《职业考证-软考-信息安全工程师模拟考试题含答案43》由会员分享,可在线阅读,更多相关《职业考证-软考-信息安全工程师模拟考试题含答案43(20页珍藏版)》请在金锄头文库上搜索。
1、职业考证-软考-信息安全工程师模拟考试题含答案1. 单选题Snort是一款开源的网络入侵检测系统,它能够执行实时流量分析和IP协议网络的数据包记录。以下不属于Snort配置模式的是( )。问题1选项A.嗅探B.包记录C.分布式入侵检测D.网络入侵检测【答案】C【解析】本题考查网络入侵检测系统Snort。Snort 是一款开源的网络入侵检测系统,它能够执行实时流量分析和IP协议网络的数据包记录。Snort 可以执行协议分析和内容查询/匹配使你能够探测各种攻击和探查,比如缓冲区溢出,隐蔽端口扫描,通用网关接口(CGI)攻击,服务器信息块协议(SMB)探测,操作系统指纹攻击等。主要模式有:嗅探 (S
2、niffer):主要是读取网络上的数据包并在控制台上用数据流不断地显示出来。包记录 (PacketLogger) :把数据包记录在磁盘上。网络入侵检测 (NetworkIntrusionDetection):是最复杂最难配置的;它可以分析网络流量与用户定义的规则设置进行匹配然后根据结果执行相应的操作。故本题选C。点播:UNIX/Linux系统的安全是动态的,对运行的系统进行实时监控有利于及时发现安全问题,做出安全应急响应。针对UNIX/Linux系统的安全监测,常用的安全工具有Netstat、lsof、Snort等。2. 单选题安全套接字层超文本传输协议HTTPS在HTTP的基础上加入了SSL
3、协议,网站的安全协议是HTTPS时,该网站浏览时会进行( )处理。问题1选项A.增加访问标记B.身份隐藏C.口令验证D.加密【答案】D【解析】本题考查HTTPS安全协议的基础知识。HTTPS在HTTP的基础上加入了SSL协议,SSL 依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信数据提供加密功能。答案选D。3. 单选题身份认证是证实客户的真实身份与其所声称的身份是否相符的验证过程。目前,计算机及网络系统中常用的身份认证技术主要有:用户名/密码方式、智能卡认证、动态口令、生物特征认证等。其中不属于生物特征的是( )。问题1选项A.指纹B.手指静脉C.虹膜D.击键特征【答案】D【解析】本
4、题考查身份认证方面的基础知识。击键特征属于行为特征。指纹、手指静脉、虹膜属于生物特征。答案选D。4. 案例题阅读下列说明和C语言代码,回答问题1至问题4,将解答写在答题纸的对应栏内。【说明】在客户服务器通信模型中,客户端需要每隔一定时间向服务器发送数据包,以确定服务器是否掉线,服务器也能以此判断客户端是否存活,这种每隔固定时间发一次的数据包也称为心跳包。心跳包的内容没有什么特别的规定,一般都是很小的包。某系统采用的请求和应答两种类型的心跳包格式如图4-1所示。图4-1 协议包格式心跳包类型占1个字节,主要是请求和响应两种类型;心跳包数据长度字段占2个字节,表示后续数据或者负载的长度。接收端收到
5、该心跳包后的处理函数是process_heartbeat(),其中参数p指向心跳包的报文数据,s是对应客户端的socket网络通信套接字。void process_heartbeat(unsigned char *p, SOCKET s) unsigned short hbtype; unsigned int payload; hbtype=*p+; /心跳包类型 n2s(p, payload); /心跳包数据长度 pl=p; /pl指向心跳包数据 if(hbtype=HB_REQUEST) unsigned char *buffer, *bp; buffer=malloc(1+2+paylo
6、ad); *bp+=HB_RESPONSE; /填充1 byte的心跳包类型 s2n(payload, bp); /填充2 bytes的数据长度 memcpy(bp,pl,payload); /*将构造好的心跳响应包通过socket s返回客户端 */ r=write_bytes(s, buffer,3+payload); 【问题1】(4分)(1)心跳包数据长度字段的最大取值是多少?(2)心跳包中的数据长度字段给出的长度值是否必须和后续的数据字段的实际长度一致?【问题2】(5分)(1)上述接收代码存在什么样的安全漏洞?(2)该漏洞的危害是什么?【问题3】(2分)模糊测试(Fuzzing)是一种
7、非常重要的信息系统安全测评方法,它是一种基于缺陷注入的自动化测试技术。请问模糊测试属于黑盒测试还是白盒测试?其测试结果是否存在误报?【问题4】(4分)模糊测试技术能否测试出上述代码存在的安全漏洞?为什么?【答案】【问题1】(1)心跳包数据长度的最大取值为65535。(2)必须是一致的。【问题2】存在溢出安全漏洞。接收端处理代码在组装响应包时,心跳包数据长度字段(payload)采用的是客户端。发送的请求包中使用的长度字段,由于心跳包数据长度字段完全由客户端控制,当payload大于实际心跳包数据的长度时,将导致越界访问接收端内存,从而泄露内存信息。(2分)造成的危害:在正常的情况下,respo
8、nse 报文中的data就是request报文中的data数据,但是在异常情况下,payload 的长度远大于实际数据的长度,这样就会发生内存的越界访问,但这种越界访问并不会直接导致程序异常,(因为这里直接memcpy后,服务器端并没有使用copy后的数据,而只是简单的进行了回复报文的填充,如果服务端使用了copy的数据也许就可能发现问题)这里使用了memcpy函数,该函数会直接根据长度把内存中数据复制给另一个变量。这样就给恶意的程序留下了后门,当恶意程序给data的长度变量赋值为65535时,就可以把内存中64KB的内存数据通过Response报文发送给客户端,这样客户端程序就可以获取到一些
9、敏感数据泄露。【问题3】属于黑盒测试;不存在误报。【问题4】不能。因为不会产生异常,模糊测试器就无法监视到异常,从而无法检测到该漏洞。【解析】【问题1】已知表示心跳包的数据长度值为2字节,则其最大长度为216-1=65535。心跳包中的数据长度字段给出的长度值必须与后续的数据字段的实际长度一致;如果不一致会产生“心脏出血”漏洞,造成有用数据泄露。【问题2】心脏出血漏洞主要通过攻击者模拟向服务器端发送自己编写的Heartbeat心跳数据包,主要是HeartbeatMessage的长度与payload的length进行匹配,若payload_lenght长度大于HeartbeatMessage的l
10、ength,则会在服务器返回的response响应包中产生数据溢出,造成有用数据泄露。题中每条心跳包记录中包含一个类型域(type)、一个长度域(length)和一个指向记录数据的指针(data)。心跳包的第一个字节标明了心跳包的类型。宏n2s从指针p指向的数组中取出前两个字节,并把它们存入变量payload中这实际上是心跳包载荷的长度域(length)。注意程序并没有检查这条心跳包记录的实际长度。变量pl则指向由访问者提供的心跳包数据。buffer = malloc(1 + 2 + payload);程序将分配一段由访问者指定大小的内存区域,这段内存区域最大为 (65535 + 1 + 2)
11、个字节。变量bp是用来访问这段内存区域的指针。代码中宏s2n与宏n2s干的事情正好相反:s2n读入一个16 bit长的值,然后将它存成双字节值,所以s2n会将与请求的心跳包载荷长度相同的长度值存入变量payload。然后程序从pl处开始复制payload个字节到新分配的bp数组中pl指向了用户提供的心跳包数据。最后,程序将所有数据发回给用户。如果用户并没有在心跳包中提供足够多的数据,比如pl指向的数据实际上只有一个字节,那么memcpy会把这条心跳包记录之后的数据(无论那些数据是什么)都复制出来。分配的buffer是根据数据包给出的长度字段来分配的,并在memcpy函数实现内存数据拷贝,因此有
12、可能越界读取额外的内存数据,造成信息泄露。【问题3】模糊测试是一种黑盒测试技术,它将大量的畸形数据输入到目标程序中,通过监测程序的异常来发现被崩程序中可能存在的安全漏洞。模糊测试是一种基于缺陷注入的自动化测试技术,没有具体的执行规则,旨在预测软件中可能存在的错误以及什么样的输入能够触发错误。其通过模糊器向目标应用发送大量的畸形数据并监视程序运行异常以发现软件故障,通过记录触发异常的输入数据来进一步定位异常位置。与基于源代码的白盒测试相比,模糊测试的测试对象是二进制目标文件,因而具有更好的适用性:模糊测试是一种自动化的动态漏洞挖掘技术,不存在误报,也不需要人工进行大量的逆向分析工作。【问题4】上
13、述代码存在的信息泄露漏洞在模糊测试过程中,不管用什么样的数据包长度去测试,被测代码都是正常运行,没有出现异常情况,因此也就无法判断是否有漏洞,所以模糊测试无法测试出该代码存在的漏洞。5. 单选题数字证书是一种由一个可信任的权威机构签署的信息集合。PKI中的X. 509数字证书的内容不包括( )。问题1选项A.版本号B.签名算法标识C.证书持有者的公钥信息D.加密算法标识【答案】D【解析】本题考查PKI中X.509数字证书。在PKI/CA架构中,拥有一个重要的标准就是X.509标准,数字证书就是按照X.509标准制作的。本质上,数字证书是把一个密钥对(明确的是公钥,而暗含的是私钥)绑定到一个身份
14、上的被签署的数据结构。整个证书有可信赖的第三方签名。目前,X.509有不同的版本,但都是在原有版本(X.509V1)的基础上进行功能的扩充,其中每一版本必须包含下列信息。版本号:用来区分X.509的不同版本号。序列号:由CA给每一个证书分配唯一的数字型编号。签名算法标识符:用来指定用CA签发证书时所使用的签名算法。认证机构:即发出该证书的机构唯一的CA的X.500名字。有效期限:证书有效的时间。主题信息:证书持有人的姓名、服务处所等信息。认证机构的数字签名:以确保这个证书在发放之后没有被改过。公钥信息:包括被证明有效的公钥值和加上使用这个公钥的方法名称。一个证书主体可以有多个证书。证书主体可以被多个组织或社团的其他用户识别。可按特定的应用名识别用户。在不同证书政策和使用不会发放不同的证书,这就要求公钥用户要信赖证书。故本题选D。点播:数字证书也称公钥证书,是由证书认证机构(CA)签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。6. 单选题下面对国家秘密定级和范围的描述中,不符合中华人民共和国保守国家秘密法要求的是( )。问题1选项A.对是否属于
