单选

CVE编号中，2019年的漏洞编号格式正确的是:

单选

CVSS v3.1评分中，基础评分达到9.0分属于哪个等级？

单选

在分析WebLogic反序列化漏洞时，以下哪个组件是最常被利用的？

单选

Nmap工具中，用于操作系统检测的参数是：

单选

Burp Suite中，哪个模块主要用于分析和修改HTTP请求？

单选

在Java代码审计中，以下哪个类最容易导致SQL注入漏洞？

单选

PHP代码审计中，哪个函数在不当使用时最容易导致远程代码执行？

单选

CNVD漏洞平台的官方网址是：

单选

在漏洞披露过程中，"0day"指的是：

单选

Metasploit框架中，用于搜索可用模块的命令是:

单选

C语言中，以下哪个函数最容易导致缓冲区溢出？

单选

在分析心脏出血（Heartbleed）漏洞时，主要问题出现在哪个协议的实现中？

单选

Wireshark中，用于过滤HTTP流量的表达式是:

单选

Python代码审计中，使用哪个函数执行系统命令相对安全？

单选

CNNVD是指:

单选

SQLMap中，用于指定数据库类型的参数是:

单选

在.NET代码审计中，哪个配置项关闭后可以有效防止ViewState攻击？

单选

Apache Log4j2漏洞（Log4Shell）的CVE编号是:

单选

Nessus是一款:

单选

JavaScript代码审计中，哪个函数容易引起XSS漏洞？

单选

在分析Struts2漏洞时，以下哪个OGNL表达式最危险？

单选

John the Ripper主要用于:

单选

Go语言中，以下哪个函数容易导致路径遍历漏洞？

单选

EDB是指:

单选

Ghidra是由哪个机构开发的逆向工程工具？

单选

Ruby on Rails中，哪个方法可以有效防止SQL注入？

单选

永恒之蓝（EternalBlue）漏洞主要影响哪个协议？

单选

Aircrack-ng主要用于:

单选

Swift开发中，哪个类容易导致不安全的反序列化？

单选

在分析ThinkPHP远程代码执行漏洞时，哪个版本的框架最脆弱？

单选

Hydra工具的主要功能是:

单选

Rust语言中，哪个特性有助于防止缓冲区溢出？

单选

Bugtraq是:

单选

IDA Pro的主要功能是:

单选

在Kubernetes安全审计中，哪个配置最容易导致集群提权？

单选

Shellshock漏洞影响的主要组件是:

单选

Masscan的特点是:

单选

Vue.js中，哪个指令可以防止XSS攻击？

单选

在分析Fastjson反序列化漏洞时，哪个autotype特性最危险？

单选

Dirb工具的主要用途是:

单选

Node.js中，哪个模块可以防止路径遍历？

单选

Exploit-DB网站的官方网址是:

单选

YARA规则主要用于:

单选

Spring框架中，哪个注解可以防止SQL注入？

单选

Dirty COW（脏牛）漏洞属于哪种类型的漏洞？

单选

Nikto工具的主要功能是:

单选

Angular中，哪个安全机制可以防止XSS？

单选

在分析Shiro反序列化漏洞时，哪个组件是关键？

多选

以下哪些属于常见的漏洞评分标准？

多选

以下哪些工具可以用于静态代码分析？

多选

以下哪些情况可能导致反序列化漏洞？

多选

以下哪些属于WebLogic的历史高危漏洞？

多选

以下哪些工具支持自定义插件扩展？

多选

以下哪些编码习惯有助于防止缓冲区溢出？

多选

以下哪些属于供应链攻击的典型特征？

多选

以下哪些工具可以用于内存分析？

多选

以下哪些情况可能导致SQL注入漏洞？

多选

以下哪些属于近年来影响较大的框架漏洞？

多选

以下哪些工具支持API接口调用？

多选

以下哪些属于竞态条件漏洞的成因？

多选

以下哪些属于逻辑漏洞的典型类型？

多选

以下哪些工具可以用于固件分析？

多选

以下哪些属于安全的随机数生成要求？

多选

以下哪些属于容器逃逸的常见方式？

多选

以下哪些工具支持脚本编写？

多选

以下哪些属于整数溢出的防护措施？

多选

以下哪些属于信息泄露的常见途径？

多选

以下哪些属于开源情报（OSINT）工具？

多选

以下哪些属于时间戳攻击的利用条件？

多选

以下哪些属于配置错误的典型表现？

多选

以下哪些工具可以用于网络协议分析？

多选

以下哪些属于安全的密码存储要求？

多选

以下哪些属于侧信道攻击的类型？

判断

所有的CVE漏洞都有对应的补丁修复。（ ）

判断

开源工具比商业工具安全性更低。（ ）

判断

静态代码分析可以发现所有的安全漏洞。（ ）

判断

CVSS评分越高，漏洞被利用的可能性就越大。（ ）

判断

Nmap只能进行端口扫描，不能进行漏洞检测。（ ）

判断

使用参数化查询可以完全防止SQL注入攻击。（ ）

判断

0day漏洞的交易在法律上是允许的。（ ）

判断

Burp Suite的免费版本包含所有功能。（ ）

判断

内存安全的编程语言可以完全避免缓冲区溢出。（ ）

判断

所有的高危漏洞都必须立即修复。（ ）

判断

Metasploit只能用于攻击，不能用于防御测试。（ ）

判断

代码审计只需要关注输入验证，不需要关注业务逻辑。（ ）

判断

同一个漏洞在不同环境下的危害程度可能不同。（ ）

单选

Whois查询主要用于获取:

单选

命令注入漏洞中，用于连接多条命令的符号是:

单选

Windows系统中，哪个命令可以查看当前用户权限？

单选

渗透测试的哪个阶段主要进行信息收集？

单选

渗透测试实验中，DVWA主要用于练习:

单选

反序列化漏洞利用中，常用的工具是:

单选

Linux系统中，哪个文件包含系统用户信息？

单选

渗透测试的合法性依据是:

单选

搭建渗透测试靶机时，应优先考虑:

单选

XXE漏洞中，用于读取系统文件的协议是

单选

Windows系统中，哪个工具可以提取内存中的密码

单选

渗透测试中发现重要漏洞，应该

单选

Metasploitable主要用于

单选

CSRF攻击中，用于验证请求来源的机制是