问答题

在客户服务器通信模型中,客户端需要每隔一定时间向服务器发送数据包,以确定服务器是否掉线,服务器也能以此判断客户端是否存活,这种每隔固定时间发一次的数据包也称为心跳包。心跳包的内容没有什么特别的规定,一般都是很小的包。
某系统采用的请求和应答两种类型的心跳包格式如图所示。

心跳包类型占1个字节,主要是请求和响应两种类型;
心跳包数据长度字段占2个字节,表示后续数据或者负载的长度。
接收端收到该心跳包后的处理函数是process_heartbeat(),其中参数p指向心跳包的报文数据,s是对应客户端的socket网络通信套接字。

模糊测试(Fuzzing)是一种非常重要的信息系统安全测评方法,它是一种基于缺陷注入的自动化测试技术。请问模糊测试属于黑盒测试还是白盒测试?其测试结果是否存在误报?
参考答案:属于黑盒测试;不存在误报。

延伸阅读

你可能感兴趣的试题

1.问答题

在客户服务器通信模型中,客户端需要每隔一定时间向服务器发送数据包,以确定服务器是否掉线,服务器也能以此判断客户端是否存活,这种每隔固定时间发一次的数据包也称为心跳包。心跳包的内容没有什么特别的规定,一般都是很小的包。
某系统采用的请求和应答两种类型的心跳包格式如图所示。

心跳包类型占1个字节,主要是请求和响应两种类型;
心跳包数据长度字段占2个字节,表示后续数据或者负载的长度。
接收端收到该心跳包后的处理函数是process_heartbeat(),其中参数p指向心跳包的报文数据,s是对应客户端的socket网络通信套接字。

(1)上述接收代码存在什么样的安全漏洞?
(2)该漏洞的危害是什么?
参考答案:

“心脏出血”漏洞;
会造成有用数据的泄露。

2.问答题

在客户服务器通信模型中,客户端需要每隔一定时间向服务器发送数据包,以确定服务器是否掉线,服务器也能以此判断客户端是否存活,这种每隔固定时间发一次的数据包也称为心跳包。心跳包的内容没有什么特别的规定,一般都是很小的包。
某系统采用的请求和应答两种类型的心跳包格式如图所示。

心跳包类型占1个字节,主要是请求和响应两种类型;
心跳包数据长度字段占2个字节,表示后续数据或者负载的长度。
接收端收到该心跳包后的处理函数是process_heartbeat(),其中参数p指向心跳包的报文数据,s是对应客户端的socket网络通信套接字。

(1)心跳包数据长度字段的最大取值是多少?
(2)心跳包中的数据长度字段给出的长度值是否必须和后续的数据字段的实际长度一致?
参考答案:

(1)心跳包数据长度的最大取值为65535。
(2)必须是一致的。

3.问答题在Linux系统中,用户账号是用户的身份标志,它由用户名和用户口令组成。Linux系统中用户名文件和口令字文件的默认访问权限分别是什么?
参考答案:

用户名文件默认访问权限为rw-r--r--;口令字文件的默认访问权限为r--------。

4.问答题在Linux系统中,用户账号是用户的身份标志,它由用户名和用户口令组成。

Linux系统的用户名文件通常包含如下形式的内容:root:x:0:0:root:root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
hujw:x:500:500:hujianwei:/home/hujw:/bin/bash
文件中的一行记录对应着一个用户,每行记录用冒号(:)分隔为7个字段,请问第1个冒号(第二列)和第二个冒号(第三列)的含义是什么?上述用户名文件中,第三列的数字分别代表什么含义?
参考答案:第一个冒号的第二列代表口令;第二个冒号的第三列代表用户标识号。
root用户id为0;bin用户id为1;hu...
点击查看完整答案
5.问答题在Linux系统中,用户账号是用户的身份标志,它由用户名和用户口令组成。Linux系统将用户名和口令分别保存在哪些文件中?
参考答案:

用户名是存放在/etc/passwd文件中,口令是以加密的形式存放在/etc/shadow文件中。

6.问答题

密码学的基本目标是在有攻击者存在的环境下,保证通信双方(A和B)之间能够使用不安全的通信信道实现安全通信。密码技术能够实现信息的保密性、完整性、可用性和不可否认性等安全目标。一种实用的保密通
信模型往往涉及对称加密、公钥密码、Hash函数、数字签名等多种密码技术。
在以下描述中,M表示消息,H表示Hash函数,E表示加密算法,D表示解密算法,K表示密钥,SKA表示A的私钥,PKA表示A的公钥,SKB表示B的私钥,PKB表示B的公钥,||表示连接操作。

为了在传输过程中能够保障信息的保密性、完整性和不可否认性,设计了一个安全通信模型结构如图所示:

请问图中(1),(2)分别应该填什么内容?
参考答案:

(1)Ek[M||SKA(H(M))]
(2)PKA

7.问答题

密码学的基本目标是在有攻击者存在的环境下,保证通信双方(A和B)之间能够使用不安全的通信信道实现安全通信。密码技术能够实现信息的保密性、完整性、可用性和不可否认性等安全目标。一种实用的保密通
信模型往往涉及对称加密、公钥密码、Hash函数、数字签名等多种密码技术。
在以下描述中,M表示消息,H表示Hash函数,E表示加密算法,D表示解密算法,K表示密钥,SKA表示A的私钥,PKA表示A的公钥,SKB表示B的私钥,PKB表示B的公钥,||表示连接操作。

图给出了另一种保密通信的基本过程:

请问图设计的保密通信模型能实现信息安全的哪些特性?
参考答案:

能实现保密性和完整性。

8.问答题

密码学的基本目标是在有攻击者存在的环境下,保证通信双方(A和B)之间能够使用不安全的通信信道实现安全通信。密码技术能够实现信息的保密性、完整性、可用性和不可否认性等安全目标。一种实用的保密通
信模型往往涉及对称加密、公钥密码、Hash函数、数字签名等多种密码技术。
在以下描述中,M表示消息,H表示Hash函数,E表示加密算法,D表示解密算法,K表示密钥,SKA表示A的私钥,PKA表示A的公钥,SKB表示B的私钥,PKB表示B的公钥,||表示连接操作。

用户AB双方采用的保密通信的基本过程如图所示。

请问图所设计的保密通信模型能实现信息的哪些安全日标?图中的用户A侧的H和E能否互换计算顺序?如果不能互换请说明原因:如果能互换请说明对安全目标的影响。
参考答案:

实现完整性。
可以互换计算顺序,通过互换同样也可达到以上安全目标。

9.问答题

恶意代码是指为达到恶意目的专门设计的程序或者代码。常见的恶意代码类型有特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。
2017年5月,勒索软件WanaCry席卷全球,国内大量高校及企事业单位的计算机被攻击,文件及数据被加密后
无法使用,系统或服务无法正常运行,损失巨大。

由于此次勒索软件需要利用系统的SMB服务漏洞(端口号445)进行传播,我们可以配置防火墙过滤规则来阻
止勒索软件的攻击,请填写表中的空(1)-(5),使该过滤规则完整。
注:假设本机IP地址为:1.2.3.4,”*”表示通配符。
参考答案:

(1)*
(2)>1024
(3)445
(4)SMB
(5)0

10.问答题

恶意代码是指为达到恶意目的专门设计的程序或者代码。常见的恶意代码类型有特洛伊木马、蠕虫、病毒、后门、Rootkit、僵尸程序、广告软件。
2017年5月,勒索软件WanaCry席卷全球,国内大量高校及企事业单位的计算机被攻击,文件及数据被加密后
无法使用,系统或服务无法正常运行,损失巨大。

恶意代码具有的共同特征是什么?
参考答案:

恶意代码具有如下共同特征:(1)恶意的目的(2)本身是计算机程序(3)通过执行发生作用。

热门相关试卷

2016年下半年全国计算机技术与软件专业技术资格(水平)考试信息安全工程师上午试卷及答案解析

类型:历年真题

2016年下半年全国计算机技术与软件专业技术资格(水平)考试信息安全工程师下午试卷I及答案

类型:历年真题

2017年上半年全国计算机技术与软件专业技术资格(水平)考试信息安全工程师上午试卷及答案

类型:历年真题

2017年上半年全国计算机技术与软件专业技术资格(水平)考试信息安全工程师下午试卷I及答案

类型:历年真题

2018年上半年全国计算机技术与软件专业技术资格(水平)考试信息安全工程师上午试卷及答案解析

类型:历年真题

2018年上半年全国计算机技术与软件专业技术资格(水平)考试信息安全工程师下午试卷I及答案

类型:历年真题
相关最新试卷

最新相关试卷

2018年上半年全国计算机技术与软件专业技术资格(水平)考试信息安全工程师下午试卷I及答案

类型:历年真题

2018年上半年全国计算机技术与软件专业技术资格(水平)考试信息安全工程师上午试卷及答案解析

类型:历年真题

2017年上半年全国计算机技术与软件专业技术资格(水平)考试信息安全工程师下午试卷I及答案

类型:历年真题

2017年上半年全国计算机技术与软件专业技术资格(水平)考试信息安全工程师上午试卷及答案

类型:历年真题

2016年下半年全国计算机技术与软件专业技术资格(水平)考试信息安全工程师下午试卷I及答案

类型:历年真题

2016年下半年全国计算机技术与软件专业技术资格(水平)考试信息安全工程师上午试卷及答案解析

类型:历年真题