千寻的博客

根据密码分析者所掌握的分析资料的不同，密码分析一般可为四类：唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击，其中（）是在公开的网络中能获得的最现实的能力。现代密码体制要求密码算法是可以公开评估的，整个密码系统的安全性并不取决对密码算法的保密或者是对密码设备等保护，决定整个密码体制安全性的因素是密钥的保密性。下列哪些密码体制中，采用了置换的处理思想（ ）。对于一个密码系统，若利用已有的最好计算方法，破译它的所需要的代价超出了破译者的破译能力（如时间、空间、资金等资源），那么该密码系统的安全性是（ ）。

用SM2算法实现一个对1024比特明文的加密，需要（ ）次点乘运算。D.GM/T 0015 基于 SM2密码算法的数字证书格式规范。D.SM9使用时不需要数字证书实现实体与公钥的绑定。C.SM2的私钥产生可以不需要密钥管理中心的参与。D.签名值中，r的最高位为1，s的最高位为 1。A.签名值中，r的最高位为1，s的最高位为 0。B.签名值中，r的最高位为0，s的最高位为 1。C.签名值中，r的最高位为0，s的最高位为 0。SM2算法中的公钥加密算法的公钥是（ ）。B.密文的第一部分是SM2椭圆曲线上的点。

ZUC算法的驱动部分采用了带进位的线性反馈移位寄存器。ZUC算法非线性函数F部分使用的两个线性变换 L1，L2的设计与（ ）算法线性扩散层的设计思想相同/类似。ZUC算法非线性函数F部分使用的S-盒其中之一基于有限域逆函数构造，与AES算法的S-盒类似。ZUC算法非线性函数F部分使用的两个线性变换 L1，L2采用（ ）运算设计，降低了实现代价。ZUC算法非线性函数F部分使用的S-盒均具有较低代数免疫度，严重影响算法的安全性。ZUC算法非线性函数F部分使用的两个线性变换 L1，L2的设计采用了（ ）运算。

D.根据SM9标识密码算法行业标准的规定，SM9密码算法使用的分组密码算法必须是国家密码管理主管部门批准的分组密码算法。B.根据SM9标识密码算法行业标准的规定，SM9密码算法使用的杂凑函数必须是国家密码管理主管部门批准的杂凑函数。根据SM9标识密码算法行业标准的规定，SM9密码算法必须使用国家密码管理主管部门批准的随机数发生器。C.根据SM9标识密码算法行业标准的规定，SM9密码算法使用的分组密码算法必须是AES算法。C.SM9密码算法的用户公钥长度一定为512比特，算法的应用与管理不需要数字证书。

在量子攻击下，根据Grover算法，采用SM4的分组密码CTR模式抵抗密钥恢复攻击的强度大约是（ ）。根据SM9标识密码算法行业标准的规定，SM9密码算法使用的分组密码算法必须是SM4算法。SM4分组密码的解密算法与加密算法结构相同，只是解密轮密钥是加密轮密钥的逆序。SM4是我国提出的商用密码算法，SM4算法进行密钥扩展时的迭代次数是（ ）。不同于DES算法，SM4算法的密钥是128位，其中密钥有效位也是128位。SM4是我国提出的商用密码算法，SM4算法进行加解密时的迭代次数是（ ）。

GM/T 0008《安全芯片密码检测准则》中，达到安全等级1级的安全芯片可应用于安全芯片所部署的外部运行环境能够保障安全芯片自身物理安全和输入输出信息安全的应用场合。GM/T 0008《安全芯片密码检测准则》中，下列内容不属于安全等级2的安全芯片对公钥密码算法的要求的是（）。GM/T 0008《安全芯片密码检测准则》中，下列内容不属于安全等级2的安全芯片对固件存储的要求的是（）。GM/T 0008《安全芯片密码检测准则》中，下列内容不属于安全等级1的安全芯片对密钥生成的要求的是（）。

SM3密码杂凑算法的输入消息为“abcd”，填充后的消息中，一共有（ ）个非“0”32比特字。SM3密码杂凑算法的输入消息为“abc”，填充后的消息中，一共有（ ）个全“0”消息字。根据SM9标识密码算法行业标准的规定，SM9密码算法使用的Hash函数必须是SM3算法。输入消息“abcd”， 经过SM3 密码杂凑算法填充后，消息的最后32比特是（ ）。对输入为448比特的消息，SM3密码杂凑算法生成杂凑值时需要调用（ ）次压缩函数。SM3密码杂凑算法的杂凑值长度和SHA-256的杂凑值长度相等。

根据GM/T 0039《密码模块安全检测要求》，密码模块应当采用物理安全机制以限制对模块内容的非授权物理访问，并阻止对已安装模块的非授权使用或修改，检测人员应核实模块（）的物理安全保护机制。根据密码模块相关标准，如果密码模块支持核准和非核准的工作模式，密码模块的安全策略文档中应为模块所包括的核准的工作模式定义完整的服务集合，不需要为非核准的工作模式定义服务集合。根据密码模块相关标准，用于核准的工作模式的非安全相关的算法、安全功能、过程和部件的实现应当不干扰或破坏密码模块核准的工作模式的运行。

B.在PCI密码卡正常工作时，敏感安全参数（CSP）不能以明文形式出现在硬件设备外部。C.驱动程序必须支持透明传输上位机和下位机的能力，不得截获、解析应用系统中的数据。A.PCI密码卡需具备足够强的物理保护能力，防止底层代码被监听、盗取。A.密码卡的密钥或密钥对的私钥由物理噪声源产生，并通过随机性检测。C.选择支持RSA算法时，应具备2048比特及以上的模长。D.选择支持ECC算法时，应具备256比特及以上的模长。D.硬件存储的私钥必须支持私钥访问控制码的安全访问。A.非对称密码算法应至少支持两种及以上。

_单选在GM/T 0012《可信计算可信密码模块接口规范》中,以下（ ）不是该规范中支持的算法。 A.SM2B.SM3C.SM4D.SM9正确答案：D单选在GM/T 0012《可信计算可信密码模块接口规范》中,可信密码模块是（ ）的集合。 A.软件B.硬件C.硬件和固件D.固件正确答案：B单选在GM/T 0012《可信计算可信密码模块接口规范》中,以下（ ）不是可信密码模块内部的引擎。 A.对称算法引擎B.非对称算法引擎C.杂凑算法引擎D.管理引擎正确答

根据GM/T 0028《密码模块安全技术要求》，如果密码模块使用了知识拆分过程，模块应当使用（）的操作员鉴别，分别鉴别每个密钥分量的输入或输出，而且应至少需要（）密钥分量来重建原来的密钥。GM/T 0028 《密码模块安全技术要求》中，密码边界是明确定义的连续边线，该边线建立了密码模块的物理和/或逻辑边界，并包括了密码模块的所有（）。GM/T 0028 《密码模块安全技术要求》中，密码主管是由个体或代表个体操作的进程所担任的角色，该角色负责执行密码模块的密码初始化或管理功能。关于角色的描述正确的是（）。

GB/T 38636 《信息安全技术 传输层密码协议（TLCP）》中规定，主密钥（master_secret）由（）参数组成，并计算生成的48字节密钥素材，用于生成工作密钥。GB/T 38636 《信息安全技术 传输层密码协议（TLCP）》中规定，TLCP包括记录层协议和握手协议族，握手协议族包含密码规格变更协议、报警协议及握手协议。握手协议的消息通过记录层协议传输。GB/T 38636 《信息安全技术 传输层密码协议（TLCP）》中规定，TLCP包括记录层协议和握手协议族，记录层协议族包括（）类型。

pmp练习题整理

PMP考试题练习

考前练习题整理

MySQL在5.6版本的时候增加了to_base64和from_base64函数，在此之前没有内部函数，只能使用User-Defined-Function。INSERT INTO 语句用于向表格中插入新的行，不是向数据库中。base64（）函数在mysql中可以使用的最低版本什么？D . INSERT INTO - 向数据库中插入数据。B . Session 对象最常见的是存储用户的首选项。D . 405 -（方法禁用） 禁用请求中指定的方法。B . UPDATE - 更新数据库表中的数据。

LDAP认证查询语句句为：(&(USER=Uname)(PASSWORD=Pwd)) ，Uname和pwd可控，关于绕过认证下面说法正确的是。在拿到⼀个windows服务器下的webshell之后，我想看看当前在线的用户，下面这些命令可以做到的是。一个⽹站存在命令执⾏漏洞，由于服务器不能上外网，这是我们可以利用什么样的⽅式将文件上传到服务器器。拿到一个windows下的webshell，我想看一下主机的名字，如下命令做不到的是。linux 环境下，查询⽇日志⽂文件最后100⾏行行数据，正确的⽅方式是。

通过靶机练习，学习笔记整理

文件包含漏洞也是一种注入型漏洞，其本质就是输入一段用户能够控制的脚本或者代码，并让服务端执行。

基础题目一：SQL注入0x01 题目要求0x02 解题过程基础题目二：文件上传突破0x01 题目要求0x02 解题过程基础题目三：文件包含0x01 题目要求0x02 解题过程0x03 解题总结基础题目四：代码执行漏洞0x01 题目要求0x02 解题过程0x03 解题总结基础题目五：失效的访问控制0x01 题目要求0x02 解题过程

练习题目一：SQL注入0x01 题目要求0x02 解答过程：0x03 解题总结：练习题目二：文件上传突破0x01 题目要求：0x02 解题过程：0x03 解题总结：练习题目三：文件包含0x01 题目要求0x02 解题过程0x03 解题总结：练习题目四：反序列化漏洞0x01 题目要求：0x02 解题过程练习题目五：失效的访问控制0x01 题目·要求：0x02 解题过程：0x03 解题总结：

常见的SQL注入的总结

问题1：请扫描目标主机（IP地址请查看拓补图）开放的端口，key6就在【rebots.txt】中问题2：key7存储在网站根目录下载的【key.php】文件中问题3：请登录到远程计算机，key8将会在桌面上显示

问题1：请访问192.168.0.110，登录网站后台将看到 KEY6 的值问题2：请获取 WebShell 后，在网站运行目录下找到 KEY7 的值：问题3：请获取服务器 root 权限后，在/root 路径下找到 KEY8 的值：

题31一个复杂项目的项目经理目前正在规划风险响应活动。作为风险管理方面的专家，项目经理考虑选择风险转移方案。风险转移的主要影响是什么？A. 项目经理不再负责项目成果B. 涉及到为承担风险的一方支付额外费用C. 涉及向承担风险的一方转移项目管理责任D. 项目经理不能执行风险转移参考答案：B解析： PMBOK（6）P442-11.5.2.4规划风险应对-转移。采用转移策略，通常需要向承担威胁的乙方支付风险转移费用。包括（但不限于）保险、履约保函、担保书和保证书等。题32有效沟通中一个最普遍的

题目16一项产品已经交付给客户进行测试验收，但由于产品未经外部检查机构的审计，客户拒收产品，项目经理下一步该怎么做A. 协商审计过程的开始B. 检查质量管理计划C. 修订进度计划，避免可能的影响D. 更新项目管理计划b参考答案：A解析：由于产品未进行采购审计，即对产品客户来说没有完成结束采购，下一步应协商开始审计过程。题目17由于组织结构的变化，相关方A承担了新的责任，并已经从指导管理委员会辞职. 相关方A替代者相关方B，提出与项目商业利益有关的问题. 项目经理首先应该怎么做？A

题目1作为你们公司项目办公室的经理，你必须判定哪些项目应该得到额外的资源。你还要建议哪些项目应该启动、继续进行或取消。有利于你做出这些决策的一个方法是?A．为项目明确一个整体风险级别B．评估定量风险分析结果的趋势C．对各种风险和条件进行排序D．评估定性风险分析结果的趋势参考答案：A解析：PMO的职责包括制定和管理项目政策、程序、模板和其他共享文件，PMO承担整个组织范围的职责，PM只负责单个项目。本题中为整体风险明确级别是PMO的职责，B/C/D是PM的职责，PMO经理可依据整