题目
秋学期(1709、1803、1809、1903、1909)《攻防技术基础》在线作业()把软件开发的过程划分为需求->分析->设计->编码->测试等几个阶段进行,每一个阶段都明确定义了产出物和验证的准则。A.瀑布模型B.螺旋模型C.迭代模型D.快速原型模型标准答案:A以下说法错误的是()A.静态分析可以比较全面地考虑执行路径,漏报率比动态分析低。B.动态分析由于获取了具体的运行信息,因此报告的漏洞更为准确,误报率较低。C.将动态分析和静态分析结合起来对二进制进行分析,这种技术比单纯的动态和静态分析更加简单,比较有代表性的是BitBlaze。D.TEMU是BitBlaze的动态分析模块,其实质是一个虚拟机。标准答案:C网页与HTML对应的关系是()。A.一对一B.多对一C.一对多D.多对多标准答案:C渗透测试是通过(),来评估计算机网络系统安全的一种评估方法。A.模拟恶意黑客的攻击方法B.恶意黑客的攻击方法C.安全测试的攻击方法D.影响业务系统正常运行的攻击方法标准答案:A以下哪项不是HTTP与服务器交互的方法()A.GETB.OKC.POSTD.PUT标准答案:B()是对整型变量进行运算时没有考虑到其边界范围,造成运算后的数值范围超出了其存储空间。A.存储溢出B.缓存区溢出C.运算溢出D.符号溢出标准答案:C蠕虫病毒的传染目标是()。A.计算机内的文件系统B.计算机内的病毒C.计算机内的木马D.互联网内的所有计算机标准答案:D以下有关加壳说法正确的是()。A.加壳的全称应该是可执行程序资源压缩,是破坏文件的常用手段。B.加壳其实是利用特殊的算法,对EXE、DLL文件里的代码、资源等进行压缩、加密。C.加壳过的程序无法直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。D.CPU需要暴力解压加壳程序。标准答案:B以下有关认证与授权的说法正确的是()。A.认证和授权的功能相同B.授权是根据不同用户的凭证来确定用户的身份。C.授权是通过认证后确定用户的权限有哪些。D.一般来说,单因素认证的安全强度要高于多因素认证。标准答案:C()是一种自动化或半自动化的安全漏洞检测技术,通过向目标软件输入大量的畸形数据并监测目标系统的异常来发现潜在的软件漏洞。A.渗透测试B.黑盒测试C.白盒测试D.模糊测试标准答案:D网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限以及各类账户信息并从中谋取()的一条产业链。A.非法经济利益B.经济效益C.效益D.利润标准答案:A轰动全球的震网病毒是()。A.木马B.蠕虫病毒C.后门D.寄生型病毒标准答案:B以下有关Metasploit命令错误的是()A.showexploits会显示Metasploit框架中所有可用的渗透攻击模块。B.当你想要查找某个特定的渗透攻击、辅助或攻击载荷模块时,search命令非常有用。C.showauxiliary会显示所有的辅助模块以及它们的用途。D.showpayloads会列出这个模块所需的各种参数。标准答案:D下面描述错误的()。A.<head>定义了文档的信息B.<link>定义了HTML文档中的元数据C.<script>定义了客户端的脚本文件D.<base>定义了页面链接标签的默认链接地址标准答案:B()是通过全面的采用防范技术可以避免因单个漏洞对系统造成的危害。A.最小权限原则B.全面防御原则C.心里接受性D.代码重用性标准答案:B以下选项中目前世界上数据量最大,条目最多的漏洞数据库之一的是()。A.CNNVDB.NVDC.VED.CNVD标准答案:B以下哪项属于PE文件的数据节()A..textB..txtC..docxD..xls标准答案:A以下说法错误的是()A.UAFChecker检测工具采用了基于程序语义的安全检测技术。B.静态安全检测技术分析效率高效,但误报率较高。C.可执行代码的静态安全检测技术可分为基于程序结构的安全检测技术和基于程序语义的安全检测技术。D.基于程序结构的安全检测技术需要根据二进制可执行文件的格式特征,来分析文件中是否存在安全缺陷。标准答案:B以下有格式化符号选项错误的是()A.%o以八进制数形式输出整数B.%f用来输出虚数,以小数形式输出C.%n不向printf传递格式化信息D.%s用来输出一个字符串标准答案:BIDAPRO简称IDA,是一个交互式()工具。A.调试B.汇编C.编译D.反汇编标准答案:D以下说法正确的是()。A.Metasploit项目最初由HDMoore在2005年夏季创立。B.Metasploitv2版本为Metasploit从一个渗透攻击框架性软件华丽变身为支持渗透测试全过程的软件平台打下坚实的基础。C.除了渗透攻击之外,Metasploit在发展过程中逐渐增加对渗透测试全过程的支持,包括情报搜集、威胁建模、漏洞分析、后渗透攻击与报告生成。D.Metasploit版本都可以自动生成报告。标准答案:C病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组()。A.计算机指令B.程序代码C.文件D.计算机指令或者程序代码标准答案:C使用ASLR技术的目的就是打乱系统中存在的(),使攻击者很难从进程的内存空间中找到稳定的()。A.特定地址、跳转地址B.跳转地址、特定地址C.固定地址、跳转地址D.跳转地址、固定地址标准答案:CKaliLinux是专门用于渗透测试的Linux操作系统,它由()发展而来。A.WindowsB.MacOSC.BackTrackD.MSDOS标准答案:C以下有关安全测试的说法错误的是()。A.针对文件处理软件和网络数据处理软件,构造畸形的文件结构数据和网络数据包数据,开展测试,以发现程序中没有考虑到的畸形数据。B.需要对所有的用户输入都进行严格的检测,以发现web应用中对输入限制和过滤的不足。C.有关路径的测试需要包含多种多样的路径表达方式,并测试路径的访问控制机制。D.异常处理的测试不需要做为测试内容。标准答案:C符号溢出是使用另外的数据类型来存储整型数造成的。T.对F.错标准答案:B公开的数据库包括CVE、NVD、BugTraq、CNNVD、CNVD、Vulda等。T.对F.错标准答案:B建立安全威胁模型的主要目标,是让开发者全面了解软件所受到的威胁,以及如何减少这些威胁和风险,才能在开发过程中把安全理念和安全技术应用于代码中。T.对F.错标准答案:AGSStackProtection技术是一项缓冲区溢出的检测防护技术。T.对F.错标准答案:A所有的WWW文件都必须遵守超文本传输协议。T.对F.错标准答案:A同一文件不同函数的代码在内存代码区中的分布一定是相邻的。T.对F.错标准答案:B快速原型方法的开发速度很快,几乎没有进行软件设计的工作。T.对F.错标准答案:A从攻击过程来说,存储型XSS一般要求攻击者诱使用户点击一个包含XSS代码的URL链接。T.对F.错标准答案:BHTTP协议属于有状态的通信协议。T.对F.错标准答案:B信息收集是渗透测试中最重要的一环。在收集目标信息上所花的时间越多,后续阶段的成功率就越高。T.对F.错标准答案:A有些软件的漏洞存在于某些动态链接库中,这些动态链接库在进程运行时被动态加载,因而在下一次这些动态链接库被重新装载到内存中,其在内存中的栈帧地址是不变的。T.对F.错标准答案:B软件漏洞本身存在就有危害。T.对F.错标准答案:B最小权限原则是为软件授予其所需要的最少权限。T.对F.错标准答案:AMeterpreter可以看做一个支持多操作系统平台,可以仅仅驻留于内存中并具备免杀能力的高级后门工具。T.对F.错标准答案:A智能模糊测试的关键是反汇编。T.对F.错标准答案:B蠕虫是利用文件寄生来通过网络传播的恶性病毒。T.对F.错标准答案:B在MSF终端中,你可以针对渗透测试中发现的安全漏洞来实施相应的渗透攻击。T.对F.错标准答案:AAND属于位运算指令。T.对F.错标准答案:AOpt-InMode模式下DEP对所有系统进程和特别定义的进程启用。T.对F.错标准答案:BOllyDbg是一种具有可视化界面的32位汇编—分析调试器。T.对F.错标准答案:A数据执行保护DEP技术可以限制内存堆栈区的代码为不可执行状态,从而防范溢出后代码的执行。T.对F.错标准答案:A使用ASLR技术的目的就是打乱系统中存在的固定地址,使攻击者很难从进程的内存空间中找到稳定的跳转地址。T.对F.错标准答案:ASQL注入漏洞的根本原因在于代码没有对用户输入项进行验证和处理。T.对F.错标准答案:A存储式XSS需让用户查看一个正常的URL链接,而这个链接中存储了一段脚本。T.对F.错标准答案:AROP允许我们绕过DEP和ALSR,但不能绕开GS缓冲区溢出的检测防护技术。T.对F( )
秋学期(1709、1803、1809、1903、1909)《攻防技术基础》在线作业()把软件开发的过程划分为需求->分析->设计->编码->测试等几个阶段进行,每一个阶段都明确定义了产出物和验证的准则。
A.瀑布模型
B.螺旋模型
C.迭代模型
D.快速原型模型标准答案:A以下说法错误的是()
A.静态分析可以比较全面地考虑执行路径,漏报率比动态分析低。
B.动态分析由于获取了具体的运行信息,因此报告的漏洞更为准确,误报率较低。
C.将动态分析和静态分析结合起来对二进制进行分析,这种技术比单纯的动态和静态分析更加简单,比较有代表性的是BitBlaze。
D.TEMU是BitBlaze的动态分析模块,其实质是一个虚拟机。标准答案:C网页与HTML对应的关系是()。
A.一对一
B.多对一
C.一对多
D.多对多标准答案:C渗透测试是通过(),来评估计算机网络系统安全的一种评估方法。
A.模拟恶意黑客的攻击方法
B.恶意黑客的攻击方法
C.安全测试的攻击方法
D.影响业务系统正常运行的攻击方法标准答案:A以下哪项不是HTTP与服务器交互的方法()
A.GET
B.OK
C.POST
D.PUT标准答案:B()是对整型变量进行运算时没有考虑到其边界范围,造成运算后的数值范围超出了其存储空间。
A.存储溢出
B.缓存区溢出
C.运算溢出
D.符号溢出标准答案:C蠕虫病毒的传染目标是()。
A.计算机内的文件系统
B.计算机内的病毒
C.计算机内的木马
D.互联网内的所有计算机标准答案:D以下有关加壳说法正确的是()。
A.加壳的全称应该是可执行程序资源压缩,是破坏文件的常用手段。
B.加壳其实是利用特殊的算法,对EXE、DLL文件里的代码、资源等进行压缩、加密。
C.加壳过的程序无法直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。
D.CPU需要暴力解压加壳程序。标准答案:B以下有关认证与授权的说法正确的是()。
A.认证和授权的功能相同
B.授权是根据不同用户的凭证来确定用户的身份。
C.授权是通过认证后确定用户的权限有哪些。
D.一般来说,单因素认证的安全强度要高于多因素认证。标准答案:C()是一种自动化或半自动化的安全漏洞检测技术,通过向目标软件输入大量的畸形数据并监测目标系统的异常来发现潜在的软件漏洞。
A.渗透测试
B.黑盒测试
C.白盒测试
D.模糊测试标准答案:D网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限以及各类账户信息并从中谋取()的一条产业链。
A.非法经济利益
B.经济效益
C.效益
D.利润标准答案:A轰动全球的震网病毒是()。
A.木马
B.蠕虫病毒
C.后门
D.寄生型病毒标准答案:B以下有关Metasploit命令错误的是()
A.showexploits会显示Metasploit框架中所有可用的渗透攻击模块。
B.当你想要查找某个特定的渗透攻击、辅助或攻击载荷模块时,search命令非常有用。
C.showauxiliary会显示所有的辅助模块以及它们的用途。
D.showpayloads会列出这个模块所需的各种参数。标准答案:D下面描述错误的()。
A.<head>定义了文档的信息
B.<link>定义了HTML文档中的元数据
C.<script>定义了客户端的脚本文件
D.<base>定义了页面链接标签的默认链接地址标准答案:B()是通过全面的采用防范技术可以避免因单个漏洞对系统造成的危害。
A.最小权限原则
B.全面防御原则
C.心里接受性
D.代码重用性标准答案:B以下选项中目前世界上数据量最大,条目最多的漏洞数据库之一的是()。
A.CNNVD
B.NVD
C.VE
D.CNVD标准答案:B以下哪项属于PE文件的数据节()
A..text
B..txt
C..docx
D..xls标准答案:A以下说法错误的是()
A.UAFChecker检测工具采用了基于程序语义的安全检测技术。
B.静态安全检测技术分析效率高效,但误报率较高。
C.可执行代码的静态安全检测技术可分为基于程序结构的安全检测技术和基于程序语义的安全检测技术。
D.基于程序结构的安全检测技术需要根据二进制可执行文件的格式特征,来分析文件中是否存在安全缺陷。标准答案:B以下有格式化符号选项错误的是()
A.%o以八进制数形式输出整数
B.%f用来输出虚数,以小数形式输出
C.%n不向printf传递格式化信息
D.%s用来输出一个字符串标准答案:BIDAPRO简称IDA,是一个交互式()工具。
A.调试
B.汇编
C.编译
D.反汇编标准答案:D以下说法正确的是()。
A.Metasploit项目最初由HDMoore在2005年夏季创立。
B.Metasploitv2版本为Metasploit从一个渗透攻击框架性软件华丽变身为支持渗透测试全过程的软件平台打下坚实的基础。
C.除了渗透攻击之外,Metasploit在发展过程中逐渐增加对渗透测试全过程的支持,包括情报搜集、威胁建模、漏洞分析、后渗透攻击与报告生成。
D.Metasploit版本都可以自动生成报告。标准答案:C病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组()。
A.计算机指令
B.程序代码
C.文件
D.计算机指令或者程序代码标准答案:C使用ASLR技术的目的就是打乱系统中存在的(),使攻击者很难从进程的内存空间中找到稳定的()。
A.特定地址、跳转地址
B.跳转地址、特定地址
C.固定地址、跳转地址
D.跳转地址、固定地址标准答案:CKaliLinux是专门用于渗透测试的Linux操作系统,它由()发展而来。
A.Windows
B.MacOS
C.BackTrack
D.MSDOS标准答案:C以下有关安全测试的说法错误的是()。
A.针对文件处理软件和网络数据处理软件,构造畸形的文件结构数据和网络数据包数据,开展测试,以发现程序中没有考虑到的畸形数据。
B.需要对所有的用户输入都进行严格的检测,以发现web应用中对输入限制和过滤的不足。
C.有关路径的测试需要包含多种多样的路径表达方式,并测试路径的访问控制机制。
D.异常处理的测试不需要做为测试内容。标准答案:C符号溢出是使用另外的数据类型来存储整型数造成的。
T.对
F.错标准答案:B公开的数据库包括CVE、NVD、BugTraq、CNNVD、CNVD、Vulda等。
T.对
F.错标准答案:B建立安全威胁模型的主要目标,是让开发者全面了解软件所受到的威胁,以及如何减少这些威胁和风险,才能在开发过程中把安全理念和安全技术应用于代码中。
T.对
F.错标准答案:AGSStackProtection技术是一项缓冲区溢出的检测防护技术。
T.对
F.错标准答案:A所有的WWW文件都必须遵守超文本传输协议。
T.对
F.错标准答案:A同一文件不同函数的代码在内存代码区中的分布一定是相邻的。
T.对
F.错标准答案:B快速原型方法的开发速度很快,几乎没有进行软件设计的工作。
T.对
F.错标准答案:A从攻击过程来说,存储型XSS一般要求攻击者诱使用户点击一个包含XSS代码的URL链接。
T.对
F.错标准答案:BHTTP协议属于有状态的通信协议。
T.对
F.错标准答案:B信息收集是渗透测试中最重要的一环。在收集目标信息上所花的时间越多,后续阶段的成功率就越高。
T.对
F.错标准答案:A有些软件的漏洞存在于某些动态链接库中,这些动态链接库在进程运行时被动态加载,因而在下一次这些动态链接库被重新装载到内存中,其在内存中的栈帧地址是不变的。
T.对
F.错标准答案:B软件漏洞本身存在就有危害。
T.对
F.错标准答案:B最小权限原则是为软件授予其所需要的最少权限。
T.对
F.错标准答案:AMeterpreter可以看做一个支持多操作系统平台,可以仅仅驻留于内存中并具备免杀能力的高级后门工具。
T.对
F.错标准答案:A智能模糊测试的关键是反汇编。
T.对
F.错标准答案:B蠕虫是利用文件寄生来通过网络传播的恶性病毒。
T.对
F.错标准答案:B在MSF终端中,你可以针对渗透测试中发现的安全漏洞来实施相应的渗透攻击。
T.对
F.错标准答案:AAND属于位运算指令。
T.对
F.错标准答案:AOpt-InMode模式下DEP对所有系统进程和特别定义的进程启用。
T.对
F.错标准答案:BOllyDbg是一种具有可视化界面的32位汇编—分析调试器。
T.对
F.错标准答案:A数据执行保护DEP技术可以限制内存堆栈区的代码为不可执行状态,从而防范溢出后代码的执行。
T.对
F.错标准答案:A使用ASLR技术的目的就是打乱系统中存在的固定地址,使攻击者很难从进程的内存空间中找到稳定的跳转地址。
T.对
F.错标准答案:ASQL注入漏洞的根本原因在于代码没有对用户输入项进行验证和处理。
T.对
F.错标准答案:A存储式XSS需让用户查看一个正常的URL链接,而这个链接中存储了一段脚本。
T.对
F.错标准答案:AROP允许我们绕过DEP和ALSR,但不能绕开GS缓冲区溢出的检测防护技术。
T.对F( )
A.瀑布模型
B.螺旋模型
C.迭代模型
D.快速原型模型标准答案:A以下说法错误的是()
A.静态分析可以比较全面地考虑执行路径,漏报率比动态分析低。
B.动态分析由于获取了具体的运行信息,因此报告的漏洞更为准确,误报率较低。
C.将动态分析和静态分析结合起来对二进制进行分析,这种技术比单纯的动态和静态分析更加简单,比较有代表性的是BitBlaze。
D.TEMU是BitBlaze的动态分析模块,其实质是一个虚拟机。标准答案:C网页与HTML对应的关系是()。
A.一对一
B.多对一
C.一对多
D.多对多标准答案:C渗透测试是通过(),来评估计算机网络系统安全的一种评估方法。
A.模拟恶意黑客的攻击方法
B.恶意黑客的攻击方法
C.安全测试的攻击方法
D.影响业务系统正常运行的攻击方法标准答案:A以下哪项不是HTTP与服务器交互的方法()
A.GET
B.OK
C.POST
D.PUT标准答案:B()是对整型变量进行运算时没有考虑到其边界范围,造成运算后的数值范围超出了其存储空间。
A.存储溢出
B.缓存区溢出
C.运算溢出
D.符号溢出标准答案:C蠕虫病毒的传染目标是()。
A.计算机内的文件系统
B.计算机内的病毒
C.计算机内的木马
D.互联网内的所有计算机标准答案:D以下有关加壳说法正确的是()。
A.加壳的全称应该是可执行程序资源压缩,是破坏文件的常用手段。
B.加壳其实是利用特殊的算法,对EXE、DLL文件里的代码、资源等进行压缩、加密。
C.加壳过的程序无法直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。
D.CPU需要暴力解压加壳程序。标准答案:B以下有关认证与授权的说法正确的是()。
A.认证和授权的功能相同
B.授权是根据不同用户的凭证来确定用户的身份。
C.授权是通过认证后确定用户的权限有哪些。
D.一般来说,单因素认证的安全强度要高于多因素认证。标准答案:C()是一种自动化或半自动化的安全漏洞检测技术,通过向目标软件输入大量的畸形数据并监测目标系统的异常来发现潜在的软件漏洞。
A.渗透测试
B.黑盒测试
C.白盒测试
D.模糊测试标准答案:D网络黑客产业链是指黑客们运用技术手段入侵服务器获取站点权限以及各类账户信息并从中谋取()的一条产业链。
A.非法经济利益
B.经济效益
C.效益
D.利润标准答案:A轰动全球的震网病毒是()。
A.木马
B.蠕虫病毒
C.后门
D.寄生型病毒标准答案:B以下有关Metasploit命令错误的是()
A.showexploits会显示Metasploit框架中所有可用的渗透攻击模块。
B.当你想要查找某个特定的渗透攻击、辅助或攻击载荷模块时,search命令非常有用。
C.showauxiliary会显示所有的辅助模块以及它们的用途。
D.showpayloads会列出这个模块所需的各种参数。标准答案:D下面描述错误的()。
A.<head>定义了文档的信息
B.<link>定义了HTML文档中的元数据
C.<script>定义了客户端的脚本文件
D.<base>定义了页面链接标签的默认链接地址标准答案:B()是通过全面的采用防范技术可以避免因单个漏洞对系统造成的危害。
A.最小权限原则
B.全面防御原则
C.心里接受性
D.代码重用性标准答案:B以下选项中目前世界上数据量最大,条目最多的漏洞数据库之一的是()。
A.CNNVD
B.NVD
C.VE
D.CNVD标准答案:B以下哪项属于PE文件的数据节()
A..text
B..txt
C..docx
D..xls标准答案:A以下说法错误的是()
A.UAFChecker检测工具采用了基于程序语义的安全检测技术。
B.静态安全检测技术分析效率高效,但误报率较高。
C.可执行代码的静态安全检测技术可分为基于程序结构的安全检测技术和基于程序语义的安全检测技术。
D.基于程序结构的安全检测技术需要根据二进制可执行文件的格式特征,来分析文件中是否存在安全缺陷。标准答案:B以下有格式化符号选项错误的是()
A.%o以八进制数形式输出整数
B.%f用来输出虚数,以小数形式输出
C.%n不向printf传递格式化信息
D.%s用来输出一个字符串标准答案:BIDAPRO简称IDA,是一个交互式()工具。
A.调试
B.汇编
C.编译
D.反汇编标准答案:D以下说法正确的是()。
A.Metasploit项目最初由HDMoore在2005年夏季创立。
B.Metasploitv2版本为Metasploit从一个渗透攻击框架性软件华丽变身为支持渗透测试全过程的软件平台打下坚实的基础。
C.除了渗透攻击之外,Metasploit在发展过程中逐渐增加对渗透测试全过程的支持,包括情报搜集、威胁建模、漏洞分析、后渗透攻击与报告生成。
D.Metasploit版本都可以自动生成报告。标准答案:C病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组()。
A.计算机指令
B.程序代码
C.文件
D.计算机指令或者程序代码标准答案:C使用ASLR技术的目的就是打乱系统中存在的(),使攻击者很难从进程的内存空间中找到稳定的()。
A.特定地址、跳转地址
B.跳转地址、特定地址
C.固定地址、跳转地址
D.跳转地址、固定地址标准答案:CKaliLinux是专门用于渗透测试的Linux操作系统,它由()发展而来。
A.Windows
B.MacOS
C.BackTrack
D.MSDOS标准答案:C以下有关安全测试的说法错误的是()。
A.针对文件处理软件和网络数据处理软件,构造畸形的文件结构数据和网络数据包数据,开展测试,以发现程序中没有考虑到的畸形数据。
B.需要对所有的用户输入都进行严格的检测,以发现web应用中对输入限制和过滤的不足。
C.有关路径的测试需要包含多种多样的路径表达方式,并测试路径的访问控制机制。
D.异常处理的测试不需要做为测试内容。标准答案:C符号溢出是使用另外的数据类型来存储整型数造成的。
T.对
F.错标准答案:B公开的数据库包括CVE、NVD、BugTraq、CNNVD、CNVD、Vulda等。
T.对
F.错标准答案:B建立安全威胁模型的主要目标,是让开发者全面了解软件所受到的威胁,以及如何减少这些威胁和风险,才能在开发过程中把安全理念和安全技术应用于代码中。
T.对
F.错标准答案:AGSStackProtection技术是一项缓冲区溢出的检测防护技术。
T.对
F.错标准答案:A所有的WWW文件都必须遵守超文本传输协议。
T.对
F.错标准答案:A同一文件不同函数的代码在内存代码区中的分布一定是相邻的。
T.对
F.错标准答案:B快速原型方法的开发速度很快,几乎没有进行软件设计的工作。
T.对
F.错标准答案:A从攻击过程来说,存储型XSS一般要求攻击者诱使用户点击一个包含XSS代码的URL链接。
T.对
F.错标准答案:BHTTP协议属于有状态的通信协议。
T.对
F.错标准答案:B信息收集是渗透测试中最重要的一环。在收集目标信息上所花的时间越多,后续阶段的成功率就越高。
T.对
F.错标准答案:A有些软件的漏洞存在于某些动态链接库中,这些动态链接库在进程运行时被动态加载,因而在下一次这些动态链接库被重新装载到内存中,其在内存中的栈帧地址是不变的。
T.对
F.错标准答案:B软件漏洞本身存在就有危害。
T.对
F.错标准答案:B最小权限原则是为软件授予其所需要的最少权限。
T.对
F.错标准答案:AMeterpreter可以看做一个支持多操作系统平台,可以仅仅驻留于内存中并具备免杀能力的高级后门工具。
T.对
F.错标准答案:A智能模糊测试的关键是反汇编。
T.对
F.错标准答案:B蠕虫是利用文件寄生来通过网络传播的恶性病毒。
T.对
F.错标准答案:B在MSF终端中,你可以针对渗透测试中发现的安全漏洞来实施相应的渗透攻击。
T.对
F.错标准答案:AAND属于位运算指令。
T.对
F.错标准答案:AOpt-InMode模式下DEP对所有系统进程和特别定义的进程启用。
T.对
F.错标准答案:BOllyDbg是一种具有可视化界面的32位汇编—分析调试器。
T.对
F.错标准答案:A数据执行保护DEP技术可以限制内存堆栈区的代码为不可执行状态,从而防范溢出后代码的执行。
T.对
F.错标准答案:A使用ASLR技术的目的就是打乱系统中存在的固定地址,使攻击者很难从进程的内存空间中找到稳定的跳转地址。
T.对
F.错标准答案:ASQL注入漏洞的根本原因在于代码没有对用户输入项进行验证和处理。
T.对
F.错标准答案:A存储式XSS需让用户查看一个正常的URL链接,而这个链接中存储了一段脚本。
T.对
F.错标准答案:AROP允许我们绕过DEP和ALSR,但不能绕开GS缓冲区溢出的检测防护技术。
T.对F( )
题目解答
答案
错误