深入解析:2025学年湖北省职业院校技能大赛 “信息安全管理与评估”赛项 样题卷(五)
2025学年湖北省职业院校技能大赛 “信息安全管理与评估”赛项 样题卷(五)
第二部分:网络安全事件响应、数字取证调查、应用程序安全任务书
任务 1:应急响应(能够培训有答案)
A 集团的应用服务器被黑客入侵,该服务器的 Web 应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队要求协助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现环境中的漏洞,并对发现的漏洞进行修复。
本任务素材:CentOS 服务器虚拟机。
攻击的 Server 服务器已整体打包成虚拟机文件保存,请自行导入分析
用户名:root
密码:nanyidian…
请按要求完成该部分的工作任务
| 任务描述 | 答案 |
|---|---|
| 1. 请提交网站管理员的用户名和密码 | |
| 2.攻击者通过应用后台修改了某文件获取了服务器权限,请提交该文件的文件名 | |
| 3.攻击者依据篡改文件后,可通过该网站官网进行任意未授权命令执行,请提交利用该木马执行 phpinfo 的payload,例如:/shell.php?cmd=phpinfo(); | |
| 4.攻击者进一步留下的免杀的 webshell 在网站中,请提交该 shell 的原文最简式,例如: <?php ...?> | |
| 5.请提交网站服务连接数据库采用的数据库账号和密码 |
任务 2:通信数据分析取证(40 分)
A 集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击(APT),并抓取了部分可疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,分解出隐藏的恶意程序,并分析恶意程序的行为。
本任务素材清单:捕获的通信数据文件。
请按要求完成该部分的工作任务。
| 序号 | 任务描述 | 答案 |
|---|---|---|
| 1 | 请提交攻击者上传文件所应用的协议 | |
| 2 | 请提交攻击者一共上传了几个文件 | |
| 3 | 提交攻击者上传的木马材料的 MD5 值 | |
| 4 | 攻击者获取主机权限之后,进行了回连操作,请提交回连的 IP 地址。 |
任务 3:基于Windows 计算机单机取证(120 分)
对给定取证镜像文件进行分析,搜寻证据关键字(线索关键字为“evidence 1”、“evidence 2”、……、“evidence 6”,有文本形式也有图片形式,不区分大小写),请提取和固定比赛要求的标的证据文件,并按样例的格式要求填写相关信息,证据档案在总文件数中所占比例不低于 15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中,您可能必须运用编码转换技术、加解密技术、隐写手艺、数据恢复技术,还需要熟悉常用的文件格式(如办公文档、压缩文档、图片等)。
任务素材清单:取证镜像文件。
请按要求完成该部分的工作任务。
| 证据编号 | 在取证镜像中的文件名 | 镜像中原文件 Hash 码(MD5,不区分大小写) |
|---|---|---|
| evidence 1 | ||
| evidence 2 | ||
| evidence 3 | ||
| evidence 4 | ||
| evidence 5 |
第三部分 应用程序安全
任务 4:C代码审计(40 分)
A集团发现其发布的web 应用程序中被黑客种植了 webshell,文件遭到非法篡改,您的团队需要协助 A 集团对该恶意脚本程序样本进行分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单:C文件。
请按要求完成该部分的工作任务。
| 序号 | 任务描述 | 答案 |
|---|---|---|
| 1 | 请提交存在安全漏洞的代码行 | |
| 2 | 请指出该代码行存在什么漏洞 | |
| 3 | 请修改该代码行使其变得安全 |
第三部分:网络安全渗透、理论技能与职业素养
任务一 :门户网站(60 分) 行培训
| 任务描述 | 答案 |
|---|---|
| 1.请对门户网站进行黑盒测试,利用漏洞找到 flag1,并将 flag1 提交。flag1格式 flag1{<flag 值>} | |
| 2 请对门户网站进行黑盒测试,利用漏洞找到 flag2,并将 flag2 提交。flag2格式 flag2{<flag 值>} |
任务二:办公系统(60 分)
| 任务描述 | 答案 |
|---|---|
| 3.请对办公平台进行黑盒测试,利用漏洞找到 flag1,并将 flag1 提交。flag1格式 flag1{<flag 值>}>} | |
| 4.请对办公架构进行黑盒测试,利用漏洞找到 flag2,并将 flag2 提交。flag2格式 flag2{<flag 值>}>} |
任务三:FTP 服务器(120 分)
| 任务描述 | 答案 |
|---|---|
| 5.请获取 FTP 服务器上 task5 目录下的文件进行分析,找出其中隐藏的flag,并将 flag 提交。flag 格式flag{<flag 值>} | |
| 6.请获取 FTP 服务器上 task6 目录下的文件进行分析,找出其中隐藏的flag,并将 flag 提交。flag 格式flag{<flag 值>} | |
| 7.请获取 FTP 服务器上 task7 目录下的文件进行分析,找出其中隐藏的flag,并将 flag 提交。flag 格式flag{<flag 值>} | |
| 8.请获取 FTP 服务器上 task8 目录下的文件进行分析,找出其中隐藏的flag,并将 flag 提交。flag 格式flag{<flag 值>} |
任务四.:存储系统服务器(30 分)
| 任务描述 | 答案 |
|---|---|
| 9.应用环境服务器 10000 端口存在漏洞,获取 FTP 服务器上 task9 目录下的文件进行分析,请利用漏洞找到flag,并将 flag 提交。flag 格式flag{<flag 值> |
任务五: 测试系统服务器(30 分)
| 任务描述 | 答案 |
|---|---|
| 10.测试系统服务器 10001 端口存在漏洞,获取 FTP 服务器上 task10 目录下的资料进行分析,请利用漏洞找到 flag,并将 flag 提交。flag 格式 flag{<flag值>} |
职业素养:
一、 单选题 (每题 2 分,共 35 题,共 70 分)
1、《中华人民共和国个人信息保护法》是为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定的法规,自( )起施行。
A、 2020 年 11 月 1 日
B、 2021 年 11 月 1 日
C、 2022 年 1 月 1 日
D、 2021 年 1 月 1 日
2、部署大中型 IPSEC VPN 时,从安全性和维护成本考虑,建议采取什么样的技术手段献出设备间的身份验证?( )
A、 预共享密钥
B、 数字证书
C、 路由协议验证
D、 802.1x
通过3、通过设置网络接口(网卡)的(),能够使其接受目的地址并不指向自己的网络数据包,从而达到网络嗅探攻击的目的?( )
A、 共享模式
B、 交换模式
C、 混杂模式
D、 随机模式
4、下面哪一项不是 hash 函数的等价提法?( )
A、 压缩信息函数
B、 哈希函数
C、 单向散列函数
D、 杂凑函数
( ) 。就是5、检查点能减少数据库完全恢复时所必须执行的日志,提高数据库恢复速度。下列有关检查点的说法,错误的
A、 检查点记录的内容包括建立检查点时正在执行的事务清单和这些事务最近一个日志记录的地址
B、 在检查点建立的同时,数据库管理系统会将当前素材缓冲区中的所有信息记录写入数据库中
C、 数据库管理员应定时手动建立检查点,保证数据库系统出现故障时可以快捷恢复数据库数据
D、 应用检查点进行恢复时需要从"重新开始文件"中找到终于一个检查点记录在日志记录中的地址
6、假如 VPN 网络需要运行动态路由协议并提供私网数据加密,通常采用什么技术手段实现?( )
A、 GRE
B、 GRE+IPSEC
C、 L2TP
D、 L2TP+IPSEC
?( )就是7、关于 TCP 协议的描述中,错误的
A、 提供全双工服务
B、 采用重发机制实现流量控制
C、 采用三次握手确保连接建立
D、 采用自适应方法确定重发前等待时间
8、部署 IPSEC VPN 网络时大家需要考虑 IP 地址的规划,尽量在分支节点使用能够聚合的 IP 地址段,其中每条加密 ACL 将消耗多少 IPSEC SA 资源( )。
A、 1 个
B、 2 个
C、 3 个
D、 4 个
9、m-序列本身是适宜的伪随机序列产生器,但只有在( )下,破译者才不能破解这个伪随机序列。
A、 唯密文攻击
B、 已知明文攻击
C、 选择明文攻击
D、 选择密文攻击
10、在强制存取控制机制中,当主体的许可证级别等于客体的密级时,主体可以对客体进行如下操作( )。
A、 读取
B、 写入
C、 不可操作
D、 读取、写入
( )。就是11、应急事件响应和恢复措施的目标
A、 保证信息安全
B、 最小化事件的影响
C、 找出事件的责任人
D、 加强组织内部的监管
12、外部数据包过滤路由器只能阻止一种类型的 IP 欺骗,即( ) ,而不能阻止 DNS 欺骗。
A、 内部主机伪装成外部主机的 IP
B、 内部主机伪装成内部主机的 IP
C、 外部主机伪装成外部主机的 IP
D、 外部主机伪装成内部主机的 IP
13、目标计算机与网关通信失败,更会导致通信重定向的攻击形式是?( )
A、 病毒
B、 木马
C、 DOS
D、 ARP 欺骗
14、假设明文为 abc,经恺撒密码-加密后,密文 bcd,则密钥为?( )
A、 1
B、 2
C、 3
D、 4
15、Burp suite 是用于攻击( )的集成平台。
A、 web 应用程序
B、 客户机
C、 服务器
D、 浏览器
16、下列有关数据库系统及相关内容的说法中,错误的是( ) 。
由计算机软硬件组成的复杂系统,其体系结构与环境硬件平台密切相关就是A、 数据库系统
B、 数据库管理系统提供了查询、插入、删除、更新等通用信息管理,但没有给出各种面向具体应用领域的业务处理
C、 数据库中的数据是按照一定的数据模型组织和存储的、可供多个用户共享的、具有最小冗余度的相关数据集合
D、 数据字典记录数据库系统运行时数据库操作情况的日志信息,通常由数据库管理员管理和维护
17、想知道发送到达目标网络要求经过那些路由器,你应该使用什么命令? ( )
A、 Ping
B、 Nslookup
C、 Traceroute
D、 Ipconfig
18、一个完整的密码体制,不包括以下( )要素。
A、 明文空间
B、 密文空间
C、 数字签名
D、 密钥空间
哪一项?( )就是19、下列不属于应用层安全协议的
A、 Secure shell
B、 超文本传输协议
C、 电子交易安全协议 SET
D、 SSL 协议
20、如果想在类中创建私有方法,下面哪个命名是正确的?( )
A、 _add_one
B、 add_one
C、 add_one
D、 add_one
21、当数据库系统出现故障时,可以通过数据库日志文件进行恢复。下列关于数据库日志文档的说法,错误的是( ) 。
A、 数据库出现事务故障和系统故障时需运用日志文件进行恢复
B、 使用动态转储机制时,必须采用日志记录才能将数据库恢复到一致状态
C、 在 OLTP 系统中,数据文件的空间使用量比日志档案大得多,使用日志备份允许降低数据库的备份空间
D、 日志文件的格式核心有以记录为单位的日志文件和以数据块为单位的日志文件两种
22、SYN Flood 属于?( )
A、 拒绝服务攻击
B、 缓存区溢出攻击
C、 操作系统漏洞攻击
D、 社会工程学攻击
23、Shell 编程条件判断中,说法错误的是?( )
A、 -b 判断文件是否存在,并且是否为块设备文件
B、 -c 判断文件是否存在,并且是否为字符设备文件
C、 -d 判断文件是否存在,并且是否为目录资料
D、 -e 判断档案是否存在,并且是否为普通文件
24、下列哪一项攻击防火墙不能发现而入侵检测系统能够发现?( )
A、 拒绝服务攻击
B、 端口扫描
C、 蠕虫病毒攻击
D、 局域网内非法登陆
25、下面不是保护数据库安全涉及到的任务是( )。
A、 确保数据不能被未经过授权的用户执行存取操作
B、 防止未经过授权的人员删除和修改数据
C、 向数据库系统开发商索要源代码,做代码级检查
D、 监视对资料的访问和更改等启用情况
26、在学校或单位假设发现自己的计算机感染了病毒,应首先采取什么措施( )。
A、 断开网络
B、 告知领导
C、 杀毒
D、 重启
27、ARP 欺骗的实质是?( )
A、 献出虚拟的 MAC 与 IP 地址的组合
B、 让其他计算机知道自己的存在
C、 窃取用户在网络中的传输的数据
D、 扰乱网络的正常运行
28、下列手段中不能用来进行 DNS 欺骗的是?( )
A、 缓存感染
B、 DNS 信息劫持
C、 DNS 重定向
D、 路由重定向
29、下列数据类型不属于静态数据提取的数据类型( )。
A、 系统日志
B、 环境进程
C、 网络数据包
D、 文件元数据
30、aspx 的网站配置文件一般存放在哪个文件里?( )
A、 conn.asp
B、 config.php
C、 web.config
D、 index.aspx
31、bind9 的日志默认保存在?( )
A、 /var/log/named.log
B、 /var/log/named/named.log
C、 /var/named/data/named.run
D、 /var/log/data/named.run
32、下列选项哪列不属于网络安全机制?( )
A、 加密机制
B、 材料签名机制
C、 解密机制
D、 认证机制
33、VIM 模式切换的说法中,正确的是?( )
A、 命令模式通过 i 命令进入输入模式
B、 输入模式通过:切换到末行模式
C、 命令模式通过 ESC 键进入末行模式
D、 末行模式依据 i 进入输入模式
( ) 。就是34、以下不属入侵检测中要收集的信息的
A、 系统和网络日志文件
B、 目录和文件的内容
C、 程序执行中不期望的行为
D、 物理形式的入侵信息
35、过滤所依据的信息来源不包括?( )
A、 IP 包头
B、 TCP 包头
C、 UDP 包头
D、 IGMP 包头
二、 多选题 (每题 3 分,共 10 题,共 30 分)
1、关于类的说法,下面哪些是错误的?( )
A、 私有方法和私有变量只能在类的内部使用
B、 一个类只能创建一个实例
C、 两个不同的类中的办法不能重名
D、 创建类的实例时,传入的变量类型要和类中定义的一致
2、Bash 编程中,常见的循环有?( )
A、 foreach
B、 while
C、 for
D、 until
3、以下 Linux 命令中,跟用户与用户组管理相关的命令有哪些?( )
A、 usermod
B、 mkdir
C、 groupdel
D、 useradd
4、VPN 组网中常用的站点到站点接入方式是( )。
A、 L2TP
B、 IPSEC
C、 GRE+IPSEC
D、 L2TP+IPSEC
5、下面标准可用于评估数据库的安全级别的有( )。
A、 TCSEC
B、 IFTSEC
C、 CC DBMS.PP
D、 GB17859-1999E.TD
6、在应急响应流程中,以下( )方法适合收集信息。
A、 监控系统
B、 系统日志分析
C、 询问用户
D、 随机抽样调查
7、关于函数中变量的定义,哪些说法是正确的?( )
A、 即使函数外已经定义了该变量,函数内部仍然可能定义
B、 如果一个函数已经定义了 name 变量,那么其他的函数就不能再定义
C、 函数可以直接引用函数外部定义过的变量
D、 函数内部只能定义一个变量
8、操作系统安全主要包括( )等方面 。
A、 账户密码安全和文件共享安全
B、 文件权限管理和用户权限管理
C、 日志审计和远程访问权限管理
D、 文件夹选项和安全选项
9、IKE 的首要能力包括( )。
A、 建立 IPSec 安全联盟
B、 防御重放攻击
C、 数据源验证
D、 自动协商交换密钥
10、防火墙的主要技术有哪些?( )
A、 容易包过滤技术
B、 状态检测包过滤技巧
C、 应用代理技能
D、 复合技能
浙公网安备 33010602011771号