模拟题三
1、DES是一种使用密钥加密的块算法,其英文全称是( Data Encryption Standard )
2、CIDF(Common Intrusion Detection Framework)致力于将入侵检测标准化,其全称为
( 通用入侵检测框架 )
3、SQL是一种用于数据库访问的标准语言,具有查询、更新、管理数据库等功能,其英文全称为( Structured Query Language )
4、IP指网络之间互连的协议,其全称为( Internet Protocol )
5、OSI把层与层之间交换的数据的单位称为SDU,SDU的中文名称是( 服务数据单元 )
6、以下不属于数据库风险的来源的是( 用户分配权限过小 )
7、RIP是一种分布式的基于距离向量的路由选择协议,它的英文全称为
( Routing Information Protocol )
8、按照数据结构来组织、存储和管理数据的仓库被称作数据库,在一个支持事务的数据库中,事务完成后,该事物对数据库做的修改将持久的保存在数据库中,这体现了数据库的哪一个性质?( 持久性 )
9、随着网络安全威胁日益凸显,人们越来越重视网络安全,其包括在网络环境中对
( 信息处理及传输、信息存储及访问、信息载体 )提供安全防护措施
10、日志分为应用程序日志、安全日志和系统日志等,以下不属于安全日志的是?
( SQL Server数据库程序进行备份设定的日志 )
11、以下属于网络安全设备的是?( 防火墙 )
12、网络安全设备是保护网络安全的设施,以下不属于安全设备的是?( 摄像头 )
【安全设备:防火墙 //Firewall、虚拟专用网络 //VPN Network、WEB应用防火墙 //Waf】
13、Apache内建的有记录服务器活动的功能,以下对于Apache服务器日志叙述正确的是?
( 其日志大致分为两类:访问日志、错误日志 )
14、数据库是按照数据结构储存管理数据的仓库,以下关于数据库的叙述不正确的是?
( Oracle、Sqlserver、Apache都是数据库 )
15、数据库事务是指单个逻辑单元执行的一系列操作,以下关于事务的叙述不正确的是?
( 数据库不必有事务日志 )
16、FTP 是File Transfer Protocol的缩写,以下对于FTP的叙述错误的是?
( 它只有一种传输模式 )
17、采集系统日志的方法有很多,以下属于以文本方式采集系统日志方式的是?( 邮件 )
18、以下对于Web Service的叙述错误的是?( 不能跨平台 )
19、以下对于XML的叙述错误的是?( 它不能实现各种数据的集成管理 )
20、以下属于一对一递归关联的是?( 指同类对象之间是一对一的关系 )
21、以下属于多对多递归关联的是( 指同类实体中关联的关系是多对多 )
22、以下属于一对多递归关联的是( 指同一个类对象中存在着一个实体对应关联多个实体 )
23、在关联规则的驱动下,( 事件关联分析 )引擎能够进行多种方式的事件关联
24、( 跨设备事件关联 )技术可以更好地了解看似无关的但设备之间存在着理论相关性的关联分析
25、以下关于数据库数据查询描述有误的是( 用户通常需要查询表中所有数据行的信息 )
26、计算机系统一般有其相应的日志记录系统。其中,日志指系统所指定对象的某些操作和其操作结果按时间有序的集合,下列对其的叙述不正确的是
( 日志只在维护系统稳定性方面起到非常重要的作用 )
27、下列问题可能出现在原始日志信息中的有( 信息不全面、IP地址错误、重复记录 )
28、计算机系统一般具有相应的日志记录系统,并且其日志文件记录具有许多作用,以下关于日志文件记录功能的描述不正确的是( 不能为计算机犯罪提供证据来源 )
29、以下关于日志归一化的叙述中不正确的是( 它降低了日志审计系统的审计效率 )
30、XML是可扩展标记语言的简称,以下选项中对其的描述不正确的是
( 数据通过XML标记后表达方式更加复杂 )
31、递归关联的表达方式不包括以下哪种?( 零对一递归关联 )
【递归关联的表达方式:一对一、多对一、多对多】
32、日志的存储格式不包括以下哪种?( 基于PNG的格式 )
【日志的存储格式:基于文本的格式、基于二进制的格式、基于压缩文件的格式】
33、网络安全日志的数量庞大,为提高分析系统和生成报告的效率,通常将一些信息存入关系数据库,这些信息不包括( 序号 )
34、HDFS是Hadoop分布式文件系统的简称,被设计成适合运行于通用硬件。以下其的描述不正确的是( HDFS的扩展性很弱 )
35、操作系统是用户和计算机的接口,同时也是计算机硬件和其他软件的接口。下列哪个选项不是计算机操作系统( Https )
【计算机系统:Windows、Linux、Unix】
36、以下哪个选项不属于安全开发生命周期(SDL)在实现阶段减少漏洞的措施?
( 不进行参数检查 )
37、软件保证成熟度模型(SAMM)的目标是( 创建明确定义和可衡量的目标;涉及到软件开发的任何业务;可用于小型、中型和大型组织 )
38、以下关于综合的轻量应用安全过程(CLASP)的描述,错误的是
( CLASP的安全活动必须是基于访问列表安排的 )
39、以下关于安全需求分析过程的描述,错误的是( 安全需求分析是一个一劳永逸的过程 )
40、以下关于SQUARE过程模型的描述,错误的是
( 使用SQUARE过程模型时,软件项目的安全开发过程不必考虑其运行环境 )
41、以下关于安全关键单元的描述,错误的是
( 安全关键的计时单元可以由程序控制,随意修改 )
42、以下关于危险建模过程的描述中,错误的是
( 威胁建模可以一次性完成,不需要重复进行 )
43、缓解威胁常用的技术手段不包括( 增大攻击面 )
44、缓冲区溢出作为一种较为普遍以及危害性较大的漏洞,在各操作系统以及应用软件中广泛存在,下列选项中对其描述错误的是( 缓冲区溢出在软件的开发和测试阶段一定可以发现 )
45、C语言作为一种计算机编程语言,获得广泛应用。下列选项中对其描述错误的是
( C语言是面向对象的开发语言 )
46、Java作为一种计算机编程语言,功能非常强大。以下不属于Java的特点的是( 面向过程 )
47、以下关于路径遍历的描述,错误的是( 路径遍历漏洞没有任何危害 )
48、哈希算法之所以被认为安全,主要是基于以下哪两种性质?( 无冲突和不可逆 )
49、下列选项中关于Java语言的异常处理机制描述错误的是
( 尽量要在finally程序段非正常退出 )
50、下列选项中关于Java语言线程的描述,错误的是
( Thread Group中所有方法都是安全的,提倡使用 )
模拟题四
1、以下不属于Session攻击常用防护措施的是( 开启透明化Session ID )
2、在PHP开发中,不属于命令注入攻击的防范方法的是( 对输入命令不做任何检查 )
3、以下不属于Pyhton开发优点的是( 非开源 )
4、Python是一门有条理的、强大的面向对象的程序设计语言,以下对Pyhton的应用描述错误的是( Python在各个领域中的应用不可替代 )
5、在信息安全中密码至关重要,以下对密码的描述中错误的是
( 密码明文直接存储十分安全 )
6、以下不属于文件上传漏洞的防范措施的是( 使用固定数改写文件名和文件路径 )
7、软件安全性测试包括程序、网络、数据库安全性测试。以下关于软件安全测试的描述,错误的是( 软件安全测试的对象只包括代码 )
8、以下属于常用的安全测试的方法的是( 黑盒测试、白盒测试、灰盒测试 )
9、PDCA循环的含义是将质量管理分为四个阶段,即计划(plan)、执行(do)、检查(check)、处理(Act)。以下不属于PDCA循环特点的选项是( 开环系统,运行一次 )
10、渗透测试通过以下哪种方法来评估系统的安全状况( 模拟恶意黑客攻击 )
11、以下属于渗透测试的测试对象的是( 操作系统、应用系统、网络设备 )
12、最终安全审查的流程包括
( 评估资源可用性、确定合格的特征评估发现者的漏洞、评估和制定修复计划 )
13、在Web应用系统中,数据层主要负责对数据的操作,以下属于数据层操作的是
( 对数据的读取、对数据的增加、对数据的修改 )
14、以下关于WAF产品功能的描述中,不正确的是
( WAF的应用交付能力可以完全保障用户的敏感信息的安全 )
15、近年来,随着云计算、大数据技术逐渐应用到安全领域,基于软件即服务(Software-as-a-service,SaaS)模式的Web 应用安全监测十分具有市场潜力,通常情况下的SaaS软件主要应用于哪些企业管理软件?( 客户关系管理、人力资源管理、供应链管理 )
16、Web网页就是万维网上的一个按照HTML格式组织起来的文件。当访问Web网站的某个页面资源不存在时,HTTP服务器发回的响应状态代码是( 404 )
17、在接收到HTTP请求报文后,服务器会返回一个HTTP响应报文,HTTP响应报文由三部分组成。不属于HTTP响应报文的组成部分的是( 主机登录密码 )
18、HTTP是超文本传输协议,是为了提供一种发布和接收HTML页面的方法。HTTP服务默认TCP端口号是( 80 )
19、HTTP报文分为请求报文和响应报文两种,HTTP请求报文的组成部分不包含( 开放端口 )
20、HTTP请求是指从客户端到服务器端的请求消息。下列选项中不是HTTP请求方法的是( BODY )
21、HTTP消息(HTTP HEADER)又称HTTP头,包括请求头等四部分。请求头只出现在HTTP请求中,请求头允许客户端向服务器端传递请求的附加信息以及客户端自身的信息,常用的HTTP请求报头不包括( Line )
22、HTTP访问控制主要针对网络层的访问控制,通过配置面向对象的通用包过滤规则实现控制域名以外的访问行为。以下属于具体访问控制的是( 对访问者访问的URL的控制,允许或不允许访问设定的URL对象、对访问者的HTTP方法的控制,允许或不允许设定的HTTP方法访问、对访问者的IP的控制,允许或不允许设定的IP对象访问 )
23、Web应用程序设计普遍采用三层架构,这三层架构不包含( 物理层 )
24、一般情况下,以下属于SQL注入攻击特点的是( 普遍性、隐蔽性、危害性 )
25、SQL注入攻击方式有很多种,但本质上都是由SQL语言的属性来决定的。下列不属于SQL注入攻击的攻击方式的是( 社会工程学攻击 )
26、在开发一个新Web应用系统时,最好采用安全的程序设计方法,以避免或减少SQL注入漏洞。下列属于避免SQL注入漏洞的程序设计是( 使用存储过程、使用抽象层、处理敏感数据 )
27、跨站请求伪造(Cross-Site Request Forgery,CSRF)是一种对网站的恶意利用。以下属于跨站请求伪造攻击的必要条件的是
( 浏览器自动发送标识用户对话的信息而无须用户干预、攻击者对Web 应用程序URL的了解、浏览器可以访问应用程序的会话管理信息 )
28、关于Web应用防火墙,目前防御 CSRF 攻击的三种策略不包括
( 取消 HTTP Refresh字段的验证 )
29、网络爬虫按照系统结构和实现技术,大致可以分为多种类型,以下属于爬虫分类的是
( 通用网络爬虫、聚焦网络爬虫、增量式网络爬虫 )
30、目前网络爬虫的检测手段多种多样,往往需要综合利用,提高检测的准确率。下列属于网络爬虫的检测手段的是( 检测HTTP User-Agent报头、检查HTTP Referer报头、检测客户端IP )
31、攻击者对Web服务器进行攻击的时候,首先通过各种渠道获取Web服务器的各种信息,尤其是Web服务器的各种敏感信息。常见敏感信息泄露方式不包括( 正常信息页面显示 )
32、关于Web应用防火墙,Web服务器防范敏感信息泄露的方式不包括( 不采取认证措施 )
33、长期以来,弱密码一直是各项安全检查、风险评估报告中最常见的高风险安全问题,成为攻击者控制系统的主要途径。弱口令漏洞有三大特点不包括( 难猜测 )
34、网页篡改通过恶意破坏或更改网页内容导致网站无法正常工作。关于Web应用防火墙,攻击者常用的网页篡改方法不包括( 社会工程学 )
35、网页防篡改系统对网页文件提供实时动态保护,对未经授权的非法访问行为一律进行拦截,防止非法人员篡改、删除受保护的文件,确保网页文件的完整性。一般网页防篡改措施的过程不包括( 检测网络带宽 )
36、DDos攻击将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。关于DDoS的攻击现象一般不包括
( 用户访问无网络延时,正常访问Web服务 )
37、关于DDoS攻击防范策略不包括( 限制内网用户访问 )
38、Linux系统中通过编辑( login.defs )文件,可以修改密码设置,如密码设置最长有效期等。
39、威胁情报的出现将网络空间安全防御从传统被动式防御转移到主动式防御里。传统情报应具备准确性、针对性和及时性等特征,以下不属于安全威胁情报的基本特征的是( 模糊性 )
40、威胁情报的用途多种多样,除去攻击检测方面的价值外,实际上威胁情报的使用场景更加广泛。下列不属于威胁情报的用途的是( 安全部门汇报 )
41、下列概念不属于WAF为解决Web安全问题而遵循的是( 开放服务端口 )
42、以下属于网站敏感信息泄露的主要原因是( 网站信息繁多、黑客攻击水平高、黑客数量多 )
43、下列不属于常见的服务器端脚本程序的是( HTML )
44、Web服务器可以解析各种动态语言,让动态语言生成的程序最终能显示在浏览的页面上。下列不属于常见的Web服务器的是( Apple )
45、以下属于2019年OWASP十大安全漏洞的是( SQL注入、XSS漏洞、敏感信息泄露 )
46、网络环境下的信息安全体系是保证信息安全的关键。以下不属于常用的信息安全技术的是( DNS系统 )
47、防火墙是一种位于内部网络与外部网络之间的网络安全系统。以下不属于防火墙作用的是( 数据备份 )
48、软件开发生命周期的思想方法是按什么分程的( 时间 )
49、近十几年来,信息系统作为一个专门领域迅速形成和发展。以下不属于构成信息系统核心要素的是( 漏洞 )
50、信息系统是以信息为系统核心因素而构成的为人类服务的一类重要工具。以下关于信息系统功能的说法,错误的是( 企业信息系统的业务处理只有联机事务处理一种类型 )
4803
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
