《2022软件水平考试-中级信息安全工程师考试全真模拟卷23(附答案带详解)》由会员分享,可在线阅读,更多相关《2022软件水平考试-中级信息安全工程师考试全真模拟卷23(附答案带详解)(9页珍藏版)》请在金锄头文库上搜索。
1、2022软件水平考试-中级信息安全工程师考试全真模拟卷(附答案带详解)1. 问答题:公司拟购买云计算服务,并租用虚拟主机,请列举云计算的服务安全风险类型。答案: 本题解析:云服务安全风险有:云平台物理安全威胁、云平台服务安全威胁、云平台资源滥用威胁、云平台运维及内部威胁、数据残留、过度依赖、利用共享技术漏洞攻击等。2. 问答题:只有系统验证用户的身份,而用户不能验证系统的身份,这种模式不全面。为确保安全,用户和系统应能相互平等的验证对方的身份。假设A和B是对等实体,需要进行双方身份验证。所以,需要事先约定好并共享双方的口令。但A要求与B通信时,B要验证A的身份,往往遇到如下限制:(1)首先A向
2、B出示,表示自己身份的数据。(2)但A尚未验证B的身份(3)A不能直接将口令发送给B。反之,B要求与A通信也存在上述问题。【问题1】可以构建口令的双向对等验证机制解决上述问题,设PA、PB为A、B的共享口令,RA、RB为随机数,f为单向函数。假定A要求与B通信,则A和B可如下过程,进行双向身份认证:1. A B:RA(1)2. BA:f(PB|RA)| RB(2)3. A用f对自己保存的PB和RA 进行加密,与接收到的f (PB| RA)进行比较。如果两者相等,则A确认B的身份是真实的执行第4步,否则认为B的身份是不真实的。4. AB:f(PA|RB) (3)5. B用f对自己保存的PA和RB
3、 进行加密,并与接收到的f (PA|RB)进行比较。若两者相等,则B确认A的身份是真实的,否则认为A的身份是不真实的。请对上述过程进行解释【问题2】简述上述验证机制中,单向函数f的作用。为了防止重放攻击,上述过程,还应该如何改进?【问题3】 执行以下两条语句HTTP:/xxx.xxx.xxx/abc.aspp=YYand (select count(*) from sysobjects)小于0 HTTP:/xxx.xxx.xxx/abc.aspp=YY and (select count(*) from msysobjects)小于0如果第一条语句访问abc.asp运行正常,第二条异常,则说明
4、?【问题4】简述常见的黑客攻击过程。【问题5】Sniffer需要捕获到达本机端口的报文。如想完成监听,捕获网段上所有的报文,则需要将本机网卡设置为(1)。答案: 本题解析:【问题1】(1)A首先选择随机数RA并发送给B。(2)B收到RA后,产生随机数RB。使用单向函数f对PB和RA进行加密得到f (PB|RA),并连同RB一起发送给A。(3)A利用单向函数f对PA和RB 进行加密,发送给B。【问题2】由于f是单向函数,黑客拿到f (PA|RA)和RA不能推导出PA ;拿到f (PB|RB)和RB也不能推导出PB。为了预防重放攻击,可在f (PB|RA)和f (PA|RB)中加入时间变量或者时间
5、戳。【问题3】后台数据库为SQL-SERVER。【问题4】(1)目标探测和信息攫取:分析并确定攻击目标,收集目标的相关信息。(2)获得访问权:通过窃听或者攫取密码、野蛮攻击共享文件、缓冲区溢出攻击得到系统访问权限。(3)特权提升:获得一般账户后,提升并获得更高权限。(4)窃取:获取、篡改各类敏感信息。(5)掩盖踪迹:比如清除日志记录。(6)创建后门:部署陷阱或者后门,方便下次入侵。【问题5】混杂模式。【问题1】假定A要求与B通信,则A和B可如下过程,进行双向身份认证:1. AB:RAA首先选择随机数RA并发送给B2. B A:f(PB|RA)| RBB收到RA后,产生随机数RB。使用单向函数f
6、对PB和RA进行加密得到f (PB|RA),并连同RB一起发送给A。3. A用f对自己保存的PB和RA 进行加密,与接收到的f (PB |RA)进行比较。如果两者相等,则A确认B的身份是真实的执行第4步,否则认为B的身份是不真实的。4. AB:f(PA|RB) (3)A利用单向函数f对PA和RB进行加密,发送给B。5. B用f对自己保存的PA和RB 进行加密,并与接收到的f (PA |RB)进行比较。若两者相等,则B确认A的身份是真实的,否则认为A的身份是不真实的。【问题2】由于f是单向函数,黑客拿到f (PA| RA)和RA不能推导出PA ;拿到f (PB|RB)和RB也不能推导出PB。所以
7、在上述双向口令验证机制中,出现假冒者的一方,也不能骗到对方的口令。为了预防重放攻击,可在f (PB|RA)和f (PA|RB)中加入时间变量或者时间戳。【问题3】利用系统表 ACCESS的系统表是msysobjects,且在Web环境下没有访问权限,而SQL-SERVER的系统表是sysobjects,在WEB环境下有访问权限。对于以下两条语句: HTTP:/xxx.xxx.xxx/abc.aspp=YY and (select count(*) from sysobjects)小于0 HTTP:/xxx.xxx.xxx/abc.aspp=YY and (select count(*) fro
8、m msysobjects)小于0 若数据库是SQL-SERVER,则第一条,abc.asp一定运行正常,第二条则异常;若是ACCESS则两条都会异常。【问题5】Sniffer主要是捕获到达本机端口的报文。如果要想完成监听,即捕获网段上所有的报文,前提条件是: 网络必须是共享以太网。 把本机上的网卡设置为混杂模式。3. 问答题:某linux主机上可以看到如下所示的信息:-rwx r-x - 1 root bin 3853 Aug 10 5:49 javac* 则表明采用此种保护位方案的访问控制模型是( )。答案: 本题解析:基于列的自主访问控制1.基于列的自主访问控制基于列的自主访问控制机制是
9、在每个客体上都附加一个可访问它的主体的明细表,它有两种形式,即保护位(protection bits)和访问控制表(Access Control List, ACL)。 (1)保护位。这种方法通过对所有主体、主体组以及客体的拥有者指明一个访问模式集合,通常以比特位来表示访问权限。4. 问答题:简述上述验证机制中,可能存在哪些安全风险?答案: 本题解析:1.认证协议中对票据有有效时间问题,因此要求各个设备时间同步。2.该协议没有考虑抗拒绝服务攻击的问题,因此可能遭受Dos类的攻击认证系统要求解决主机节点时间同步问题和抵御拒绝服务攻击。如果某台主机的时间被更改,那么这台主机就无法使用Kerbero
10、s认证协议,如果服务器的时间发生了错误,那么整个Kerberos认证系统将会瘫痪。5. 问答题:在Internet安全领域,扫描器是最有效的安全检测工具之一。扫描器是一种自动检测远程或本地主机、网络系统安全性弱点的程序。【问题1】(3分)试阐述扫描器的作用。【问题2】(3分)阐述漏洞扫描器的作用。【问题3】(3分)目前使用的IPv4协议支持16位的端口,端口号可使用的范围是065535。(1)端口称为熟知端口,由IANA管理。第二部分的端口号(2)叫做注册端口,一般用于客户端连接时随机选择。(3)端口叫做动态端口或专用端口,提供给专用应用程序。【问题4】(2分)TCP SYN扫描中,客户端首先
11、向服务器发送SYN分组发起连接,如果收到一个来自服务器的SYNACK应答,那么可以推断该端口处于(4) 。如果收到一个RSTACK分组则认为该端口(5)。【问题5】(4分)蜜罐(Honeypot)技术是一种主动防御技术。根据技术分类,蜜罐可以分为牺牲型蜜罐、外观型蜜罐等。简述牺牲型蜜罐和外观型蜜罐的特点。答案: 本题解析:【问题1】(3分)通过使用扫描器可以发现远程服务器是否存活、它对外开放的各种TCP端口的分配及提供的服务、它所使用的软件版本(如操作系统或其他应用软件的版本)、所存在可能被利用的系统漏洞。【问题2】(3分)漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。【问题3】(3
12、分)(1)01023 (2)102449151(3)4915265535【问题4】(2分)(4)监听状态 (5)不在监听【问题5】(4分)牺牲型蜜罐就是一台简单的为某种特定攻击设计的计算机。牺牲型蜜罐实际上是放置在易受攻击地点,假扮为攻击的受害者。它本身也会被攻击者利用来攻击其他的机器。外观型蜜罐技术仅仅对网络服务进行仿真而不会导致机器真正被攻击。当外观型蜜罐受到侦听或攻击时,它会迅速收集有关入侵者的信息。【解析】目前使用的IPv4协议支持16位的端口,端口号可使用的范围是065535。在这些端口号中,前1024(01023)个端口称为熟知端口,这些端口被提供给特定的服务使用,由IANA(In
13、ternet Assigned Numbers Authority)管理。第二部分的端口号(102449151)叫做注册端口,一般用于客户端连接时随机选择。4915265535端口叫做动态端口或专用端口,提供给专用应用程序。TCP SYN扫描。这种方法也叫半打开扫描(Half-open Scanning)。这种扫描方法并没有建立完整的TCP连接。客户端首先向服务器发送SYN分组发起连接,如果收到一个来自服务器的SYNACK应答,那么可以推断该端口处于监听状态。如果收到一个RSTACK分组则认为该端口不在监听。牺牲型蜜罐就是一台简单的为某种特定攻击设计的计算机。牺牲型蜜罐实际上是放置在易受攻击地
14、点,假扮为攻击的受害者。它本身也会被攻击者利用来攻击其他的机器。外观型蜜罐技术仅仅对网络服务进行仿真而不会导致机器真正被攻击。当外观型蜜罐受到侦听或攻击时,它会迅速收集有关入侵者的信息。测量型蜜罐建立在牺牲型蜜罐和外观型蜜罐的基础之上。测量型蜜罐为攻击者提供了高度可信的系统,非常容易访问但是很难绕过,同时,高级的测量型蜜罐还可防止攻击者将系统作为进一步攻击的跳板。6. 问答题:【问题5】列举常见的网站DDOS攻击流量(任意2种),并简述针对DDOS攻击的网络流量清洗基本原理?s;font-family:宋体;mso-bidi-font-family:Times New Roman; font-
15、size:10.5000pt;mso-font-kerning:1.0000pt; 小于 1213可交换位置】答案: 本题解析:任意两种:HTTP Get Flood, HTTP Post Flood, HTTP Slow Header/Post, HTTPS Flood1.流量检测2.流量牵引与清洗3.流量回注常见的网站攻击流量包括HTTP Get Flood, HTTP Post Flood, HTTP Slow Header/Post, HTTPS Flood攻击等。1.流量检测 利用分布式多核硬件技术,基于深度数据包检测技术(DPI)监测、分析网络流量数据,快速识别隐藏在背景流量中的攻击包,以实现精准的流量识别和清洗。2.流量牵引与清洗 当监测到网络攻击流量时,如大规模DDoS攻击,流量牵引技术将目标系统的流量动态转发到流量清洗中心来进行清洗。 流量清洗即拒绝对指向目标系统的恶意流量进行路由转发,从而使得恶
