2024年甘肃省职业院校技能大赛信息安全管理与评估 样题二 理论题

竞赛需要完成三个阶段的任务,分别完成三个模块,总分共计 1000分。三个模块内容和分值分别是:
1.第一阶段:模块一 网络平台搭建与设备安全防护(180 分钟,300 分)。
2.第二阶段:模块二 网络安全事件响应、数字取证调查、应用程序安全(180 分钟,300 分)。
3.第三阶段:模块三 网络安全渗透、理论技能与职业素养(180分钟,400 分)。

模块三 网络安全渗透、理论技能与职业素养

一、竞赛内容

第三阶段竞赛内容是:网络安全渗透、理论技能与职业素养。本阶段分为两个部分。第一部分主要是在一个模拟的网络环境中实现网络安全渗透测试工作,要求参赛选手作为攻击方,运用所学的信息收集、漏洞发现、漏洞利用等渗透测试技术完成对网络的渗透测试;并且能够通过各种信息安全相关技术分析获取存在的 flag 值。第二部分是在理论测试系统中进行考核。

竞赛阶段任务阶段竞赛任务竞赛时间分值
第三阶段网络安全渗透、理论技能与职业素养第一部分:网站任务1~任务3XX:XX-XX:XX45
第三阶段网络安全渗透、理论技能与职业素养第二部分:应用系统任务4~任务5XX:XX-XX:XX30
第三阶段网络安全渗透、理论技能与职业素养第三部分:应用服务器1任务6~任务13XX:XX-XX:XX165
第三阶段网络安全渗透、理论技能与职业素养第四部分:应用服务器2任务14XX:XX-XX:XX30
第三阶段网络安全渗透、理论技能与职业素养第五部分:应用服务器2任务15XX:XX-XX:XX30
第三阶段网络安全渗透、理论技能与职业素养第六部分:理论技能与职业素养XX:XX-XX:XX100
总分400

二、竞赛时长

本阶段竞赛时长为 180 分钟,其中网络安全渗透 300 分,理论技能与职业素养 100 分,共 400 分。

三、注意事项

通过找到正确的flag 值来获取得分,flag 统一格式如下所示:
flag{<flag 值 >}
这种格式在某些环境中可能被隐藏甚至混淆。所以,注意一些敏感信息并利用工具把它找出来。
【特别提醒】部分 flag 可能非统一格式,若存在此情况将会在题目描述中明确指出flag 格式,请注意审题。

第三阶段 任务书

任务描述
在 A 集团的网络中存在几台服务器,各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患,请利用您所掌握的渗透测试技术,通过信息收集、漏洞挖掘等渗透测试技术,完成指定项目的渗透测试,在测试中获取flag 值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域:
数据库攻击;
枚举攻击;
权限提升攻击;
基于应用系统的攻击;
基于操作系统的攻击;
逆向分析;
密码学分析;
隐写分析。
所有设备和服务器的IP地址请查看现场提供的设备列表,请根据赛题环境及现场答题卡任务要求提交正确答案。
第一部分 网站( 45 分)

任务编号任务描述答案分值
任务 1门户网站存在漏洞,请利用漏洞并找到flag,并将flag提交。flag格式flag{<flag值>}
任务 2门户网站存在漏洞,请利用漏洞并找到flag,并将flag提交。flag格式flag{<flag值>}
任务 3门户网站存在漏洞,请利用漏洞并找到flag,并将flag提交。flag格式flag{<flag值>}

第二部分 应用系统( 30 分)

任务编号任务描述答案分值
任务 4应用系统存在漏洞, 请利用漏洞并找到flag,并将flag提交。flag格式flag{<flag值>}
任务 5应用系统存在漏洞, 请利用漏洞并找到flag,并将flag提交。flag格式flag{<flag值>}

第三部分 应用服务器 1 165 分)

任务编号任务描述答案分值
任务 6请获取FTP服务器上对应的文件进行分析找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>}
任务 7请获取FTP服务器上对应的文件进行分析找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>}
任务 8请获取FTP服务器上对应的文件进行分析找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>}
任务 9请获取FTP服务器上对应的文件进行分析找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>}
任务 10请获取FTP服务器上对应的文件进行分析找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>}
任务 11请获取FTP服务器上对应的文件进行分析找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>}
任务 12请获取FTP服务器上对应的文件进行分析找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>}
任务 13请获取FTP服务器上对应的文件进行分析找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>}

第四部分 应用服务器 230 分)

任务编号任务描述答案分值
任务 14应用系统服务器10000端口存在漏洞,获取FTP服务器上对应的文件进行分析,请利用漏洞找到flag,并将flag提交。flag格式flag{<flag值>}

第五部分 应用服务器 330 分)

任务编号任务描述答案分值
任务 15应用系统服务器10001端口存在漏洞,获取FTP服务器上对应的文件进行分析,请利用漏洞找到flag,并将flag提交。flag格式flag{<flag值>}

第六部分 理论技能与职业素养(100 分)

【注意事项】
1.该部分答题时长包含在第三阶段竞赛时长内,请在临近竞赛结束前提交。
2.参赛团队可根据自身情况,可选择1-3名参赛选手进行作答,参赛队内部可以进行交流,但不得影响其他团队。

一、 单选题(每题 2 分,共 35 题,共 70 分)

1、下列不属于口令安全威胁的是?( )
A、 弱口令
B、 明文传输
C、 MD5加密
D、 多账户共用一个密码
2、在学校或单位如果发现自己的计算机感染了病毒,应首先采取什么措施( )。
A、断开网络
B、告知领导
C、杀毒
D、重启
答案:A
3、检查点能减少数据库完全恢复时所必须执行的日志,提高数据库恢复速度。下列有关检查点的说法,错误的是( ) 。
A、 检查点记录的内容包括建立检查点时正在执行的事务清单和这些事务最近一个日志记录的地址
B、 在检查点建立的同时,数据库管理系统会将当前数据缓冲区中的所有数据记录写入数据库中
C、 数据库管理员应定时手动建立检查点,保证数据库系统出现故障时可以快速恢复数据库数据
D、 使用检查点进行恢复时需要从"重新开始文件"中找到最后一个检查点记录在日志文件中的地址
4、下列哪个不属于密码破解的方式?( )
A、 密码学分析
B、 撞库
C、 暴力破解
D、 字典破解
5、下列不属于应用层安全协议的是哪一项?( )
A、 Secure shell
B、 超文本传输协议
C、 电子交易安全协议SET
D、 SSL协议
6、\x32\x2E\x68\x74\x6D此加密是几进制加密?( )
A、 二进制
B、 八进制
C、 十进制
D、 十六进制
7、下列关于SQL Server 2008中分离和附加数据库的说法,错误的是( )
A、 在分离数据库之前,必须先断开所有用户与该数据库的连接
B、 分离数据库只分离数据文件,不会分离日志文件
C、 附加数据库时文件存储位置可以与分离数据库时文件所处的存储位置不同
D、 进行分离数据库操作时不能停止SQL Server服务
8、C语言中的标识符只能由字母、数字和下划线三种字符组成,且第一个字符 ?( )
A、 必须为字母
B、 必须为下划线
C、 必须为字母或下划线
D、 可以是字母,数字和下划线中任一种字符
9、下面那个名称不可以作为自己定义的函数的合法名称?( )
A、 print
B、 len
C、 error
D、 Haha
10、现今非常流行的SQL(数据库语言)注入攻击属于下列哪一项漏洞的利用?( )
A、 域名服务的欺骗漏洞
B、 邮件服务器的编程漏洞
C、 WWW服务的编程漏洞
D、 FTP服务的编程漏洞
11、.IPSec包括报文验证头协议AH 协议号()和封装安全载荷协议ESP协议号( ) 。
A、 51 50
B、 50 51
C、 47 48
D、 48 47
12、SYN攻击属于DOS攻击的一种,它利用()协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源?( )
A、 UDP
B、 ICMP
C、 TCP
D、 OSPF
13、POP3服务器使用的监听端口是?( )
A、 TCP的25端口
B、 TCP的110端口
C、 UDP的25端口
D、 UDP的110端口
14、一个基于特征的IDS应用程序需要下列选项中的哪一项来对一个攻击做出反应?( )
A、 正确配置的DNS
B、 正确配置的规则
C、 特征库
D、 日志
15、下列工具中可以直接从内存中读取windows 密码的是?( )
A、 getpass
B、 QuarkssPwDump
C、 SAMINSIDE
D、 John
16、利用虚假IP地址进行ICMP报文传输的攻击方法称为?( )
A、 ICMP泛洪
B、 死亡之ping
C、 LAND攻击
D、 Smurf攻击
17、关于函数,下面哪个说法是错误的?( )
A、 函数必须有参数
B、 函数可以有多个函数
C、 函数可以调用本身
D、 函数内可以定义其他函数
18、在TCP/IP参考模型中,与OSI参考模型的网络层对应的是?( )
A、 主机-网络层
B、 传输层
C、 互联网层
D、 应用层
19、MD5的主循环有( ) 轮。
A、 3
B、 4
C、 5
D、 8
20、Open函数中w 参数的作用是?( )
A、 读文件内容
B、 写文件内容
C、 删除文件内容
D、 复制文件内容
21、根据工信部明确的公共互联网网络安全突发事件应急预案文件,公共互联网网络突发事件等级最高可标示的颜色是什么?()
A、 红色
B、 黄色
C、 蓝色
D、 橙色
22、下列选项哪列不属于网络安全机制?( )
A、 加密机制
B、 数据签名机制
C、 解密机制
D、 认证机制
23、以下选项中,不属于结构化程序设计方法的是哪个选项?( )
A、 可封装
B、 自顶向下
C、 逐步求精
D、 模块化
24、关于并行数据库,下列说法错误的是( ) 。
A、 层次结构可以分为两层,顶层是无共享结构,底层是共享内存或共享磁盘结构
B、 无共享结构通过最小化共享资源来降低资源竞争,因此具有很高的可扩展性,适合于OLTP应用
C、 并行数据库系统经常通过负载均衡的方法来提高数据库系统的业务吞吐率
D、 并行数据库系统的主要目的是实现场地自治和数据全局透明共享
25、下面不是 Oracle 数据库支持的备份形式的是( ) 。
A、 冷备份
B、 温备份
C、 热备份
D、 逻辑备份
26、Linux中,通过chmod修改权限设置,正确的是?( )
A、 chmod test.jpg +x
B、 chmod u+8 test.jpg
C、 chmod 777 test.jpg
D、 chmod 888 test.jpg
27、windows自带FTP服务器的日志文件后缀为?( )
A、 evt或.evtx
B、 log
C、 w3c
D、 txt
28、部署IPSEC VPN时,配置什么样的安全算法可以提供更可靠的数据加密( )。
A、 DES
B、 3DES
C、 SHA
D、 128位的MD5
29、如果明文为abc,经恺撒密码-加密后,密文bcd,则密钥为?
( )
A、 1
B、 2
C、 3
D、 4
30、部署IPSEC VPN 网络时我们需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,其中每条加密ACL将消耗多少IPSEC SA资源( ) 。
A、 1个
B、 2个
C、 3个
D、 4个
31、部署IPSEC VPN 网络时我们需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,其中每条加密ACL将消耗多少IPSEC SA资源( ) 。
A、 1个
B、 2个
C、 3个
D、 4个
32、DES的秘钥长度是多少Bit?( )
A、 6
B、 56
C、 128
D、 32
33、VIM命令中,用于删除光标所在行的命令是?( )
A、 dd
B、 dw
C、 de
D、 db
34、Linux软件管理rpm命令,说法不正确的是?( )
A、 -v 显示详细信息
B、 -h: 以#显示进度;每个#表示2%
C、 -q PACKAGE_NAME:查询指定的包是否已经安装
D、 -e 升级安装包
35、RIP路由协议有RIP v1 和RIP v2两个版本,下面关于这两个版本的说法错误的是( ) 。
A、 RIP v1和RIP v2都具有水平分割功能
B、 RIP v1 是有类路由协议,RIP v2是无类路由协议
C、 RIP v1 和 RIP v2 都是以跳数作为度量值
D、 RIP v1 规定跳数的最大值为15,16跳视为不可达;而RIP v2无此限制

二、 多选题(每题 3 分,共 10 题,共 30 分)

1、SQL Server提供了DES、RC2、RC4和AES等加密算法,没有某种算法能适应所有要求,每种算法都有优劣势,但选择算法需要有如下共通之处( ) 。
A、 强加密通常会比较弱的加密占用更多的CPU资源
B、 长密钥通常会比短密钥生成更强的加密
C、 如果加密大量数据,应使用对称密钥来加密数据,并使用非对称密钥来加密该对称密钥
D、 可以先对数据进行加密,然后再对其进行压缩
2、以下关于TCP和UDP协议的说法错误的是?( )
A、 没有区别,两者都是在网络上传输数据
B、 TCP是一个定向的可靠的传输层协议,而UDP是一个不可靠的传输层协议
C、 UDP是一个局域网协议,不能用于Interner传输,TCP则相反
D、 TCP协议占用带宽较UDP协议多
3、关于函数中变量的定义,哪些说法是正确的?( )
A、 即使函数外已经定义了这个变量,函数内部仍然可以定义
B、 如果一个函数已经定义了name变量,那么其他的函数就不能再定义
C、 函数可以直接引用函数外部定义过的变量
D、 函数内部只能定义一个变量
4、下面标准可用于评估数据库的安全级别的有( )
A、 TCSEC
B、 IFTSEC
C、 CC DBMS.PP
D、 GB17859-1999E.TD
5、安全的网络通信必须考虑以下哪些方面?( )
A、 加密算法
B、 用于加密算法的秘密信息
C、 秘密信息的分布和共享
D、 使用加密算法和秘密信息以获得安全服务所需的协议
6、RC4加密算法被广.泛应用,包括( )
A、 SSL/TLS
B、 WEP协议
C、 WPA协议
D、 数字签名
7、VIM的工作模式,包括哪些?( )
A、 命令模式
B、 输入模式
C、 高亮模式
D、 底行模式
8、在反杀伤链中,情报可以分为那几个层次?( )
A、 战斗
B、 战略
C、 战区
D、 战术
9、我国现行的信息安全法律体系框架分为( )三个层面。
A、信息安全相关的国家法律
B、信息安全相关的行政法规和部分规章
C、信息安全相关的地方法规/规章和行业规定
D、信息安全相关的个人职业素养
10、信息道德与信息安全问题一直存在的原因有( )。
A、信息系统防护水平不高
B、信息安全意识不强
C、信息安全法律法规不完善
D、网络行为道德规范尚未形成

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/632332.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

IO网络4.0

思维导图 tftp上传 #include <myhead.h>#define ERR_LOG(msg) do{\perror(msg);\printf("%d %s %s\n", __LINE__, __func__, __FILE__);\ }while(0)#define PORT 69 #define N 516int do_upload(int sfd, struct sockaddr_in sin);int main(int a…

.NET架构师:全网最全“权限系统”设计剖析

&#x1f3c6;作者&#xff1a;科技、互联网行业优质创作者 &#x1f3c6;专注领域&#xff1a;.Net技术、软件架构、人工智能、数字化转型、DeveloperSharp、微服务、工业互联网、智能制造 &#x1f3c6;欢迎关注我&#xff08;Net数字智慧化基地&#xff09;&#xff0c;里面…

在VSCode中使用Live Server真机调试

转载&#xff1a;在vscode中使用Live Server 真机调试_vscode live server-CSDN博客 第一步 安装Live Server 1、在vscode 中搜索 Live Server并安装 2、安装完成之后 鼠标右键单击 html文件 > 点击 Open with Live Server 3、 然后会弹出默认浏览器 并显示页面 。可以看…

解决Python安装库时出现的Requirement already satisfied问题

uirement already satisfied的问题当我们用pip install 库名时&#xff0c;出现了下面 Requirement already satisfied WARNING: Ignoring invalid distribution -ip 的问题 对于这样的问题&#xff0c;解决办法就是在 pip install 后加 - -target你所要添加的库文件地址(注意…

[python]数值类型

整数类型 表示的数值没有小数部分的数值&#xff0c;包含正整数、复数和0 进制种类引导符号描述十进制无默认情况&#xff0c;例如&#xff1a;365&#xff0c;786二进制0b或0B由字符0和1组成&#xff0c;例如0b10101八进制0o或0O由字符0到7组成&#xff0c;例如0o763十六进制…

Python爬虫 - 网易云音乐下载

爬取网易云音乐实战&#xff0c;仅供学习&#xff0c;不可商用&#xff0c;出现问题&#xff0c;概不负责&#xff01; 分为爬取网易云歌单和排行榜单两部分。 因为网页中&#xff0c;只能显示出歌单的前20首歌曲&#xff0c;所以仅支持下载前20首歌曲&#xff08;非VIP音乐&…

SpringCloud GateWay 在全局过滤器中注入OpenFeign网关后无法启动

目录 一、问题 二、原因 1、修改配置 2、添加Lazy注解在client上面 3、启动成功 一、问题 当在gateway的全局过滤器GlobalFilter中注入OpenFeign接口的时候会一直卡在路由中&#xff0c;但是不会进一步&#xff0c;导致启动未成功也未报错失败 2024-01-18 22:06:59.299 I…

JavaScript的基本内容学习

概要 前端的组成 层次作用HTML(结构层)利用语义化标签搭建网页CSS(样式层)利用样式进行美化网页、进行网页布局JavaScript(行为层)可以给网页添加动态效果 JavaScript 是一种高级、解释型的编程语言&#xff0c;由网景公司&#xff08;Netscape&#xff09;在1995年开发&…

开发板通过 Ubuntu/Linux 连接外网

文章目录 开发板通过 Ubuntu/Linux 连接外网概述配置 Ubuntu 系统配置开发板 开发板通过 Ubuntu/Linux 连接外网 概述 如果开发板需要访问外网&#xff0c;可以通过网线将开发板与 Ubuntu 系统连接起来&#xff0c;在 Ubuntu 系统中配置 ip_forward 让 Ubuntu 成为路由器&…

数字创意市场:Web3时代创作者的新机遇

随着Web3时代的崭露头角&#xff0c;数字创意市场正迎来全新的变革和机遇。在这个数字化的时代&#xff0c;创作者们将面对更加开放、去中心化的创作和交易环境。本文将深入探讨Web3时代数字创意市场为创作者带来的新机遇&#xff0c;以及这个时代为创意产业带来的变革。 创作者…

响应式Web开发项目教程(HTML5+CSS3+Bootstrap)第2版 例4-4 label

代码 <!doctype html> <html> <head> <meta charset"utf-8"> <title>label</title> </head><body> 性别: <label for"male">男</label> <input type"radio" name"sex&quo…

滚动菜单ListView

activity_main.xml <include layout"layout/title"/> 引用上章自定义标题栏 <?xml version"1.0" encoding"utf-8"?> <LinearLayout xmlns:android"http://schemas.android.com/apk/res/android"xmlns:app&qu…

配置云服务器

需求 我打算配置一个小型云服务器&#xff0c;玩玩。学习怎么部署网站等等。 1、购买云服务器 第一次玩&#xff0c;我购买的华为云提供的云服务器 66元 安装ubuntu 22 2、配置环境 jdk 解压jdk命令 tar -xzf jdk-8u171-linux-x64.tar.gz 修改配置文件 vim /etc/profil…

如何安装“虚拟机(VMware)”win10系统?

1、 下载 vmware官网下载&#xff1a;vmware官网跳转 2、 安装

HarmonyOS NEXT鸿蒙星河版发布

1月18日,在深圳举行的“鸿蒙生态千帆启航仪式”上,华为常务董事、终端BG CEO余承东宣布HarmonyOS NEXT鸿蒙星河版面向开发者开放申请。鸿蒙星河版将实现原生精致、原生易用、原生流畅、原生安全、原生智能、原生互联6大极致原生体验。 并且,华为在 1 月 15 日开启了HarmonyO…

SpringBoot SaToken Filter如用使用ControllerAdvice统一异常拦截

其实所有的Filter都是一样的原理 大致流程: 创建一个自定义Filter, 用于拦截所有异常此Filter正常进行后续Filter调用当调用后续Filter时, 如果发生异常, 则委托给HandlerExceptionResolver进行后续处理即可 以sa-token的SaServletFilter为例 首先注册SaToken的过滤器 pac…

安卓apk加固后重签名

背景 等保检测&#xff0c;安卓apk使用第三方加固后签名信息会丢失&#xff0c;需要我们重新进行签名 使用jarsigner签名遇到的问题 APP失效无法安装 如何解决签名失效 我们在这里使用Android SDK的apksigner进行签名 mac系统&#xff0c;apksigner 需要设置环境变量 1、…

基于深度学习的时间序列算法总结

1.概述 深度学习方法是一种利用神经网络模型进行高级模式识别和自动特征提取的机器学习方法&#xff0c;近年来在时序预测领域取得了很好的成果。常用的深度学习模型包括循环神经网络&#xff08;RNN&#xff09;、长短时记忆网络&#xff08;LSTM&#xff09;、门控循环单元&a…

安全牧场,保障优质奶源 追溯羊奶品质

安全牧场&#xff0c;保障优质奶源 追溯羊奶品质 近年来&#xff0c;人们对食品安全和健康越来越关注&#xff0c;而安全牧场的兴起正能够满足人们对优质奶源的需求。安全牧场以严格的品质监控和科学的管理&#xff0c;为消费者提供可追溯的高品质羊奶产品。本文小编羊大师将为…

基于STM32F103的智能书房系统的设计

摘要&#xff1a; 智能书房系统是一种将现代技术应用于书房环境的智能化管理系统。本文提出了一种基于STM32F103的智能书房系统的设计方案&#xff0c;旨在提供便捷、舒适和高效的书房环境&#xff0c;以满足用户对学习和工作的需求。该系统利用嵌入式系统和传感器技术&#xf…