1、()是一种自动化或半自动化的安全漏洞检测技术,通过向目标软件输入大量的畸形数据并监测目标系统的异常来发现潜在的软件漏洞。
A.渗透测试
B.黑盒测试
C.白盒测试
D.模糊测试
本题答案:
D
2、()把软件开发的过程划分为需求-分析-设计-编码-测试等几个阶段进行,每一个阶段都明确定义了产出物和验证的准则。
A.瀑布模型
B.螺旋模型
C.迭代模型
D.快速原型模型
本题答案:
A
3、以下哪项不是SQL注入的方法()。
A.单引号法
B.永真永假法
C.执行系统命令
D.时间盲注法
本题答案:
C
4、()是指攻击者窃听了用户访问HTTP时的用户名和密码,或者是用户的会话,从而得到sessionID,进而冒充用户进行HTTP访问的过程。
A.会话劫持
B.遭破坏的认证和会话管理
C.会话保持攻击
D.中间人攻击
本题答案:
B
5、源代码通过()后形成可执行文件。
A.汇编
B.编译
C.连接
D.编译和连接
本题答案:
D
6、木马与病毒的重大区别是()。
A.木马会自我复制
B.木马具有隐蔽性
C.木马不具感染性
D.木马通过网络传播
本题答案:
C
7、以下哪项不属于缓存区溢出漏洞()。
A.堆溢出
B.栈溢出
C.单字节溢出
D.SQL注入
本题答案:
D
8、以下哪项不是情报搜集阶段要做的事情()。
A.社会工程学
B.被动监听
C.与客户交流
D.公开来源信息查询
本题答案:
C
9、轰动全球的震网病毒是()。
A.木马
B.蠕虫病毒
C.后门
D.寄生型病毒
本题答案:
B
10、以下哪项属于PE文件的数据节()
A..text
B..txt
C..docx
D..xls
本题答案:
A
11、软件静态安全检测技术是针对()的软件所开展的安全分析测试技术。
A.运行状态
B.调试状态
C.未处于运行状态
D.编译状态
本题答案:
C
12、以下哪项不是PHP的注释符号()。
A.#//
B.--+
C./* */
本题答案:
C
13、()是由于向程序的缓冲区中输入的数据超过其规定长度,造成缓冲区溢出,破坏程序正常的堆栈,使程序执行其他指令。
A.设计错误漏洞
B.访问验证漏洞
C.配置错误漏洞
D.缓冲区溢出漏洞
本题答案:
D
14、以下说法错误的是()
A.静态分析可以比较全面地考虑执行路径,漏报率比动态分析低
B.动态分析由于获取了具体的运行信息,因此报告的漏洞更为准确,误报率较低
C.将动态分析和静态分析结合起来对二进制进行分析,这种技术比单纯的动态和静态分析更加简单,比较有代表性的是BitBlaze
D.TEMU是BitBlaze的动态分析模块,其实质是一个虚拟机
本题答案:
C
15、缓冲区溢出后执行的代码,会以()的身份权限运行。
A.系统
B.用户
C.原有程序
D.程序
本题答案:
C
16、()也称为敏捷开发,它是根据客户的需要在很短的时间内完成一个可以演示的软件产品,这个软件产品可以是只实现部分功能或者是最重要的功能,但是可以让用户直接看到一个直观的原型系统。
A.瀑布模型
B.螺旋模型
C.迭代模型
D.快速原型模型
本题答案:
D
17、()是通过全面的采用防范技术可以避免因单个漏洞对系统造成的危害。
A.最小权限原则
B.全面防御原则
C.心里接受性
D.代码重用性
本题答案:
B
18、()适合检查因控制流信息非法操作而导致的安全问题,如内存访问越界、常数传播等。
A.词法分析
B.数据流分析
C.符号执行
D.模型检验
本题答案:
B
19、以下有关GS说法错误的是()
A.GS Stack Protection技术是一项缓冲区溢出的检测防护技术
B.VC++编译器中提供GS编译选项
C.攻击者可以对security_cookie进行篡改
D.GS技术对基于栈的缓冲区溢出攻击能起到很好的防范作用
本题答案:
C
20、()解决的是如何组织软件的开发过程,但是它没有解决如何在软件开发过程中防止安全缺陷的出现。
A.软件开发生命周期
B.安全威胁模型
C.安全设计
D.安全编程
本题答案:
A
21、网页与HTML对应的关系是()。
A.一对一
B.多对一
C.一对多
D.多对多
本题答案:
C
22、渗透测试是通过(),来评估计算机网络系统安全的一种评估方法。
A.模拟恶意黑客的攻击方法
B.恶意黑客的攻击方法
C.安全测试的攻击方法
D.影响业务系统正常运行的攻击方法
本题答案:
A
23、按照软件漏洞被攻击者利用的地点,软件漏洞可以分为()
A.本地利用和远程利用漏洞
B.输入验证错误漏洞和设计错误漏洞
C.配置错误漏洞和竞争条件漏洞
D.0day漏洞和1day漏洞
本题答案:
A
24、Shell是一个命令解释器,它解释()的命令并且把它们送到内核。
A.系统输入
B.用户输入
C.系统和用户输入
D.输入
本题答案:
B
25、蠕虫与普通病毒相比特有的性质为()。
A.传播性
B.隐蔽性
C.不利用文件寄生
D.破坏性
本题答案:
C
26、对于存在高风险的软件产品,有必要通过威胁建模开展深入的风险分析。()
A.对
B.错
27、SSH协议可以实现Internet上数据传输的安全,通过利用数据加密技术,它可确保数据在网络上传输不会被截取或者窃听。()
A.对
B.错
28、在PHP中,当使用include()函数时,只有代码执行到该函数时才会将文件包含进来。当包含外部文件发生错误时,系统只会给出一个警告而继续向下执行。()
A.对
B.错
29、压缩壳的特点是减小软件体积大小,加密保护也是重点。()
A.对
B.错
30、同一文件不同函数的代码在内存代码区中的分布一定是相邻的。()
A.对
B.错
31、一些软件漏洞问题会随时间变长而自动消失。()
A.对
B.错
32、ROP允许我们绕过DEP和ALSR,但不能绕开GS缓冲区溢出的检测防护技术。()
A.对
B.错
33、在计算机术语中,会话是指一个终端用户与交互系统进行通讯的过程。()
A.对
B.错
34、软件漏洞本身存在就有危害。()
A.对
B.错
35、缓冲区溢出一般是通过覆盖堆栈中的返回地址,使程序跳转到shellcode或指定程序处执行。()
A.对
B.错
36、堆由程序员自己分配,速度比较快。()
A.对
B.错
37、本地利用漏洞是指攻击者可以直接通过网络发起攻击并利用的软件漏洞。()
A.对
B.错
38、为了提高瀑布模型的开发效率,在系统的架构设计完成后,可将系统分为多个可并行开发的模块。()
A.对
B.错
39、软件安全测试不但可以进行对软件代码的安全测试,还可以对软件成品进行安全测试。()
A.对
B.错
40、printf函数的第一个参数就是格式化字符串,它来告诉程序将数据以什么格式输出。()
A.对
B.错
41、情报搜集是否充分在很大程度上决定了渗透测试的成败。()
A.对
B.错
42、存储在硬盘上的cookie不可以在不同的浏览器进程间共享。()
A.对
B.错
43、Session的使用是由浏览器按照一定的原则在后台自动发送给服务器的。()
A.对
B.错
44、存储式XSS需让用户查看一个正常的URL链接,而这个链接中存储了一段脚本。()
A.对
B.错
45、符号溢出是使用另外的数据类型来存储整型数造成的。()
A.对
B.错
46、美国国家漏洞数据库NVD(National Vulnerabilities Database)是美国国家标准与技术局NIST于2007年创建的,由国土安全部DHS的国家赛博防卫部和US-cert赞助支持。()
A.对
B.错
47、对于堆内存分配,操作系统有一个堆管理结构,用来管理空闲内存地址的链表。()
A.对
B.错
48、漏洞也称为脆弱性(Vulnerability),是计算机系统的硬件、软件、协议在系统设计、具体实现、系统配置或安全策略上存在的缺陷。()
A.对
B.错
49、文件包含一般分为本地文件包含和远程文件包含两类。()
A.对
B.错
50、SQL是二十世纪七十年代由IBM创建的,于1994年作为国际标准纳入ANSI。()
A.对
B.错
