2023.11.4软考信息安全工程师大题回顾
注意:答案仅供参考!!!
试题一
1.不论古典密码还是现代密码,其中最为核心的操作是替换和置换,对应于香农的《保密系统的通信理论》论文中,分别对应哪两种密码技术?(2分)
2.在DES算法中,置换对应下图当中哪个操作部件?(2分)
3.已知DES算法S盒如下:(11分)
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | |
| 0 | 15 | 1 | 8 | 14 | 6 | 11 | (1) | 4 | 9 | 7 | 2 | 13 | 12 | 0 | 5 | 10 |
| 1 | 3 | (2) | 4 | 7 | 15 | 2 | 8 | 14 | 12 | 0 | 1 | 10 | 6 | 9 | 11 | 5 |
| 2 | 0 | 14 | 7 | 11 | 10 | 4 | 13 | 1 | (3) | 8 | 12 | 6 | 9 | 3 | 2 | 5 |
| 3 | 13 | 8 | 10 | 1 | 3 | 15 | 4 | 2 | 11 | 6 | 7 | 12 | (4) | 5 | 14 | 9 |
(1)填空补全S盒
(2)如果该S盒的输入110011,则其二进制输出为?
(3)对明文字符串“12345”进行加密,应当对明文进行填充,问:填充后的明文长度多少比特?并给出填充后明文字符串表示?
(4)如果使用密钥“x01x01x01x01x01x01x01x01”对明文进行加密,会出现什么安全问题?
【解说/吐槽】1.对称加密和公钥 2.初始置换和逆置换?3.(1)思路就是每一行都是0-15的数字都会出现,填缺少的那个就行 (2)我好像考试时写的是110,(3)64比特,不会 (4)密钥太弱?
第二版教材改版后还考这玩意,貌似以前考过类似的,居然还翻出来考,好吧我并不熟悉,不过居然没考RSA,考前一天稍微看了下的内容没考,哭死
试题二
1.此代码存在什么漏洞?(2分)
2.客户端的HTTP请求类型是什么?(2分)
3.有几个参数,哪个参数会造成漏洞影响?(3分)
4.输入8.8.8.8,服务端执行什么命令?(2分)
5.使用content-type为multipart/form-data提交表单?(2分)
6. (4分)(1)输入什么命令,能输出如图的结果?
(2)www-data
【解说/吐槽】 1.命令执行/注入漏洞 2.POST请求 3. 2个参数,参数ip 4. ping -c 3 8.8.8.8 貌似要根据服务器是windows还是linux而不同?5.忘了题目内容了 6.8.8.8.8&ls -la
其实就是DVWA里的Command Execution漏洞,学校里基本都会讲,学渗透的基本都熟悉这玩意吧
试题三
原题目ip记不清了,这里自己随便截了个类似的图,相差不到哪里去
1.发起扫描源主机ip地址?
2.wireshark过滤上述ip的表达式?
3.判断扫描类型?
4.开放了哪些端口,判断过程?
5.有大量RST和ACK置位的网络分组,对于这种分组,其TCP标志字段的值为?
6.假设用iptables对上述扫描流量进行过滤,应该对filter表的哪条链上进行过滤,给出链的名字?
7.追加一条根据源IP地址丢弃上述网络流量的iptables的过滤规则?
【解说/吐槽】很常规的wireshark加iptables混合题,基本上大家应该都有复习到,算是送分题
试题四
http://1.net系列命令中查看账户信息的完整命令?(2分)
http://2.net命令新建test$账户,口令为123456?(2分)
3.(1)使用net命令是否看到test$账户?
(2)发现隐藏账号的命令或方法?(3分)
4.(1)Windows中用户账户信息保存在注册表中的哪个键值?
(2)默认情况下,管理员有无权限查看SAM中的信息?(2分)
5.(1)管理员账户对应的“Users”键值下的哪一项?
(2)实现将用户“test$”克隆为管理员账户,应该赋值哪个键的值?
(3)使用克隆后的账户远程登录,登录后查询的是哪个账户?(6分)
whoami#
query user#
【解说/吐槽】1. net user 2. net user test$ 123456 /add 3.(1)不能,命令行看不到隐藏账户(2)注册表查看?4.(1)Users?(2)默认无权限,要设置才行 5.(1)000001F4?(2)F键的值(3)?
net命令好久之前看过,嗯已经忘记了,上面答案是搜了下相关命令然后瞎写的,考试的时候反正是不会做了
试题五
1.(1)APP打包后的格式?
(2)是否可以用zip扩展名进行替换并进行解压?
2.打包后的文件包括静态资源文件(assets)、库文件(lib)、签名文件(META-INF)、编译资源文件(res)、配置清单文件(AndroidManifest.xml)、核心代码文件(classes.dex)和资源映射文件(resources.arsc)等信息。(2分)
3.地图导航类软件最小必要权限?(2分)
4.保护APP安全性通常采用的安全保护措施中,包含以下哪几项?
A.防反编译 B.地址空间布局随机化 C.放调试 D.防篡改 E防窃取
5.APP组件有Activity,Service服务,Content Provider内容提供,BroadcastReceiver广播接收器四种(8分)
(1)<activity
android:[(1)]="true"
android:name=".other.ComponentActivity">
</activity>
(2)哪个组件导致敏感信息泄露,SQL注入?
(3)为了降低上述组件风险,安卓系统的permission检查机制可以控制一个应用APP拥有哪些执行权限?以常见的Activity为例。
<Permission
android:laber="允许打开webActivity页面权限"
android:name="com.littlejerk.sample.permission.WEB"
android:protectionLevel="signature"/>
其中protectionLevel="signature"表示受保护权限,除了上述signature以外还有哪两种保护等级?
(4)<(4)android:name="com.littlejerk.sample.permission.WEB"/>
完善上述权限申请。
【解说/吐槽】除了第一问是apk,其他啥也不会,没看过,(哭
引用网友一句话:如果不是这个专业的,如果真的不是必须,还是不要考信息安全工程师了,听劝,共勉!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...