大厂HW试题和答案

  • A+
所属分类:安全闲碎

1.管理员在windows server 2008中利用iis7.0搭建了web服务器。他发现身份验证中只有“匿名身份验证”,原因是()

服务器启动了匿名身份验证

在WEB服务器角色中没有安装其他身份验证方法对应的角色服务

其他身份验证方法处于禁用状态

Windows server 2008只支持匿名身份验证

2.客户端使用哪儿种协议收取自己的电子邮件

SMTP

POP3

FTP

HTTP

3.通过以下哪个命令可以查看本机端口和外部连接情况

netstat -an

netconn -an

netport -a

netstat -all

4.Linux中,什么命令可以控制口令的存活时间

chage

passwd

chmod

Umask

5.windows系统,下列哪个命令可以列举本地所有用户列表

net user

net view

net name

net accounts

6.windows系统,下列哪个命令可以列举本地所有运行中的服务

net view

net user

net stat

net statistics

7.SSH使用的默认端口号

21

22

23

43

8.你想发现到达目标网络需要经过哪些路由器,你应该使用什么命令

ping

nslookup

tracert

ipconfig

9.主要用于加密机制的协议是

HTTP

FTP

TELNET

SSL

10.下面哪一项不属于具备远程控制功能的服务

SSH

VNC

NTP

RDP

11.在Oracle下要创建java存储过程不需要以下哪种权限

create procedure

create dir

wirteFileDescriptor

readFileDescriptor

12.利用Oracle以下哪种方法不能写文件

利用utl_file包程序写文件

创建java存储过程写文件

利用select into outfile写文件

调用DBMS_SCHEDULER执行系统命令写文件

13.在Windows系统下,通过以下哪一技术,恶意程序无法实现自启动

在注册表HKCUSoftwareMicrosoftwindowsCurrentVersionRun 下写入键值

注册为系统服务

将恶意代码注入svchost进程

注册为WMI事件订阅

14.cookie的httponly属性为true,说明

只能通过https来传递此条cookie,可预防cookie明文传输

只有在http请求头中会带有此cookie的信息,而不能通过javascript来访问此cookie

只能通过http来传递此条cookie

cookie只能在指定的子域下生效,可预防cookie跨子域访问

15.关于SQL注入漏洞,下列说法不正确的是

报错型注入

字符型注入

反射型注入

数字型注入

16.查询rc0.d/目录在何处,正确的命令是

where rc0.d

whereis rc0.d

find rc0.d/

find rc0.d

17.默认情况下,查看linux系统安全日志信息命令正确的是

cat /var/log/secure

cat /etc/secure

cat /var/secure

cat /usr/local/log/secure

18.下面哪种方式能执行whoami指令

ip=127.0.0.1&&whoami

ip=127.0.0.1||whoami

ip=127.0.0.1*whoami

ip=127.0.0.1|whoami

19.对名为fido的文件用chmod 551 fido进行修改,则它的许可权是

-rwxr-xr-x

-rwxr—r—

-r—r—r—

-r-xr-x—x

20.以下不属于注册表备份的方式是

Scanreg/backup/restore/comment

在注册表编辑器中,找到并单击您要备份的子项的注册表项,单击文件>导出。在导出注册表文件对话框中,选择您要保存的备份副本的位置,然后再[文件名]字段中键入备份文件的名称。单击保存

reg export HKEY_CURRENT_USERConsole C:1.reg

REGRESTOREHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsWindows.hiv

21.以下行为属于哪种情况,用户向DNS服务器发送解析请求,并返回了一个ip,客户通过这个ip访问结果是一个钓鱼网站

DNS污染

DNS服务器故障

DNS劫持

DNS欺骗

22.在Windows操作系统中,哪一条命令能够显示ARP表项信息

display.arp

arp -a

arp -d

show arp

23.linux系统中怎么显示当前目录

pwd

cd

whois

ls

24.以下属于apache配置文件在linux系统存放目录是

/etc/apache2/conf/apache2.conf

/etc/httpd/httpd.conf

/etc/apache2/apache2.conf

/etc/httpd/httpd.conf

25.以下关于tomcat日志说法正确的是

存放在/var/log/tomcat/目录下

存放路径是/usr/local/tomcat/logs目录

存放路径是/tmp/local/tomcat/logs/ 目录

存放在/media/log/tomcat/目录下

26.用户服务器是linux操作系统,你需要排查服务器上是否存在可以进程,下列哪个命令是正确的

netstat -antp

netuser

netuser -antp

netgroup -antp

27.在渗透测试时,用户问道某一天他收到了一个论坛的URL链接,URL打开之后发现网站无缘无故多了一个管理员账号(打开之前没有此账号),这种一般是利用哪种漏洞攻击

SQL注入漏洞

文件上传漏洞

CSRF漏洞

命令执行漏洞

28.在MYSQL数据库中,对查询结果进行排序的关键字是

group by

insert into

select

order by

29.如何查看Linux服务器上系统用户登录信息

lastb

lastlog

lastlogs

lastbs

30.如何查看Linux服务器上系统用户登录失败信息

lastb

lastlog

lastlogs

lastbs

31.关于smurf攻击,描述不正确的是下面哪一项()

Smurf攻击是一种拒绝服务攻击,由于大量的网络拥塞,可能造成中间网络或且的网络的拒绝服务

攻击者发送一个echo request广播包到中间网络,而这个包的源地址伪造成目的主机的地址。中间网络上许多“活”的主机会响应这个源地址,攻击者的主机不会接受到这些冰雹般的echo replies响应,目的主机将接收到这些包

smurf攻击过程利用ip地址欺骗的技术

smurf攻击是与目标机器建立大量的TCP半连接,耗尽系统的连接资源,达到拒绝服务攻击的目的

32.Nmap不使用ping进行扫描的参数是什么

-Pn

-sS

-n

-Sp

33.SSH密码可以用什么工具爆破

-awvs

-burpsuite

-hydra

-sqlmap

34.用什么方法可以防止xss

-token

-csp

-referrer

-httponly

35.状态码403代表含义

请求资源不存在

禁止访问被请求的资源

程序内部错误

浏览器重定向到另外URL

36.以下哪个不属于web服务器

Weblogic

jboss

Nginx

Redis

37.客户端将它的操作系统,浏览器和其他属性告诉服务器是通过哪个请求包头域

Accept-Language

Referer

Location

User-Agent

38.在进行微软数据库(Microsoft SQL Server)口令猜测的时候,我们一般会猜测拥有数据库最高权限登录用户的密码口令,这个用户的名称是

admin

administrator

sa

root

39.下列哪项是XSS漏洞不能做的

Web蠕虫

盗取Cookie

XXE

钓鱼

40.xss漏洞分类,以下不正确的是

存储型,此XSS危害最高

反射型,此XSS危害最低

盲打型,此XSS危害最低

Dom型,此XSS危害最高

41.SQLMAP拖库的命令为

dump

tamper

down

up

42.文件包含中伪协议使用()进行写入一句话木马

http://

php://input

php://filter

phar://

43.向有限的空间输入超长的字符串是哪一种攻击手段

网络监听

缓冲区溢出

拒绝服务

IP欺骗

44.下列哪些不是任意命令执行漏洞的修复方案

尽量少使用执行命令的函数,并在php.ini中的disable_functions中禁止相关函数

对于可控点是程序整个参数的情况,使用escapeshellcmd函数进行过滤

对于可控点是程序某个参数值的情况,使用escapeshellarg函数进行过滤

参数值尽量使用引号包裹,并调用slashes函数进行转义

45.下列不是反射型XSS特点的是

攻击脚本写在URL中

XSS代码通常是javaScrpit,可以是html、CSS

服务器要能解析XSS代码并传回给浏览器

提交的代码会存储在服务器上

本文始发于微信公众号(利刃信安二狗子):大厂HW试题和答案

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: