35、Yolanda正在完成一个配置信息文件,该文件说明了组织中系统应该具备的最低水平的安全配置,请问这属于什么类型的文件?
        基线
36、哪个信息安全原则表明组织应该尽可能多地执行重叠安全控制?
        深度防御
37、Tom正计划解雇一名有欺骗行为的员工,但是他觉得当面直接解雇他,他可能会怀恨在心,于是Tom与人力资源部协调此次会面,保证该员工不会报复公司,以下哪一个步骤在当面解雇时比较重要?
        撤销电子门禁权限
38、将合法SSID广播到未授权网络的双面恶魔攻击属于以下哪种威胁攻击?
欺骗
39、以下哪个身份认证因素和密码一同使用,从而实现多因素身份认证机制?
        指纹扫描
40、Bobbi正在调查一个安全事故,他发现攻击者一开始只是普通用户,但成功利用了系统的弱点使他的账户拥有了管理员权限。这属于STRIDE模型下什么类型的攻击?
        提升特权
41、安装栅栏是一种安全控制的方法,它不具有以下哪种能力?
        检测入侵
42、以下哪种控制措施属于行政控制?
        安全意识训练
43、Mike最近部署了一套入侵防御系统,用于阻止常见的网络袭击。Mike采取的是什么类型的风险管理策略?
        风险降低
44、身份认证过程中,主体声称身份的过程被称为什么?
        认证
45、在共享责任模型中,哪种云计算模型的客户负责保护服务器操作系统?
        IaaS(基础设施即服务)
46、以下哪项不是关键风险指标的有效用途?
        提供实时事件响应信息。
47、组织一般隔一段时间就应该为相关人员开展业务连续性计划评估培训,请问培训的最小时间间隔是多少?
        每年
48、假如你正在为组织进行定性风险评估。在风险分析中,最重要的两个重要风险因素是概
率和_____
        影响
49、最小特权的意图是实施最具限制性的用户权限要求:
        执行授权的任务
50、安全意识项目的一个目标是改变
        员工对企业安全状况的态度和行为
51、以下哪项关于道德黑客的描述不正确?

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。