南开21春学期2103《攻防技术基础》在线作业 245docWord格式.docx

南开21春学期2103《攻防技术基础》在线作业 245docWord格式.docx

《南开21春学期2103《攻防技术基础》在线作业 245docWord格式.docx》由会员分享，可在线阅读，更多相关《南开21春学期2103《攻防技术基础》在线作业 245docWord格式.docx（8页珍藏版）》请在冰豆网上搜索。

A.一般来说，存储式XSS的风险会高于反射式XSS。

B.存储型XSS一般要求攻击者诱使用户点击一个包含XSS代码的URL链接。

C.反射式XSS则只需让用户查看一个正常的URL链接，而这个链接中存储了一段脚本。

D.存储型XSS会改变页面URL的原有结构。

A

4.栈是向（）地址扩展的数据结构,是一块连续的内存区域;

堆是向（）地址扩展的数据结构,是不连续的内存区域。

A.低、低 

B.高、低 

C.低、高 

D.高、高 

5.以下哪项属于PE文件的数据节（）

A..text 

B..txt 

C..docx 

D..xls 

6.以下属于主动信息收集的是（）

A.nmap 

B.IP查询 

C.whois 

D.旁站查询 

7.（）是指攻击者窃听了用户访问HTTP时的用户名和密码,或者是用户的会话,从而得到sessionID,进而冒充用户进行HTTP访问的过程。

A.会话劫持 

B.遭破坏的认证和会话管理 

C.会话保持攻击 

D.中间人攻击 

8.IDAPRO简称IDA,是一个交互式（）工具。

A.调试 

B.汇编 

C.编译 

D.反汇编 

D

9.（）技术具有较高的分析准确率,然而针对大规模代码的分析,由于路径数量较多,因此其分析的性能会受到较大的影响。

A.数据流分析 

B.词法分析 

C.污点传播分析 

D.符号执行 

10.关于缓冲区溢出的原理不正确的是（）

A.缓冲区溢出是由编程错误引起的。

B.如果缓冲区被写满，而程序没有去检查缓冲区边界，也没有停止接收数据，这时缓冲区溢出就会发生。

C.一小部分数据或者一套指令的溢出就可能导致一个程序或者操作系统崩溃。

D.C语言具有检查边界的功能。

11.病毒、（）和木马是可导致计算机和计算机上的信息损坏的恶意程序。

A.程序 

B.蠕虫 

C.代码 

D.数据 

12.栈是由（）分配,堆由（）分配。

A.系统自动、程序员自己申请 

B.程序员自己申请、程序员自己申请 

C.系统自动、系统自动 

D.程序员自己申请、系统自动 

13.堆是程序运行时动态分配的内存,用户一般通过（）、new等函数申请内存。

A.scanf 

B.printf 

C.malloc 

D.free 

14.以下哪项不是HTTP与服务器交互的方法（）

A.GET 

B.OK 

C.POST 

D.PUT 

15.下面说法错误的是（）。

A.GET请求的数据会附在URL之后。

B.POST请求的数据会附在URL之后。

C.POST把提交的数据放置在HTTP包的包体中。

D.通过GET提交数据，用户名和密码将明文出现在URL上。

16.（）主要用来保存操作数和运算结果等信息,从而节省读取操作数所需占用总线和访问存储器的时间。

A.数据寄存器 

B.变址寄存器 

C.段寄存器 

D.指令指针寄存器 

17.以下有关智能模糊测试说法错误的是（）

A.智能模糊测试的前提，是对可执行代码进行输入数据、控制流、执行路径之间相关关系的分析。

B.采用智能技术分析输入数据和执行路径的关系是智能模糊测试的关键。

C.智能模糊测试技术包含了对漏洞成因的分析，极大减少了分析人员的工作量。

D.智能模糊测试的优点就是不需要衡量在工作量和安全检测效率之间的关系。

18.以下有关安全测试的说法错误的是（）。

A.针对文件处理软件和网络数据处理软件，构造畸形的文件结构数据和网络数据包数据，开展测试，以发现程序中没有考虑到的畸形数据。

B.需要对所有的用户输入都进行严格的检测，以发现web应用中对输入限制和过滤的不足。

C.有关路径的测试需要包含多种多样的路径表达方式，并测试路径的访问控制机制。

D.异常处理的测试不需要做为测试内容。

19.以下哪项不属于缓存区溢出漏洞（）。

A.堆溢出 

B.栈溢出 

C.单字节溢出 

D.SQL注入 

20.在软件开发的设计阶段,通过（）原则,预先从设计和架构角度消除安全缺陷,将成为软件安全开发的关键。

A.安全编程 

B.安全测试 

C.应用安全设计 

D.安全开发 

21.蠕虫病毒的传染目标是（）。

A.计算机内的文件系统 

B.计算机内的病毒 

C.计算机内的木马 

D.互联网内的所有计算机 

22.（）是指软件设计者或开发者犯下的错误,是导致不正确结果的行为,它可能是有意无意的误解、对问题考虑不全面所造成的过失等。

A.Fault 

B.Hole 

C.Weakness 

D.Error 

23.源代码通过（）后形成可执行文件。

A.汇编 

B.编译 

C.连接 

D.编译和连接 

24.（）就是指页面内可以包含图片、链接,甚至音乐、程序等非文字元素。

A.文本 

B.超文本 

C.记事本 

D.网页 

25.在Windows系统下,系统调用多数都是封装在高级（）中来调用的。

A.API 

B.DLL 

C.库函数 

D.可执行文件 

26.攻击载荷是针对特定平台的一段攻击代码,它将通过网络传送到攻击目标进行执行。

T.对 

F.错 

T

27.病毒必须能自我执行和自我复制。

28.C标准库中和字符串操作有关的函数,像strcpy,strcat,sprintf,gets等函数中,数组和指针都有自动边界检查。

F

29.白箱测试又被称为所谓的“Zero-KnowledgeTesting”,渗透者完全处于对系统一无所知的状态。

30.电脑肉鸡,也就是受别人控制的远程电脑,可以是各种系统。

31.全面防御原则是针对软件的不同使用用户、不同程序或函数,在不同的环境和时间给予不同的权限。

32.单纯地依靠静态分析技术或者单纯依靠动态分析技术对二进制程序进行安全性分析很难达到理想的效果。

33.软件开发生命周期解决的是如何在软件开发过程中防止安全缺陷的出现。

34.一个可执行文件只包含有二进制的机器代码。

35.程序进行虚地址到实地址转换的过程称为程序的再定位。

36.软件漏洞只会造成软件奔溃不能运行。

37.模型检验对于路径和状态的分析过程可以实现全自动化;

但是由于穷举所有状态,所以同样存在计算能力受限的问题。

38.堆是内存空间中用于存放动态数据的区域。

与栈不同的是,程序员自己完成堆中变量的分配与释放。

39.安全测试与功能性测试差不多,主要目的是发现和消除在软件设计和编写中产生的安全隐患。

40.WindowsXP及其之前的操作系统,有对某些内存区域的代码执行进行限制。

41.VINE是BitBlaze的静态分析模块,它分为前端和后端两部分,前端用来在VINEIL上做静态分析,后端将二进制指令提升为VINE中间语言。

42.GSStackProtection技术是一项缓冲区溢出的检测防护技术。

43.一些软件漏洞问题会随时间变长而自动消失。

44.所有的WWW文件都必须遵守超文本传输协议。

45.Vmwareworkstation软件只能安装一个操作系统。

46.printf函数的第一个参数就是格式化字符串,它来告诉程序将数据以什么格式输出。

47.漏洞利用中最关键的是Shellcode的编写,对一些特定字符需要转码,函数API的定位比较简单。

48.主动信息收集和被动信息收集相反,主动收集会与目标系统有直接的交互,从而得到目标系统相关的一些情报信息。

49.URL重写就是把sessionid直接附加在URL路径的后面。

50.只要做好客户端的文件检查就可以避免文件上传漏洞。