2025年四川省第三届网信行业技能竞赛线下决赛。
理论题目:
一、单选题(共 50 题)
- 关于安全基线的说法,以下错误的是?()
A、不同行业可能具备不同的安全基线检查标准
B、安全基线只针对操作系统、数据库和中间件开展,不针对网络设备开展
C、安全基线是信息系统的最小安全保证
D、公安部使用的是国家等级保护标准
- 关于 XSS 的说法以下哪项是正确的?()
A、XSS 全称为 Cascading Style Sheet
B、通过 XSS 无法修改显示的页面内容
C、通过 XSS 有可能取得被攻击客户端的 Cookie
D、XSS 是种利用客户端漏洞实施的攻击
- Webshell 为什么无法通过挂马检测服务检测到?()
A、Webshell 是孤立页面,页面爬取不到
B、Webshell 本身无法直接访问
C、Webshell 页面内容不属于挂马类型
D、客户购买的挂马监测是试用服务
- 由于 IPS 上线后可能因误报会造成误断,应该如何操作 ()
A、将误阻断的策略动作改为放过
B、不启用阻断动作
C、上线时不启用策略的阻断动作,观察一段时间的告警后,修正规则中导致误报的规则
D、无需做任何操作
- Websafe 扫描任务完成后,低危漏洞状态为?()
A、待确认
B、待修复
C、待复验
D、接受风险
- 在平稳度监测中使用 curl 工具,默认使用的请求方法是?()
A、POST
B、HEAD
C、GET
D、OPTIONS
- 开展安全基线核查可实现的目的不包括?()
A、确保信息系统数据库满足相关配置要求
B、降低系统和组件本身存在的脆弱性
C、满足等保的要求
D、发现 OS (操作系统) 中存在的系统漏洞
- WAF 对于客户网络业务逻辑影响最大的部署方式是?()
A、串联部署
B、旁路部署
C、反向代理部署
D、跨接部署
- 对符合条件的请求,WAF 不做任何安全监测,转发给服务器,应 ()
A、放过
B、伪装
C、阻断
D、重定向
- 实施告警日志分析时,通过确定事件类型来分析攻击结果,是哪一种分析方式 ()
A、事件分析法
B、特征文件分析元
C、时间分析法
D、流量包样本分析法
- 关于离线配置核查收尾工作的说法错误的是?()
A、检查完毕后应该对业务状态进行确认
B、扫描完毕需要恢复扫描前网络状态
C、必要时应该重新修改目标设备的相关账号密码
D、检查的脚本无需进行手动删除,脚本运行后会进行自动清除
- 以下哪条不是常见 WEB 攻击方式?()
A、SQL Injection
B、Cookie 欺骗
C、跨站脚本攻击
D、ARP 攻击
- 在 WAF 上线策略优化过程中,在做完误报优化后,应完成什么 ()
A、所有策略动作选择为 “接受”
B、所有策略动作选择为 “放行”
C、所有策略动作选择为 “重定向”
D、所有策略动作选择为 “阻断”
- 爆破攻击是攻击者自动执行的程序猜测用户名和密码,审计这类攻击通常需要借助 ()
A、全面的日志记录和强壮的加密
B、全面的日志记录和入侵监测系统
C、强化的验证方法和强壮的加密
D、强化的验证方法和入侵监测系统
- 关于安全漏洞信息和对应检索平台的说法,以下错误的是?()
A、CNVD 平台可进行漏洞检索
B、微软官方网站可进行漏洞检索
C、原理扫描准确率比版本扫描的准确率更高
D、版本扫描无需进行二次核查
- 在信息安全管理中,安全基线的主要作用是什么?
A、提供系统性能的优化建议
B、定义系统或设备在特定时间点应满足的最低安全配置标准
C、记录所有用户访问日志以便审计
D、用于加密传输数据的安全协议
- 安全漏洞扫描不能发现以下哪种漏洞?()
A、部分 SMB 用户存在薄弱口令
B、MS12-020
C、跨站请求伪造漏洞
D、缓冲区溢出
- 以下不属于 Java 反序列化漏洞的修复方案的是?()
A、定期备份业务数据
B、及时更新最新的中间件版本补丁
C、删除不需要的页面
D、清理不安全的第三方库
- 以下工具或软件中,可用于自动识别网络攻击类型的是 ()
A、Nmap
B、Suricata
C、Wireshark
D、Tcpdump
- 关于漏洞扫描开展说法正确的是?()
A、为提高扫描效率,可以关闭主机探测
B、可以在早上 11 点对证券业务系统开展系统扫描
C、在开展之前应了解是否有安全设备防护,如防火墙
D、扫描前无需把漏洞库升级到最新
- 在 oracle 中,( ) 代表了数据库中最小粒度的逻辑数据存储层次。
A、盘区
B、表空间
C、数据块
D、数据文件
- WEB 登录 NF 设备时,admin 密码忘记了应该如何操作?()
A、继续尝试
B、进入串口进行更改
C、进入串口进行重置
D、使用 USB 进行设备升级
- 一体化安全引擎工作在 OSI 的哪些层 ( )
A、5-7 层
B、1-3 层
C、1-4 层
D、6-7 层
- 关于 linux/etc/passwd 中内容含义描述正确的是:( )
A、用户名:用户密码:用户标识号:组标识号:用户主目录:用户名详细信息:命令解释程序
B、用户名:密码占位符:组标识号:用户标识号:用户主目录:用户名详细信息:命令解释程序
C、用户名:用户密码:组标识号:用户标识号:用户名详细信息:用户主目录:命令解释程序
D、用户名:密码占位符:用户标识号:组标识号:用户名详细信息:用户主目录:命令解释程序
- 下列的哪一个 IP 地址是 B 类地址?()
- 以下 Linux 命令中,可用于只查看主机监听的 TCP 端口的是 ()
A、netstat -au
B、lsof -i UDP
C、netstat -an | grep LISTEN
D、ss -Intp
- 在安全配置核查中,发现某检查项存在误报的情况,可以采取下列哪种方式进行处理?()
A、更换扫描器进行安全配置检查
B、在原检查结果中进行该项修正
C、检查目标对象是否可访问
D、忽略该误报项
- 下列哪个选项不是 Web safe 服务的内容?()
A、平稳度
B、挂马监测
C、Webshell 监测
D、漏洞扫描
- 以下客户中发生安全事件,在 IRS 系统中录入事件时,必须将事件权限设置为保密的是 ()
A、某民办大学
B、某公立医院
C、某股份制制药厂
D、某军工单位
- 使用串口登录 NF, 波特率应选择 ()
A、4800
B、9600
C、14400
D、115200
- 关于安全配置检查说法错误的是?()
A、在线检查登陆目标系统,本地执行命令
B、离线检查使用自动化脚本进行运行检查
C、离线检查运行脚本后可直接查看到配置检查结果报表
D、手工检查较为复杂,需要对检查对象较为熟悉
- 以下哪项不是安全风险评估工作的主要价值?()
A、了解安全现状
B、提出周期内更好的安全措施和策略
C、满足法律法规的要求
D、满足上级领导的定期检查
- 下面哪项不是安装 openssh 依赖的软件?()
A、Irz sz
B、zlib
C、libcrypto
D、PAM
- 以下关于 MAC 地址的描述正确的是 ()
A、每个 MAC 地址共 46bit
B、MAC 地址具有全球唯一性
C、需要使用专用的工具才能获取设备的 MAC 地址
D、MAC 地址和 IP 地址一样,属于网络层
- Linux LiveCD(如 Kali、Ubuntu Live 等)与 Windows PE 类似,其最早、最广泛的应用场景是:
A、文件误删后的数据恢复
B、开机查杀病毒
C、对磁盘进行只读取证分析
D、修复硬盘主引导记录
- 以下哪些是主流数据库面临的安全风险?()
A、非法用户对数据库的访问
B、合法用户的非法操作
C、数据库权限划分混乱
D、其他选项均正确
- 用户希望只检测是否被攻击,不需要防护,WAF 应选择哪种部署 ()
A、串联部署
B、旁路部署
C、镜像监听部署
D、反向代理部署
- 在安全实施加固过程中描述正确的是:( )
A、确认安全加固具备实施条件包括环境要求、流程要求、配合要求等
B、按照加固方案及加固清单实施加固,依据加固方案和加固清单实施加固、确认加固的有效性和对业务的影响
C、输出安全加固实施文档,保留加固 log 文件,输出加固操作记录,整体加固工作内容汇总,形成加固实施报告
D、其他选项均正确
- 关于文件上传,下面哪种说法是错误的 ()
A、前端严格校验文件名后缀,有效防御任意文件上传
B、控制上传文件存放目录的权限
C、使用白名单的方式,以允许指定后缀的文件上传
D、及时更新编辑器组件,减少已知的编辑器上传漏洞的出现
- 若要启用流量取证,在 UTS 侧需要添加 () 账号。
A、管理员
B、API
C、后台
D、审计员
- 以下不属于 WAF 的部署模式的是 ()
A、串联部署
B、旁路部署
C、边界网关部署
D、反向代理部署
- 某私网地址需访问 internet ,可以使用以下哪种技术 ()
A、OSPF
B、BGP
C、IS-IS
D、NAT
- 以下关于告警日志分析处置建议的描述错误的是 ()
A、确认误报事件后,建议调整安全设备检测策略,消除误报
B、如果确认某 IP 地址进行攻击,建议根据实际需求进行 IP 封禁
C、对于病毒或勒索事件,升级内网环境补丁、进行病毒查杀
D、对于暂时无法定性的攻击事件可以直接忽略
- IRS 系统中,某事件权限为公开,涉及人员包括 A 和 B,C 是受限用户身份,C 对该事件的权限为 ()
A、仅查看
B、新增与查看
C、禁止查看
D、管理
- 以下哪些手段常被黑客用于踩点阶段信息收集?()
A、WHOIS
B、ARP
C、TCP
D、DDOS
- 某单位官网在搜索引擎结果中被发现大量博彩类垃圾页面,实际网页源码中亦出现隐藏赌球链接。录入安全事件时应选择的事件类型为:
A、入侵事件
B、流量异常
C、虚拟挖矿
D、黑链暗链
- 公司在所有 Windows 服务器上线前,必须强制关闭默认共享、禁用 Guest 账户并启用 “审核登录事件”。这些要求被统一写入《Windows 服务器安全配置规范》并强制执行。这份规范属于哪类安全控制?
A、管理基线
B、技术基线
C、物理基线
D、审计基线
- SNAT 更改的是 IP 包头中的什么地址 ()
A、目的地址
B、目的 MAC
C、源地址
D、源 MAC
- 关于常见的系统漏洞,漏扫扫描结果提供的常见方案修复建议不包含以下哪项?()
A、安装补丁
B、更换应用协议
C、安装防护设备
D、修改配置
- 对符合条件的请求,WAF 构造一个 302 页面回应客户端,并关闭当前 TCP 连接,应选择哪个动作 ()
A、放过
B、伪装
C、阻断
D、重定向
二、多选题(共 30 题)
- 根据《中华人民共和国网络安全法》,网络运营者应履行的安全保护义务包括哪些?( )
A、采取防范计算机病毒的技术措施
B、防止数据泄露或被非法篡改
C、建立重要数据备份和加密机制
D、公开用户数据以提高透明度
- 网络安全事件应急响应流程中,通常包括以下哪些阶段?( )
A、准备阶段
B、检测与分析
C、抑制与根除
D、恢复与总结
- 计算机取证中,以下哪些是取证的基本原则?( )
A、不破坏原始数据
B、保持证据完整性
C、可追溯性
D、快速删除无关数据
- Linux 系统中,以下哪些操作可以增强系统安全性?( )
A、禁用 root 远程登录
B、使用 SSH 密钥认证
C、设置防火墙规则
D、安装并启用 SELinux
- 数据库安全防护中,以下哪些措施可以有效防止未授权访问?( )
A、最小权限原则
B、数据加密存储
C、定期审计日志
D、开启默认账户
- 针对中间件(如 Nginx/Apache)的安全加固措施包括哪些?( )
A、禁用目录浏览
B、隐藏版本信息
C、限制 HTTP 方法
D、启用默认管理页面
- Web 应用中,以下哪些方式可以防止 XSS 攻击?( )
A、对用户输入进行过滤
B、使用 Content-Security-Policy 头
C、对输出进行转义
D、启用 HTTP 基本认证
- 在网络数据包分析中,以下哪些字段通常用于识别 TCP 连接?( )
A、源 IP 地址
B、目的端口号
C、TCP 标志位
D、TTL 值
- 在密码学中,以下哪些属于对称加密算法?( )
A、AES
B、DES
C、RSA
D、3DES
- 人工智能在网络安全中的应用包括哪些方面?( )
A、异常行为检测
B、自动化攻击
C、威胁情报分析
D、漏洞自动修复
- 在 GDPR 合规中,企业必须采取哪些措施来保护个人数据?( )
A、数据最小化原则
B、安全处理数据
C、明确告知用户数据使用目的
D、公开所有收集的数据给第三方
- 网络安全事件应急响应过程中,以下哪些是常见的抑制策略?( )
A、断开受感染设备的网络连接
B、更新防火墙规则阻止恶意流量
C、重置所有用户的密码
D、清除系统日志记录
- 计算机取证时,确保证据完整性的方法包括:( )
A、创建磁盘镜像副本
B、使用写保护设备
C、对文件进行哈希校验
D、直接修改可疑文件
- 提高 Windows 系统安全性的措施有:( )
A、开启自动更新
B、禁用远程桌面服务
C、设置强口令策略
D、关闭不必要的服务和端口
- 数据库安全性增强的方法包括:( )
A、实施访问控制列表 (ACL)
B、定期备份数据
C、启用数据库审计功能
D、使用默认账户名和密码
- 中间件安全配置建议包括:( )
A、禁用未使用的模块和服务
B、开启详细的错误信息显示
C、定期检查并应用安全补丁
D、使用强认证机制
- Web 应用安全防护措施应包含:( )
A、输入验证和过滤
B、输出编码防止 XSS 攻击
C、使用 HTTPS 加密传输
D、禁止使用框架和库
- 分析网络数据包时,以下哪些协议可以用于识别网络层通信问题?( )
A、ICMP
B、ARP
C、DNS
D、TCP
- 在密码学中,下列哪些算法提供数字签名功能?( )
A、RSA
B、ECC
C、SHA-256
D、HMAC
- 新兴技术如区块链在网络安全中的应用场景包括:( )
A、提供不可篡改的日志记录
B、实现分布式身份验证
C、加密所有传输的数据
D、支持智能合约执行
- 根据《数据安全法》,以下哪些属于数据处理活动?( )
A、数据收集
B、数据存储
C、数据使用
D、数据销毁
- 网络安全事件应急响应中,事件分析阶段可能包括哪些操作?( )
A、分析攻击路径
B、检查日志记录
C、追踪攻击者 IP
D、清除恶意文件
- 以下哪些是电子证据的采集原则?( )
A、合法性
B、完整性
C、可追溯性
D、可修改性
- Linux 系统中,哪些措施可以提升 SSH 服务的安全性?( )
A、修改默认端口
B、禁用 root 登录
C、使用密钥认证
D、开启密码复杂度策略
- 在数据库安全中,以下哪些操作可能带来风险?( )
A、使用默认账户
B、不限制访问 IP
C、启用详细日志
D、明文存储密码
- 针对中间件如 Tomcat,以下哪些是安全加固建议?( )
A、删除示例应用
B、关闭目录浏览
C、使用强口令
D、启用管理页面
- 防止 Web 应用中 CSRF 攻击的常用方法包括:( )
A、验证 HTTP Referer 头
B、使用 Anti-CSRF Token
C、对用户输入进行过滤
D、启用 HTTPS
- 在 Wireshark 抓包分析中,以下哪些字段可用于识别 HTTP 请求?( )
A、源 IP 地址
B、User-Agent
C、Host
D、TCP 窗口大小
- 以下哪些属于非对称加密算法?( )
A、RSA
B、ECC
C、AES
D、Diffie-Hellman
- 人工智能(AI)已在网络安全全生命周期中得到广泛应用。以下哪些场景属于 AI 的典型安全应用?
A、利用符号推理引擎对日志进行规则匹配,触发已知签名告警
B、通过自然语言处理(NLP)对暗网论坛帖子进行情感分析,提前发现攻击者动向
C、基于强化学习自动生成并执行渗透测试脚本,发现系统漏洞
D、使用生成式对抗网络(GAN)伪造钓鱼邮件,用于演练并提升员工安全意识
三、判断题(共 20 题)
- 根据《中华人民共和国网络安全法》,网络运营者可以收集超过提供服务所需的用户个人信息?()
A、对 B、错
- 应急响应流程中,检测与分析阶段的目标是识别攻击的来源和范围,并评估其影响?()
A、对 B、错
- 计算机取证过程中,为了确保电子证据的有效性,必须保持证据链的连续性和完整性?()
A、对 B、错
- 在 Linux 系统中,使用 chroot 命令可以帮助限制用户访问特定目录之外的内容?()
A、对 B、错
- 数据库管理系统中的默认账户和密码在生产环境中使用是安全的做法?()
A、对 B、错
- 中间件如 Nginx 通过配置 ssl_protocols 指令可以增强 SSL/TLS 的安全性?()
A、对 B、错
- Web 应用中启用 CSP(Content Security Policy)头可以有效防御跨站脚本攻击(XSS)?()
A、对 B、错
- ICMP 协议主要用于传输错误信息和控制消息,因此它对网络安全没有影响?()
A、对 B、错
- 对称加密算法如 AES 比非对称加密算法如 RSA 更适用于大量数据的加密?()
A、对 B、错
- 根据《中华人民共和国数据安全法》,所有数据处理活动都需要经过严格的审批流程?()
A、对 B、错
- 在网络安全事件应急响应中,准备阶段的工作包括制定应急预案和进行人员培训?()
A、对 B、错
- 计算机取证时,为了保证证据的法律效力,必须确保取证过程中的每一个步骤都是可追溯且不可篡改的?()
A、对 B、错
- Linux 系统中,使用 sudo su - 命令可以切换到 root 用户而无需输入 root 密码?()
A、对 B、错
- 数据库管理系统中的审计功能可以帮助追踪并记录对数据库的所有访问和修改操作?()
A、对 B、错
- 中间件如 Apache Tomcat 默认配置下会公开详细的错误信息,这有助于调试但可能带来安全风险?()
A、对 B、错
- Web 应用中使用 HTTP 协议传输敏感数据是安全的做法?()
A、对 B、错
- TCP 协议中的 FIN 标志用于请求关闭一个 TCP 连接?()
A、对 B、错
- SHA-256 是一种非对称加密算法,常用于生成数字签名?()
A、对 B、错
- 根据《中华人民共和国网络安全法》,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度?()
A、对 B、错
- 在网络安全事件应急响应中,抑制阶段的主要任务是尽快恢复正常业务运行?()
A、对 B、错
单选参考答案:
网络安全单选题答案及解析(共 50 题)
答案:B
解析:安全基线覆盖范围广泛,不仅包括操作系统、数据库、中间件,还涵盖网络设备(如路由器、交换机)、安全设备(如防火墙)等,B 选项 “不针对网络设备开展” 表述错误。
答案:C
解析:A 选项 XSS 全称为 Cross-Site Scripting,Cascading Style Sheet 是 CSS(层叠样式表);B 选项 XSS 可通过注入脚本修改页面内容;D 选项 XSS 利用的是 Web 应用漏洞(而非客户端漏洞),通过注入恶意脚本获取 Cookie 等信息,C 选项正确。
答案:C
解析:挂马检测主要针对页面中嵌入的恶意链接、iframe 等 “挂马” 行为,而 Webshell 是具备控制权限的脚本文件,其内容不属于传统 “挂马” 类型,因此难以被挂马检测服务识别,C 选项正确。
答案:C
解析:IPS 上线时直接启用阻断动作易因误报影响业务,正确操作是先观察告警、修正误报规则,再逐步启用阻断,A 选项仅修改单条策略易遗漏,B 选项完全不启用阻断失去防护意义,C 选项符合安全上线流程。
答案:A
解析:Websafe 扫描后,低危漏洞因风险较低,默认状态为 “待确认”(需进一步核实是否影响业务);中高危漏洞通常为 “待修复”,C、D 选项需人工干预后设置,A 选项正确。
答案:C
解析:curl 工具默认使用 GET 方法发起请求,若需使用 POST、HEAD 等方法需手动指定参数(如-X POST),C 选项正确。
答案:D
解析:安全基线核查聚焦 “配置合规性”(如密码策略、端口开放),目的是确保系统满足最低安全配置、降低脆弱性、符合等保要求;D 选项 “发现系统漏洞” 是漏洞扫描的功能,而非基线核查,D 选项符合题意。
答案:A
解析:串联部署时,WAF 需串联在客户端与服务器之间,所有流量均需经过 WAF 转发,若 WAF 故障可能直接中断业务,对网络业务逻辑影响最大;旁路、反向代理部署对业务影响较小,A 选项正确。
答案:A
解析:WAF “放过” 动作指不对请求进行安全检测,直接转发至服务器;“阻断” 是拒绝请求,“重定向” 是引导至其他页面,“伪装” 非 WAF 标准动作,A 选项正确。
答案:A
解析:事件分析法通过归类事件类型(如 SQL 注入、XSS)分析攻击结果;时间分析法聚焦事件发生时间规律,流量包样本分析法针对数据包内容,B 选项表述有误,A 选项正确。
答案:D
解析:离线配置核查后,需确认业务状态、恢复网络配置、修改临时账号密码;检查脚本可能包含敏感信息,需手动删除,无法自动清除,D 选项表述错误。
答案:D
解析:SQL 注入、Cookie 欺骗、跨站脚本攻击(XSS)均为常见 Web 攻击;ARP 攻击是局域网内欺骗 IP 与 MAC 映射的攻击,不属于 Web 攻击,D 选项正确。
答案:D
解析:WAF 误报优化后,需将策略动作设为 “阻断”,以拦截恶意请求;“放行”“接受” 无法实现防护效果,“重定向” 仅用于特定场景,D 选项正确。
答案:B
解析:爆破攻击审计需通过日志记录追踪尝试行为,通过入侵监测系统(IDS)识别爆破特征(如高频次失败登录);加密、强化验证是防御手段,而非审计手段,B 选项正确。
答案:D
解析:版本扫描通过检测软件版本判断漏洞,可能存在 “版本匹配但已修复漏洞” 的情况,需二次核查;原理扫描通过模拟攻击验证漏洞,准确率更高,D 选项表述错误。
答案:B
解析:安全基线的核心是定义系统 / 设备的 “最低安全配置标准”(如密码长度、端口禁用);A 选项是性能优化,C 选项是日志审计,D 选项是加密协议,B 选项正确。
答案:C
解析:漏洞扫描可发现薄弱口令、已知漏洞(如 MS12-020)、缓冲区溢出;跨站请求伪造(CSRF)需结合业务逻辑检测,常规漏洞扫描难以识别,C 选项正确。
答案:A
解析:定期备份业务数据是灾难恢复措施,无法修复 Java 反序列化漏洞;更新补丁、删除无用页面、清理不安全第三方库均为漏洞修复方案,A 选项符合题意。
答案:B
解析:Suricata 是入侵检测 / 防御系统(IDS/IPS),可自动识别网络攻击类型;Nmap 用于端口扫描,Wireshark、Tcpdump 用于数据包抓取,无自动识别攻击功能,B 选项正确。
答案:C
解析:A 选项关闭主机探测可能导致扫描遗漏;B 选项证券业务系统在 11 点(业务高峰期)扫描可能影响业务;D 选项扫描前需升级漏洞库确保准确性;C 选项了解防火墙配置可避免扫描流量被拦截,C 选项正确。
答案:C
解析:Oracle 中,数据块(Data Block)是最小逻辑数据存储单位;盘区是数据块的集合,表空间是盘区的集合,数据文件是物理存储文件,C 选项正确。
答案:C
解析:NF 设备 admin 密码忘记后,需通过串口登录设备,执行密码重置操作;“更改” 需已知原密码,“USB 升级” 无法重置密码,C 选项正确。
答案:A
解析:一体化安全引擎(如 WAF、IDS)主要针对应用层协议(如 HTTP、HTTPS),工作在 OSI 模型的 5-7 层(会话层、表示层、应用层),A 选项正确。
答案:D
解析:Linux /etc/passwd 文件格式为:用户名:密码占位符(x): 用户 ID: 组 ID: 用户详细信息:主目录:命令解释程序;密码实际存储在 /etc/shadow 中,D 选项格式正确。
答案:B
解析:B 类 IP 地址范围为 128.0.0.0-191.255.255.255;A 选项是 A 类地址,C、D 选项是 C 类地址,B 选项正确。
答案:D
解析:A 选项 netstat -au 查看 UDP 监听端口;B 选项 lsof -i UDP 查看 UDP 相关进程;C 选项 netstat -an | grep LISTEN 查看所有监听端口(含 TCP、UDP);D 选项 ss -Intp 仅查看 TCP(-t)监听(-l)端口,D 选项正确。
答案:B
解析:安全配置核查误报处理需在原检查结果中修正该项目,避免影响整体报告准确性;更换扫描器、忽略误报均不规范,C 选项与误报处理无关,B 选项正确。
答案:A
解析:Websafe 服务核心是 Web 安全检测,包括挂马监测、Webshell 监测、漏洞扫描;平稳度监测是网络性能监测功能,不属于 Websafe 服务,A 选项正确。
答案:D
解析:军工单位涉及国家秘密,其安全事件在 IRS 系统中需设置为 “保密” 权限;民办大学、公立医院、股份制制药厂无强制保密要求,D 选项正确。
答案:B
解析:串口登录 NF 设备时,默认波特率为 9600,其他波特率(4800、14400、115200)需特殊配置,B 选项正确。
答案:C
解析:离线配置核查运行脚本后,需收集脚本输出结果,手动整理为配置检查报表,无法直接查看报表;在线检查需登录系统执行命令,C 选项表述错误。
答案:D
解析:安全风险评估的价值包括了解安全现状、提出防护策略、满足法律法规要求;“满足上级领导检查” 非评估的核心价值,D 选项符合题意。
答案:A
解析:安装 OpenSSH 需依赖 zlib(压缩)、libcrypto(加密)、PAM(认证);Irz sz 是文件传输工具,非 OpenSSH 依赖软件,A 选项正确。
答案:B
解析:A 选项 MAC 地址共 48bit;C 选项可通过 ipconfig(Windows)、ifconfig(Linux)查看 MAC 地址,无需专用工具;D 选项 MAC 地址属于数据链路层,IP 地址属于网络层;B 选项 MAC 地址由厂商分配,具有全球唯一性,B 选项正确。
答案:C
解析:Linux LiveCD 可在不挂载本地磁盘的情况下运行,最早用于对磁盘进行 “只读取证分析”(避免修改原始数据);数据恢复、病毒查杀、修复引导是后续扩展功能,C 选项正确。
答案:D
解析:非法访问、合法用户非法操作、权限划分混乱均为数据库常见安全风险,D 选项 “其他选项均正确” 符合题意。
答案:C
解析:镜像监听部署时,WAF 仅复制流量进行检测,不干预实际业务,仅实现 “检测攻击” 功能;串联、反向代理部署可实现防护,旁路部署功能有限,C 选项正确。
答案:D
解析:安全加固需先确认实施条件、再按方案执行加固、最后输出实施文档,A、B、C 选项表述均正确,D 选项符合题意。
答案:A
解析:前端校验可被绕过(如修改请求包),无法有效防御任意文件上传;需结合后端校验(白名单、权限控制),A 选项表述错误。
答案:B
解析:UTS(流量取证系统)启用流量取证时,需添加 API 账号用于系统间数据交互;管理员、审计员账号用于管理操作,后台账号非标准表述,B 选项正确。
答案:C
解析:WAF 常见部署模式包括串联、旁路、反向代理;边界网关部署是路由器、防火墙的部署方式,非 WAF 部署模式,C 选项正确。
答案:D
解析:NAT(网络地址转换)可将私网 IP 转换为公网 IP,实现私网访问互联网;OSPF、BGP、IS-IS 均为路由协议,用于路由信息交换,D 选项正确。
答案:D
解析:暂时无法定性的攻击事件需标记并持续跟踪,不可直接忽略;A、B、C 选项均为合理处置建议,D 选项表述错误。
答案:A
解析:IRS 系统中,“公开” 权限的事件允许受限用户查看,但无新增、管理权限;禁止查看对应 “保密” 权限,A 选项正确。
答案:A
解析:黑客踩点阶段通过 WHOIS 查询域名注册信息、服务器 IP 等;ARP 用于局域网通信,TCP 是传输层协议,DDOS 是攻击实施阶段手段,A 选项正确。
答案:D
解析:网站被植入隐藏赌球链接,属于 “黑链暗链” 事件;入侵事件指非法获取权限,流量异常指流量突发,虚拟挖矿指利用资源挖矿,D 选项正确。
答案:B
解析:技术基线是针对技术层面的具体配置要求(如关闭默认共享、禁用 Guest 账户);管理基线是制度流程,物理基线针对物理环境,审计基线针对审计规则,B 选项正确。
答案:C
解析:SNAT(源网络地址转换)用于将私网源 IP 转换为公网源 IP,更改的是 IP 包头中的源地址;DNAT 更改目的地址,MAC 地址不属于 IP 包头内容,C 选项正确。
答案:B
解析:漏洞修复建议常见为安装补丁、修改配置、部署防护设备;应用协议(如 HTTP、HTTPS)更换需结合业务需求,不属于常规漏洞修复建议,B 选项正确。
答案:D
解析:WAF “重定向” 动作会返回 302 状态码,引导客户端至其他页面,并关闭当前 TCP 连接;“阻断” 返回 4xx/5xx 状态码,“放过” 直接转发,D 选项正确。
多选题答案:
网络安全多选题答案及解析(共 30 题)
答案:ABC
解析:根据《网络安全法》,网络运营者需采取防病毒、防数据泄露、备份加密等措施;D 选项 “公开用户数据” 违反用户信息保密义务,属于违法行为,故排除。
答案:ABCD
解析:网络安全事件应急响应遵循 “准备 - 检测与分析 - 抑制与根除 - 恢复与总结” 全流程,四个阶段缺一不可,均为标准应急响应环节。
答案:ABC
解析:计算机取证核心原则是 “不破坏原始数据、保持证据完整性、确保可追溯性”;D 选项 “快速删除无关数据” 可能误删关键证据,违反取证规范,故排除。
答案:ABCD
解析:禁用 root 远程登录可避免高权限账号被暴力破解;SSH 密钥认证比密码更安全;防火墙规则可限制非法访问;SELinux(安全增强型 Linux)能强制访问控制,四项操作均能提升 Linux 安全性。
答案:ABC
解析:最小权限原则可避免权限滥用;数据加密存储能防止数据泄露;定期审计日志可追踪异常操作;D 选项 “开启默认账户”(如数据库默认 admin 账户)是高风险操作,易被攻击者利用,故排除。
答案:ABC
解析:禁用目录浏览可防止攻击者遍历服务器文件;隐藏版本信息能避免攻击者针对性利用已知版本漏洞;限制 HTTP 方法(如禁用 PUT/DELETE)可减少攻击面;D 选项 “启用默认管理页面” 会暴露管理入口,增加被攻击风险,故排除。
答案:ABC
解析:过滤用户输入可拦截恶意脚本;Content-Security-Policy(CSP)头能限制资源加载,阻断 XSS 脚本执行;输出转义可将特殊字符转换为安全格式,避免脚本注入;D 选项 “HTTP 基本认证” 仅用于身份验证,与防御 XSS 无关,故排除。
答案:AB
解析:TCP 连接通过 “源 IP + 源端口 + 目的 IP + 目的端口” 四元组唯一识别,A(源 IP)、B(目的端口)均为核心字段;C 选项 TCP 标志位(如 SYN、ACK)用于连接建立 / 关闭,D 选项 TTL 值用于控制数据包生命周期,均不用于识别 TCP 连接,故排除。
答案:ABD
解析:AES(高级加密标准)、DES(数据加密标准)、3DES(三重 DES)均为对称加密算法(加密和解密使用同一密钥);C 选项 RSA 是非对称加密算法(使用公钥 / 私钥对),故排除。
答案:ACD
解析:AI 在网络安全中可用于异常行为检测(识别偏离正常模式的操作)、威胁情报分析(快速处理海量威胁数据)、漏洞自动修复(部分场景下自动化修复已知漏洞);B 选项 “自动化攻击” 是黑客利用工具实施的攻击行为,不属于 AI 的安全应用,故排除。
答案:ABC
解析:GDPR(通用数据保护条例)要求企业遵循数据最小化(仅收集必要数据)、安全处理(采取防护措施)、明确告知(告知用户数据用途);D 选项 “公开数据给第三方” 需获得用户明确授权,不可擅自公开,故排除。
答案:ABC
解析:断开受感染设备网络可防止攻击扩散;更新防火墙规则能阻断恶意流量;重置用户密码可应对账号被盗风险;D 选项 “清除系统日志记录” 会销毁攻击证据,违反应急响应规范,故排除。
答案:ABC
解析:创建磁盘镜像副本可保留原始数据;写保护设备能防止原始数据被修改;哈希校验(如 MD5、SHA256)可验证数据完整性;D 选项 “直接修改可疑文件” 会破坏原始证据,故排除。
答案:ACD
解析:开启自动更新可及时修复系统漏洞;设置强口令策略能防止暴力破解;关闭不必要服务 / 端口可减少攻击面;B 选项 “禁用远程桌面服务” 需根据业务需求判断,若业务依赖远程桌面则无需禁用,并非普适性安全措施,故排除。
答案:ABC
解析:ACL(访问控制列表)可限制数据库访问权限;定期备份数据能应对数据丢失风险;启用审计功能可追踪操作记录;D 选项 “使用默认账户名和密码”(如数据库 root/123456)是高风险操作,故排除。
答案:ACD
解析:禁用未使用模块可减少冗余功能带来的漏洞;定期打补丁能修复已知安全漏洞;强认证机制(如双因素认证)可提升管理账号安全性;B 选项 “开启详细错误信息显示” 会暴露服务器路径、版本等敏感信息,易被攻击者利用,故排除。
答案:ABC
解析:输入验证 / 过滤可拦截恶意请求;输出编码能防止 XSS 攻击;HTTPS 可加密传输数据,防止中间人攻击;D 选项 “禁止使用框架和库” 不现实(如 Web 开发常用 Vue、React 框架),且框架 / 库的安全风险可通过更新版本规避,故排除。
答案:AB
解析:ICMP 协议(如 ping、traceroute)可检测网络连通性、定位故障节点,用于识别网络层问题;ARP 协议用于 IP 与 MAC 地址映射,ARP 欺骗属于网络层安全问题;C 选项 DNS(域名解析)属于应用层,D 选项 TCP(传输控制协议)属于传输层,均不直接用于网络层问题识别,故排除。
答案:AB
解析:RSA(非对称加密算法)、ECC(椭圆曲线加密算法)可用于数字签名(通过私钥签名、公钥验证);C 选项 SHA-256 是哈希算法(用于生成数据摘要),D 选项 HMAC 是哈希消息认证码(用于验证数据完整性和来源),二者均不具备数字签名功能,故排除。
答案:ABD
解析:区块链的不可篡改特性可用于日志记录,防止日志被篡改;分布式身份验证可基于区块链实现去中心化身份管理;智能合约可自动化执行安全策略(如权限控制);C 选项 “加密所有传输数据” 是 SSL/TLS 的功能,与区块链无关,故排除。
答案:ABCD
解析:根据《数据安全法》,数据处理包括 “数据的收集、存储、使用、加工、传输、提供、公开、删除” 等全生命周期活动,四项均属于数据处理范畴。
答案:ABC
解析:事件分析阶段需分析攻击路径(还原攻击过程)、检查日志记录(获取攻击证据)、追踪攻击者 IP(定位攻击来源);D 选项 “清除恶意文件” 属于 “抑制与根除” 阶段的操作,故排除。
答案:ABC
解析:电子证据采集需遵循 “合法性”(采集流程合规)、“完整性”(证据不缺失)、“可追溯性”(记录证据流转过程);D 选项 “可修改性” 会破坏证据真实性,违反采集原则,故排除。
答案:ABCD
解析:修改 SSH 默认端口(22)可减少暴力破解尝试;禁用 root 登录可避免高权限账号泄露;密钥认证比密码更安全;开启密码复杂度策略可防止弱密码,四项均能提升 SSH 服务安全性。
答案:ABD
解析:使用默认账户(如 admin)、不限制访问 IP(允许任意 IP 连接)、明文存储密码(易被窃取)均为数据库高风险操作;C 选项 “启用详细日志” 可追踪异常行为,属于安全措施,故排除。
答案:ABC
解析:删除 Tomcat 示例应用(如 docs、examples)可避免示例代码中的漏洞被利用;关闭目录浏览能防止文件遍历;使用强口令可保护管理后台;D 选项 “启用管理页面” 若配置不当(如弱口令)会增加风险,且非必需加固措施,故排除。
答案:AB
解析:验证 HTTP Referer 头(确认请求来源合法)、使用 Anti-CSRF Token(生成唯一令牌验证请求合法性)是防御 CSRF 的核心方法;C 选项 “过滤用户输入” 主要防御 XSS,D 选项 “启用 HTTPS” 主要防止数据泄露,均与 CSRF 防御无关,故排除。
答案:BC
解析:HTTP 请求头中,User-Agent(标识客户端类型)、Host(指定目标域名)是识别 HTTP 请求的关键字段;A 选项源 IP 地址可用于定位客户端,但不专属 HTTP 协议;D 选项 TCP 窗口大小是 TCP 层参数,与 HTTP 请求识别无关,故排除。
答案:ABD
解析:RSA、ECC、Diffie-Hellman(密钥交换算法)均属于非对称加密算法(使用公钥 / 私钥对);C 选项 AES 是对称加密算法,故排除。
答案:BCD
解析:B 选项 NLP 分析暗网帖子属于 AI 在威胁情报中的应用;C 选项强化学习生成渗透脚本属于 AI 在漏洞检测中的应用;D 选项 GAN 伪造钓鱼邮件用于安全演练属于 AI 在安全培训中的应用;A 选项 “日志规则匹配” 是传统 IDS 的功能,基于预设规则而非 AI 技术,故排除。
判断题答案:
网络安全判断题答案及解析(共 20 题)
答案:B(错)
解析:根据《网络安全法》第四十一条,网络运营者收集用户个人信息应遵循 “最小必要原则”,不得收集超过提供服务所需的信息,否则违反用户信息保护要求。
答案:A(对)
解析:应急响应的 “检测与分析阶段” 核心目标是:通过日志、流量等数据识别攻击来源(如攻击者 IP)、攻击范围(影响的设备 / 业务),并评估攻击造成的损失(如数据泄露、业务中断),题干表述符合该阶段定位。
答案:A(对)
解析:电子证据的有效性依赖 “证据链连续性”(记录证据从采集到提交的全流程)和 “完整性”(证据未被篡改),若证据链断裂或数据被修改,证据将失去法律效力,题干表述正确。
答案:A(对)
解析:Linux 的chroot命令可创建 “根目录 jail”,将用户限制在指定目录内,无法访问目录外的系统文件,常用于隔离服务(如 FTP、Web 服务),降低权限泄露风险,题干表述正确。
答案:B(错)
解析:数据库默认账户(如 MySQL 的 root、Oracle 的 sys)和初始密码易被攻击者猜测或通过公开文档获取,生产环境中必须修改默认密码并限制默认账户的访问权限,否则存在严重安全隐患。
答案:A(对)
解析:Nginx 的ssl_protocols指令可指定允许的 SSL/TLS 协议版本(如ssl_protocols TLSv1.2 TLSv1.3),禁用不安全的旧版本(如 SSLv3、TLSv1.0),从而增强 SSL/TLS 通信安全性,题干表述正确。
答案:A(对)
解析:CSP(内容安全策略)通过设置Content-Security-Policy头,限制页面加载的资源来源(如仅允许信任域名的脚本、图片),可有效阻断 XSS 攻击中注入的恶意脚本执行,是防御 XSS 的重要手段。
答案:B(错)
解析:ICMP 协议存在安全风险,例如攻击者可利用 ICMP echo 请求(ping)进行主机探测,或通过 ICMP 重定向欺骗篡改路由表,导致流量劫持,因此 ICMP 对网络安全存在影响,需根据场景限制使用。
答案:A(对)
解析:对称加密算法(如 AES)加密和解密速度快,适合大量数据加密;非对称加密算法(如 RSA)速度慢,多用于小数据(如密钥交换、数字签名),题干表述符合两类算法的特性差异。
答案:B(错)
解析:《数据安全法》仅要求对 “重要数据” 和 “核心数据” 的处理活动进行严格审批,并非 “所有数据处理活动”,常规非敏感数据(如公开的产品信息)处理无需额外审批,题干表述过于绝对。
答案:A(对)
解析:应急响应 “准备阶段” 的核心工作包括:制定应急预案(明确响应流程、职责分工)、储备应急资源(工具、设备)、开展人员培训和演练,确保事件发生时能快速响应,题干表述正确。
答案:A(对)
解析:计算机取证需遵循 “可追溯性” 原则,每一步操作(如数据采集、镜像制作)都需记录操作人员、时间、操作内容,且证据需通过哈希校验等方式确保不可篡改,才能满足法律效力要求。
答案:B(错)
解析:sudo su -命令需输入当前用户的 sudo 密码(而非 root 密码),验证通过后切换到 root 用户;若未配置 sudo 权限或密码错误,无法完成切换,并非 “无需输入密码”,题干表述错误。
答案:A(对)
解析:数据库审计功能可记录所有对数据库的访问操作(如登录、查询、修改、删除),包括操作账号、时间、SQL 语句,便于事后追踪异常行为(如未授权的数据修改),题干表述正确。
答案:A(对)
解析:Tomcat 默认配置下,若发生错误(如 404、500),会显示详细的错误页面,包含服务器版本、异常堆栈信息,攻击者可利用这些信息判断系统环境,针对性发起攻击,因此生产环境需关闭详细错误信息。
答案:B(错)
解析:HTTP 协议传输数据时采用明文形式,敏感数据(如用户名、密码、支付信息)在传输过程中易被中间人窃取或篡改,应使用 HTTPS 协议(HTTP+SSL/TLS)加密传输,题干表述错误。
答案:A(对)
解析:TCP 协议中,FIN 标志位用于主动关闭连接,发送 FIN 包表示 “后续无数据发送”,对方回复 ACK 包确认后,连接逐步关闭,题干表述符合 TCP 连接关闭的流程定义。
答案:B(错)
解析:SHA-256 是哈希算法,用于生成数据的固定长度摘要(如文件完整性校验),不具备加密功能;数字签名需结合非对称加密算法(如 RSA、ECC)实现,题干混淆了哈希算法与加密算法的功能。
答案:A(对)
解析:《网络安全法》第四十二条明确规定,网络运营者应对收集的用户信息严格保密,建立健全用户信息保护制度,防止信息泄露、篡改、丢失,题干表述符合法律要求。
答案:B(错)
解析:应急响应 “抑制阶段” 的主要任务是 “阻止攻击扩散、减少损失”(如断开受感染设备、阻断恶意 IP);“恢复阶段” 才是 “尽快恢复正常业务运行”,题干混淆了两个阶段的核心目标。
本次操作比赛时间为2 个小时。
一、介绍
竞赛有固定的开始和结束时间,参赛选手必须决定如何有效的分配时间。请认真阅读以下指引!
(1)当竞赛结束,比赛结束时请不要关机;
(2)所有配置应当在重启后有效;
(3)除了 CD-ROM/HDD/NET 驱动器,请不要修改实体机的配置和虚拟机本身的硬件设置。
二、任务描述
资产表
| 设备名称 | 用户名 | 密码 | 连接方式 |
|---|---|---|---|
| 选手Windows主机 | l | 123456 | VNC |
| 安全加固服务器 | admin | 1qazcde3!@# | XSHELL |
| 应急响应服务器 | administrator | QWE!@#123 | VNC |
| 核心路由器 | admin | 1qazCDE# | XSHELL |
如果XShell注册码过期,请输入:101210-450789-147200
windows如何在cmd中计算MD5
set /p="192.168.1.1" <nul > input.txtcertutil -hashfile input.txt MD5del input.txt
linux如何计算MD5
echo -n "192.168.1.1" | md5sum
或使用第三方工具Quickhash、CyberChef等来获取md5密文
任务
1、网络安全设备
作为企业的网络管理人员,你需要对公司的网络安全设备的策略了若指掌,以协助安全团队对企业的业务进行全面的安全加固。
| 设备名称 | 用户名 | 密码 | 连接方式 |
|---|---|---|---|
| 选手Windows主机 | l | 123456 | VNC |
| 核心路由器 | admin | 1qazCDE# | XSHELL/VNC |
路由器进入特权模式密码同样为 1qazCDE#如果XShell注册码过期,请输入:101210-450789-147200
1.1、静态路由
描述:锐捷路由器需要借助路由条目来实现IP寻址,请在锐捷路由上添加一条静态路由,路由信息如下:
目的网段为 172.16.0.0/23
下一跳ip地址为192.168.100.254
该条路由的优先级值为 10
完成配置后,请先进行保存配置,然后运行windows主机桌面【网络设备校验】文件夹中的route-check校验脚本,脚本将检测路由条目是否配置正确,配置正确生成flag。如果双击运行直接闪退,请在文件夹中打开cmd,然后运行对应脚本文件即可。
1.2、单臂路由配置
描述:锐捷路由器需作为单臂路由实现VLAN间通信。请完成以下配置:
在接口 GigabitEthernet 0/1 上创建子接口,分别关联vlan 10和vlan 20,子接口编号使用vlan编号
配置接口IP地址为各vlan的网关地址,vlan10的网关为192.168.10.1/24,vlan20为192.168.20.1/24。 ·
完成配置后运行windows主机桌面【网络设备校验】文件夹中的single-arm_check校验脚本,脚本将检测单臂路由否配置正确,配置正确生成flag。如果双击运行直接闪退,请在文件夹中打开cmd,然后运行对应脚本文件即可。
1.3、dhcp服务器配置
描述:现需要在锐捷路由器上配置DHCP服务,请你按如下要求配置dhcp服务的地址池
地址池名称为 zwxa。
分配网段为 192.168.10.0/24。
默认网关为 192.168.10.1。
DNS服务器为 8.8.8.8 。
租期至少为 8小时。
完成配置后运行windows主机桌面【网络设备校验】文件夹中的dhcp_check校验脚本,脚本将检测dhcp地址池是否配置正确,配置正确生成flag。如果双击运行直接闪退,请在文件夹中打开cmd,然后运行对应脚本文件即可。
2、 资产梳理类
作为企业安全工程师,请对企业内诸多业务进行安全梳理,并按照题目要求提交相关的信息
| 设备名称 | 用户名 | 密码 | 连接方式 |
|---|---|---|---|
| 选手Windows主机 | l | 123456 | VNC |
2.1、 数据孤岛梳理
当某些数据存在于一个系统中但缺失于另一个系统时,导致信息孤立,被称为“数据孤岛”。比如在用户数据信息体系中,某个用户的记录缺失,就可以认为数据没有完整共享,构成数据孤岛,而当前环境就存在着此情况。请对192.168.121.121服务器进行扫描分析,找到导致数据孤岛产生的用户名。并将此用户名进行md5加密后,将小写的md5密文进行作为flag信息进行提交,提交格式为flag{MD5小写}
例如假设用户名是name,那么提交范例为:flag{b068931cc450442b63f5b3d276ea4297}
2.2、 隐藏服务梳理
企业中往往存在一些特定服务,作为安全工程师,需要在资产梳理中找到这些服务以避免被攻击者利用。当前网络环境中有一台主机192.168.121.121暴露了一个特定的TCP服务,这个服务会返回一个特定的欢迎信息(提示:欢迎信息位于字符串Welcome Message is: 之后)。请找到这个欢迎信息。并将此信息进行md5加密后,将小写的md5密文进行作为flag信息进行提交,提交格式为flag{MD5小写}
例如假设欢迎信息是info,那么提交范例为:flag{caf9b6b99962bf5c2264824231d7a40c}
2.3、云元数据服务梳理
某企业新部署的私有云服务器因配置错误,意外将云服务器192.168.121.121本地云元数据服务暴露在内网的10800端口了。作为企业安全工程师,请API V2认证方式(请求头凭证参数名为:Metadata-Token)拿到服务器192.168.121.121云元数据服务(企业当前云元数据服务的链路本地地址为:169.254.169.254)暴露出的云安全密钥信息,以评估此服务器信息泄露的影响程度。同时拿到云安全密钥信息后,将此信息进行md5加密,然后将小写的md5密文进行作为flag信息进行提交,提交格式为flag{MD5小写}
例如云安全密钥信息是info,那么提交范例为:flag{caf9b6b99962bf5c2264824231d7a40c}
3、流量分析类
| 设备名称 | 用户名 | 密码 | 连接方式 |
|---|---|---|---|
| 选手Windows主机 | l | 123456 | VNC |
某企业网络监控中心告警企业内部网络对外进行了恶意通讯,初步排查发现是由于业务网站集群接收了恶意的HTTP流量导致。作为企业安全工程师,你在网络监控的旁路流量设备上下载了网络流量记录文件traffic.pcap,文件放在 windows选手机的桌面“流量分析数据包”文件夹中,分析此文件,并按照下列要求和格式提交相关信息。
3.1、DNS隧道的目的地址
企业内部网络对外进行的恶意通讯中,其中包括了DNS隧道通讯。请分析traffic.pcap文件,找到DNS请求流量中,出现次数最多的目的地址ip。并将此ip信息进行md5加密,然后将小写的md5密文进行作为flag信息进行提交,提交格式为flag{MD5小写}
例如DNS数据包中出现次数最多的目的地址ip为1.1.1.1,那么提交范例flag{e086aa137fa19f67d27b39d0eca18610}
3.2、流量中的密码信息
排查数据包traffic.pcap发现,外部攻击者向业务网站集群发送过一组密码信息。此密码信息被拆分为了4部分,分布在HTTP数据包、DNS查询数据包、TCP数据包中,并且都有一个seg_标识。经过进一步分析,每种数据包中的密码片段都进行了不同的加密方式:
1.HTTP数据包:分散在此数据包中的密码片段进行了base64加密
2.DNS查询数据包:分散在此数据包中的密码片段进行了base32加密
3.TCP数据包:分散在此数据包的密码片段没有加密,直接为明文
请找到所有的密码片段进行解密和排序。并将最终正确的密码明文信息进行md5加密后,将小写的md5密文进行作为flag信息进行提交,提交格式为flag{MD5小写}
例如假设最终正确的密码明文信息是passwd,那么提交范例为:flag{76a2173be6393254e72ffa4d6df1030a}
3.3、反弹shell的地址
经过对数据包traffic.pcap的排查,发现向企业web网站的/update.php路径发送的HTTP数据中,有一些奇怪的密文信息。经过企业密码学专家分析,发现是先经过AES加密后,再进行base64加密后的密文,同时结合安全中心告警信息,安全团队初步推测密文信息为16位IV+反弹shell命令加密后的内容。进一步分析发现加密的密钥被攻击者隐藏在恶意DNS隧道中,这个恶意DNS隧道的主域名是example.com。请找到并解密这个反弹shell命令,并将命令中反弹回连的IP并将进行md5加密后,将小写的md5密文进行作为flag信息进行提交,提交格式为flag{MD5小写}
例如反弹shell命令中反弹回连的为1.1.1.1,那么提交范例为:flag{e086aa137fa19f67d27b39d0eca18610}
4、安全加固类
| 设备名称 | 用户名 | 密码 | 连接方式 |
|---|---|---|---|
| 选手Windows主机 | l | 123456 | VNC |
| 安全加固服务器 | admin | 1qazcde3!@# | XSHELL |
请使用选手Windows主机的xshell软件,连接安全加固服务器,已提前内置连接。如果XShell注册码过期,请输入:101210-450789-147200
4.1、linux服务安全加固
一台 Linux 服务器近期遭受多次安全扫描攻击,作为企业安全团队的一员,请对该服务器进行加固,以防止潜在的安全风险。详细安全加固要求如下:
1.root 用户拥有最高权限,若允许其直接通过 SSH 登录,容易成为攻击目标,请配置ssh选项,禁止 root 用户直接通过 SSH 登录
2.默认的内核网络参数可能存在安全风险。接受ICMP重定向报文可能导致路由表被恶意篡改;禁用ICMP重定向并启用SYN Cookie防护机制
3.系统中存在一些默认的非交互式用户账户,若未禁用,可能成为攻击入口,请安全管理员禁用无用账户games
4.AppArmor 是 Linux 内核级的安全模块,用于限制程序的行为,即使程序被攻破,也能防止提权,启用 AppArmor 对vsftpd开启强制访问控制机制
5.默认情况下防火墙是关闭的,开放过多端口会增加被扫描和攻击的风险,请配置 UFW 防火墙,设置默认拒绝所有入站连接,仅允许必要的服务(如SSH)的入站连接,并允许所有出站连接。
6.配置日志审计规则,监控系统关键目录( /etc、/bin、/sbin)的变更
当你确认所有安全加固操作都完成后,请执行桌面目录(`/home/admins/Desktop`)下的check程序进行检测并使用--linux参数,详细命令为`./check --linux`,如加固操作正确完成,将会输出flag信息。请提交此flag信息
4.2、nginx安全加固
Nginx 是目前最流行的 Web 服务器和反向代理服务器之一,广泛用于互联网服务中。由于其高并发处理能力和灵活性,也常常成为攻击者的目标。
注:nginx项目路径为/etc/nginx
1.禁止 Nginx 显示版本号
默认情况下,Nginx 会在 HTTP 响应头中显示其版本号,这可能被攻击者用于识别漏洞版本。
2.配置 Content-Security-Policy 安全响应头
Content-Security-Policy (CSP) 可以防止 XSS 等脚本注入攻击,请在编辑站点配置文件中添加csp响应头
3.禁用服务器上的目录浏览功能
若未禁用目录浏览功能,攻击者可轻易发现网站结构和文件。
当你确认所有安全加固操作都完成后,请执行桌面目录下的check程序进行检测并使用--nginx参数,详细命令为`./check --nginx`,如加固操作正确完成,将会输出flag信息。请提交此flag信息
4.3、jboss安全加固
JBoss的默认配置中存在一些安全问题,例如弱密码、未配置使用SSL协议等。因此安全配置JBoss服务器能有效的减少安全威胁
注:jboss项目路径为/opt/wildfly,配置文件位于/opt/wildfly/standalone/configuration下
jboss访问地址为:127.0.0.1:8080,若无法访问,请检测ufw配置及服务状态
1.默认的 admin 用户容易被暴力破解,应删除并使用自定义用户名,并设置强密码。
2.默认情况下,JBoss 可能会在 HTTP 响应头中泄露版本号,帮助攻击者识别漏洞。请管理员将修改配置协议隐藏服务器版本信息
3.默认可通过 HTTP 访问 /console管理界面,这增加了未授权访问和中间人攻击的风险。请管理员将管理接口加以限制,以禁止来自外部网络的 HTTP 访问/console管理界面。
当你确认所有安全加固操作都完成后,请执行桌面目录下的check程序进行检测并使用--jboss参数,详细命令为`./check --jboss`,如加固操作正确完成,将会输出flag信息。请提交此flag信息
5、应急响应类
| 设备名称 | 用户名 | 密码 | 连接方式 |
|---|---|---|---|
| 应急响应服务器 | administrator | QWE!@#123 | VNC |
请在平台右侧的悬浮窗,对机器往下滑,可以看到应急响应服务器,直接点击可以进入应急响应服务器的桌面。
企业一台windows server2016服务器突然出现卡顿现象,初步诊断为服务器存在挖矿木马导致异常,作为企业安全工程师,你需要登录到这台失陷的服务器上,定位异常文件等信息,并按照下列要求和格式提交相关信息:
5.1、异常挖矿脚本信息
经过初步排查,windows服务器被植入了异常的挖矿脚本,该脚本会调起恶意进程占用CPU资源,请找到这个挖矿脚本。并将脚本名称(包含扩展名)进行md5加密后,将小写的md5密文进行作为flag信息进行提交,提交格式为flag{MD5小写}
例如假设挖矿脚本名称为jb.vbs,那么提交范例为:flag{d34b52f7e31a172cdb483b9260ea4782}
5.2、异常进程定位
经过分析,win服务异常卡顿原因是存在挖矿进程导致,请定位此挖矿进程的详细文件路径。并将挖矿进程文件所在的目录(只要目录名称)进行md5加密后,将小写的md5密文进行作为flag信息进行提交,提交格式为flag{MD5小写}
例如挖矿进程文件所在的目录为dir,那么提交范例为:flag{736007832d2167baaae763fd3a3f3cf1}
5.3、木马恢复点查找
当企业安全工程师删除木马相关文件时,发现一段时间后,木马会重新复现并运行,怀疑此木马存在恢复机制。请查询计划任务,找到木马的恢复任务,并将此任务名进行md5加密后,将小写的md5密文进行作为flag信息进行提交,提交格式为flag{MD5小写}
例如木马的恢复任务名称为task,那么提交范例为:flag{478f3a4c51824ad23cb50c1c60670c0f}
6、日志分析类
| 设备名称 | 用户名 | 密码 | 连接方式 |
|---|---|---|---|
| 选手Windows主机 | l | 123456 | VNC |
日志文件放在 windows选手机的桌面`“日志包”`文件夹中
6.1、提取恶意载荷下载链接中的Token
某载荷以二进制文件形式从 C2 服务器下载。日志记录了 wget 下载细节,请提取 攻击者认证链接的 16 字节十六进制 Token,作为第二阶段下载行为的关键痕迹。并将找到的16 字节十六进制 Token进行MD5加密作为flag信息进行提交,提交格式为flag{MD5小写}
例如假设Token是path,那么提交范例为:flag{d6fe1d0be6347b8ef2427fa629c04485}
6.2、追踪攻击者创建的定时任务名称
为实现持久化,攻击者在 Linux 系统上创建了计划任务。请在日志中查找该命令行,精准提取计划任务的名称,该名称通常带有攻击者标识,用来维持定时执行恶意监控或后门程序。并将任务名称进行md5加密后,将小写的md5密文进行作为flag信息进行提交,提交格式为flag{MD5小写}
例如假设任务名称是path,那么提交范例为:flag{d6fe1d0be6347b8ef2427fa629c04485}
6.3、定位永久驻留的恶意脚本文件路径
在后期横向移动与持久化阶段,攻击者通过 WinRM 执行 PowerShell,将恶意脚本复制到 Windows 注册表运行路径中以实现开机自启动。日志中包含 Copy-Item 调用。请提取该行中 -Destination 对应的完整 Windows 脚本路径,以确认持久化脚本的存放位置。并将path路径及文件名进行md5加密后,将小写的md5密文进行作为flag信息进行提交,提交格式为flag{MD5小写}
例如假设path路径是/path,那么提交范例为:flag{c55cc3282a38277657035e8e64b48b60}
7、 渗透测试类
| 设备名称 | 用户名 | 密码 | 连接方式 |
|---|---|---|---|
| 选手Windows主机 | l | 123456 | VNC |
作为企业安全工程师,你需要对企业的某个服务器进行渗透测试以评估企业业务的安全风险。请对服务器192.168.121.222的5010端口web服务进行渗透测试,并按照下列要求和格式提交相关信息
flag格式为flag{字符串}
7.1、flag1:服务器上的web信息收集
第一个flag藏在目标服务器网站的一个文件内,此文件很多网站都存在(如百度、网易),请对目标服务器的web服务进行信息收集拿到它并进行提交。直接提交获取的flag信息,包含大小写。
7.2、flag2:服务器上的web认证漏洞
目标服务器上的web服务存在认证漏洞,请利用该漏洞拿到flag2的信息,直接提交获取的flag信息,包含大小写。
7.3、flag3:服务器上的文本框
目标服务器上的web服务后端文本框中输入对应的密码既可拿到flag3,直接提交获取的flag信息,包含大小写。
扫一扫
639
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
