计算机网络安全知识竞赛试题

首先，我不急于回答你的问题
你先自己检查一下自己所说的话语中有没有错误，软件测试最关键在于是细心，认真。
其次，你的问题
1．你们是怎样进行回归测试的，一般进行几轮，具体说一下？
2．你们一个项目总工要写多少用例？
3．你知道一个项目代码有多大？
4．你们公司的测试流程？
5．在测试之前，你们干什么？
6．测试计划中，你们项目经理是依据什么给你们分配任务的？
7．你们的测试数据主要来自哪？
8．测试过程中与开发因为BUG发生冲突，你们公司怎样解决？
9．具体讲一下容量测试，强度测试，负载测试的区别？
10．你们公司是怎样进行评审的？
11．你写的项目时间是整个项目从开始到结束的时间，还是只是测试时间？
12．开发在做项目的时候，测试在干嘛？
1、 一般就是先进行冒烟测试，首先确定这些被测试的软件能够运行，然后进行第一轮的测试，测出来问题之后经过项目经理签字确认然后发给每个程序员进行修改，确认回归测试的日期，回归测试时主要测试修改过的部分，同时兼顾不能引发其他方面的问题。一般情况第一轮回归测试完成之后不再出现问题，但是实际过程中会出现第二轮回归测试，如果出现第三轮回归测试，我们将提交问题到质量问题报告中。
2、 测试用例的多少主要要根据项目的大小而定，项目比较大，业务比较复杂的测试用例相对比较多，相反，项目比较小，业务比较简单的测试用例相对比较少一些。不是测试用例多就好，而是测试用例复用性好就说明测试用例选择的好。
3、 根据项目而定。
团队规模
周期长短 10人以上 5人-10人 3-5人 3人以下
6个月以上 一类 一类 二类 三类
2个月－6个月 一类 二类 三类 四类
2个月以下 二类 三类 三类 四类
4、 测试流程：
按照测试计划，项目经理提交测试文档和代码或者可执行文件-测试经理按照测试计划布置测试任务-首先测试工程师进行冒烟测试冒烟测试通过之后进入功能测试-发现bug之后记录bug，并对bug进行管理-一轮测试完毕之后提交项目经理确认-项目经理确认之后进行修改任务分派-程序员进行修改-修改完成之后提交给项目经理确认-之后提交给测试组进行回归测试，如果没有问题测试结束，如果出现问题-重复上面的工作进行第二轮测试。
5、 按要求，在测试之前，开发计划编制完成之后编制测试计划，需求阶段我们应该做系统测试方案和系统测试用例，在设计阶段我们应该编制集成测试方案和集成测试用例，在编码阶段，我们应该编制单元测试方案和单元测试用例。但是实际生活中，我们只编制系统测试计划和系统测试用例。
6、 测试经理给我们分配的任务应该是按照项目开发计划和每一位测试人员的水平及技术特长而定的。
7、 测试数据一般来自于用户需求、概要、详细、数据库设计文档、测试用例或用户实际数据。
8、 依据需求，通过沟通来解决问题，如果需求中不明确则参考设计并听取分析员的意见。
9、 负载测试是一种性能测试，指数据在超负荷环境中运行，程序是否能够承担，响应时间是多少，测试的结果和时间有关系，比如速率、响应时间。
强度测试：在一定的负载条件下，在较长时间跨度内的系统连续运行给系统性能所造成的影响，测试的结果看硬件是否满负荷，比如内存溢出等。
容量测试：确定系统可处理同时在线的最大用户数，测试的结果主要是针对数据库里的数据。
10、 在开发计划、用户需求、需求分析规格说明书、概要设计、详细设计、数据库设计等文档完成之后都要进行评审，这里的评审一般都是同行评审。一般都是以正式会议的形式进行。
11、 项目时间一般是指从项目立项到客户验收汇款这一段时间。不包括维护阶段。
12、 开发做分析设计及编码的时候测试在写测试用例，准备测试数据。
最后，告诉你，我不是做软件测试的，但是希望我所知道的这些能给予你帮助，我还有一份测试文档，不知能否帮助你，需要的话请找我。
希望你能成为这方面的人才专家！

23 (中等)防范特洛伊木马软件进入学校网络最好的选择是( )

A、 部署击键监控程序

B、 部署病毒扫描应用软件

C、 部署状态检测防火墙

D、 部署调试器应用程序

24 (中等)下面选项属于社会工程学攻击选项的是( )

A、 逻辑炸d

B、 木马

C、 包重放

D、 网络钓鱼

25 (容易)没有自拍，也没有视频聊天，但电脑摄像头的灯总是亮着，这是什么原因( )

A、 可能中了木马，正在被黑客偷窥

B、 电脑坏了

C、 本来就该亮着

D、 摄像头坏了

26 (容易)文件型病毒传染的对象主要是____

A、 DOE和EXE

B、 DBF

C、 WPS

D、 EXE和DOC

27 (容易)电脑安装多款安全软件会有什么危害()

A、 可能大量消耗系统资源，相互之间产生冲突

B、 不影响电脑运行速度

C、 影响电脑的正常运行

D、 更加放心的使用电脑

28 (容易)有一种网站，只要打开它，电脑就有可能感染木马病毒。这种网站的专业名称是什么

A、 钓鱼网站

B、 挂马网站

C、 游戏网站

D、 门户网站

29 (容易)如果你家里的电话或者手机只响一声就挂了，最佳的处理方式是

A、 立刻报警，一定是诈骗电话

B、 “响一声”电话多数为吸费电话，如果是陌生号码，就不要理睬

C、 立刻报警，一定是诈骗电话

D、 不管是谁，拨回去把对方大骂一顿

30 (困难)以下哪一项是DOS攻击的一个实例

A、 SQL注入

B、 IP 地址欺骗

C、 Smurf攻击

D、 字典破解

31 (困难)以下哪一项是在兼顾可用性的基础上，防范SQL注入攻击最有效的手段：

A、 删除存在注入点的网页

B、 对数据库系统的管理

C、 对权限进行严格的控制，对web用户输入的数据进行严格的过滤

D、 通过网络防火墙严格限制Internet用户对web服务器的访问

32 (中等)下列哪个漏洞不是由于未对输入做过滤造成的

A、 DOS攻击

B、 SQL注入

C、 日志注入

D、 命令行注入

33 (中等)POP服务器使用的端口号是____。

A、 tcp端口25

B、 tcp端口110

C、 tcp端口143

D、 tcp端口23

34 (中等)下列哪个选项是不能执行木马脚本的后缀()

A、 asp

B、 php

C、 cer

D、 htm

35 (困难)ASP木马不具有的功能是____。

A、 上传功能

B、 远程溢出提权功能

C、 下载功能

D、 浏览目录功能

36 (困难)命令注入的危害不包括下列哪项

A、 获取服务器信息

B、 构造一句话木马

C、 当前用户cookie

D、 更改网站主页

37 (中等)以下哪项不属于防止口令被猜测的措施

A、 严格限定从一个给定的终端进行认证的次数

B、 确保口令不在终端上再现

C、 防止用户使用太短的口令

D、 使用机器产生的口令

38 (容易)如果某天你在Windows系统下观察到，U盘中多出了一个原来并不存在的“回收站”图标或文件夹，则最可能的原因是：

A、 U盘损坏

B、 感染了病毒

C、 磁盘碎片所致

D、 U盘中有垃圾文件没有彻底清理

39 (困难)利用FTP进行文件传输时的主要安全问题存在于：

A、 匿名登录不需要密码

B、 破坏程序能够在客户端运行

C、 破坏程序能够在服务器端运行

D、 登录的用户名和密码会明文传输到服务器端

40 (中等)域名服务系统(DNS)的功能是：

A、 完成域名和IP地址之间的转换

B、 完成域名和网卡地址之间的转换

C、 完成主机名和IP地址之间的转换

D、 完成域名和电子邮件地址之间的转换

41 (容易)小李既属于“一般用户”组，又属于“高级用户”组，现要访问“工作文档”目录，已知“一般用户”组对于此文件夹的 *** 作权限是“只读”，“高级用户”组对此文件夹的 *** 作权限是“可写”，那么小李现在可对“工作文档”目录进行什么 *** 作

A、 仅可读

B、 仅可写

C、 既可读又可写

D、 权限冲突，无法做任何 *** 作

42 (中等)王先生近期收到了一封电子邮件，发件人显示是某同事，但该邮件十分可疑，没有任何与工作相关内容，邮件中带有一个陌生的网站链接，要求他访问并使用真实姓名注册，这可能属于哪种攻击手段( )

A、 缓冲区溢出攻击

B、 钓鱼攻击

C、 水坑攻击

D、 DDOS攻击

43 (容易)网络安全领域，通常用于建立______之间的安全访问通道。

A、 总部与分支机构、与合作伙伴、与移动办公用户、远程用户;

B、 客户与客户、与合作伙伴、远程用户;

C、 同一个局域网用户;

D、 仅限于家庭成员;

44 (容易)驻留在网页上的恶意代码通常利用( )来实现植入并进行攻击。

A、 口令攻击

B、 U盘工具

C、 浏览器软件的漏洞

D、 拒绝服务攻击

45 (中等)用户暂时离开时，锁定Windows系统以免其他人非法使用。锁定系统的快捷方式为同时按住( ) 。

A、 WIN键和Z键

B、 F1键和L键

C、 WIN键和L键

D、 F1键和Z键

46 (容易)要安全浏览网页，不应该( )。

A、 在公用计算机上使用“自动登录”和“记住密码”功能

B、 禁止开启ActiveX控件和Java脚本

C、 定期清理浏览器Cookies

D、 定期清理浏览器缓存和上网历史记录

这道面试题是开放的。熟悉的情境，很容易给出一个回答。但随着被面试者思维方式、知识领域及深度的不同，回答可能大相径庭。

在接着往下阅读时，你可以先想想自己的答案。

没理解题目的回答：

还算正常的回答：

电子工程师的回答：

网络工程师的回答：

……

你可能有更精彩的回答……

本实验室将采用可 *** 作的、尽可能精确的实验作为回答。

题目并没有说两台电脑是和时间服务器同步的，所以目的只是测量两台电脑之间的系统时间是否一致。

用date命令（高精度选项）直接看一下两台主机的系统时间。本地的；远程的；本地的；远程的：

显然，host2的时间读数更大一些。但这究竟是host2的时钟快了，还是ssh调用所花的时间导致的呢？现在还不好说。

假设这个时间差异是T1:

T1 = Diff + RTT12

其中，Diff 是两台电脑真实的时间差异，RTT12是host1到host2数据往返所花的时间（严格来说是ssh调用所花的时间）。

反方向做同样的测试：

host1与host2的时间差异设为T2，则：

T2 = -Diff + RTT21

简单地认为两个方向的往返时间是相等的，于是有：

Diff = (T1 – T2)/2
RTT = (T1 + T2)/2

估算一下：

上面的单位都是ns 也就是说时间差异是163~171ms, ssh路途往返耗费728ms

这个结果可信吗？于是写了一段脚本，把这个测试过程自动化，观察一段时间的结果。

下图是每秒测量一次，1个小时的测量数据。为了在对数坐标下显示，时间差异用绝对值。

说明：

在没有时间同步的情况下，观察2组/3台主机：A, B, S的时间差异。

A, B, S实际上是在ESXi上的3台虚拟机。虚拟机的时钟可能和硬件实钟会有某种同步策略，所以看到的并不是单方向的变化。

在A,B,S上都开启NTP服务，时间服务器使用Debian Linux默认的NTP server (xdebianpoolntporg)。

因为幅度悬殊的原因，实际上使用中位数更有意义。可以看到A-S或B-S的时钟差异在30~50ms

在A,B,S上都开启NTP服务，其中A,B与本地的S同步，但S还是与远程NTP server同步。

可以看到A-S或B-S的时钟差异在3ms左右，一致性比远程NTP同步高了一个数量级。

在A,B,S上都开启NTP服务，其中A,B与S同步，但S直接使用本地时钟，配置为：

server 12712710 prefer

结果有点出乎意料，时间不一致接近60ms。

由于通常的 *** 作系统是非实时 *** 作系统，同样的指令占用的执行时间并不是固定的。做一个简单的实验，看看这个因素对测量会有多大影响。

下图给出了在两台机器上，读取系统时间（gettimeofday）这一调用所花的时间（各运行500000次）

可以看出9997%的执行都在1us及以下。这说明分时执行对统计结果的影响很小。

当然，整个ssh调用耗时的波动范围更大一些（RTT的统计值上可以反映出来）。

用ssh调用读取另一台机器上的系统时间，和本地时间比较，并利用双向ssh调用抵消调用所花的时间，从而可以较准确计算出两台主机上的系统时间差。

虽然在分时 *** 作系统上不能保证执行时间的固定，但通过统计可以逼近结果。由于ssh调用所花的时间在06ms以下，所以测量的精度至少是1ms级的。

另外，如果用非加密的web调用，或者自己实现远程调用，应该会有更高的效率，可能会对测量精度略有提高。

利用这一测量，可以观察NTP的同步效果。如果和远程NTP服务器同步，时钟的一致性实测在50ms以内；如果和本地NTP服务器同步，时钟的一致性在3ms左右；但如果本地NTP服务器使用本地时钟，一致性会下降很多（60ms左右）。

由于硬件/虚拟机时钟的波动、网络的波动、NTP的精度，都导致这种一致性总是处于波动之中。总体上，在局域网内，使用NTP同步，能达到毫秒级的一致性就不错了。

1你们公司的接口测试流程是？
接口测试我们是在xx项目做的，主要有xx接口，xx接口等
1首先是从开发那里拿到API接口文档，了解接口业务、包括接口地址、接口方式、入参、出参、token鉴权，返回格式等信息。
2然后使用postman或jmeter工具执行接口测试，一般使用Jmeter的步骤是这样的：
3最后调试并执行用力，最后编写接口测试报告。
4其实我们做接口的时候也碰到过很多的问题，都是自己独立解决的，比如返回值乱码（修改jmeter的配置文件为UTF-8编码方式），比如需要登陆后才能取得token鉴权编码并且这个鉴权码在下面的请求中需要用到（使用正则表达式提取器提取token的值等等。
2简述cookie、session及token的区别
1cookie数据存放在客户的浏览器上，session数据放在服务器上。而token是接口数据的鉴权码，一般情况下登录后才可以获取到token，然后在每次请求接口时需要带上token参数。
2cookie不是很安全，别人可以分析存放在本地的cookie并进行cookie欺骗，考虑到安全应到使用seesion，seesion会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能，考虑到减轻服务器性能方面应当使用cookie。
3可以将登录信息等重要信息存放为session；其他信息需要保存，可以放在coolie。
3对于加密接口，如何进行测试？
在调用接口的时候，要搞清楚接口的加密方式是什么。
如果是对称加密，要先从开发哪里获取对称密钥，基于对称密钥可以加密请求数据，以及解密响应报文。
如果是非对称加密，先从开发获取服务器公钥和私钥，也要知道当前用户的公钥和私钥信息。以便完成接口的数据加密和解密。
4接口测试执行中比对数据库吗？
肯定，因为接口返回值的数据来源于数据库，接口对数据的 *** 作还要进行深层次的数据库检查！
5如何分析一个bug是前端还是后端
这种情况很容易判断，先抓包看请求报文，对着接口文档，看请求报文有没有问题，有问题就是前端发的数据不对；
请求报文没问题，那就看返回报文，返回的数据不对那就是后端开发的问题。
6谈谈你对>1、运算器和控制器属于计算机的（C ） A、外部设备B、内存C、CPUD、系统软件2、数据传输速率是Modem的重要技术指标，单位为（ A ）A、b/sB、Bytes/SC、KB/SD、MB/S3、计算机的核心部分是（ C ）A、 *** 作系统B、硬盘XC、CPUD、内存4、Intranet采用的协议为（ A）A、TCP/IPB、PX/SPXC、SET/SSLD、X255、显示器和打印机属于计算机系统中的（ C ）A、辅助存储器B、输入设备C、输出设备D、软件系统6、（ D）是随机存取存储器。A、CPUB、内存C、ROMD、RAM7、按照计算机软件系统的分类，SQL2000属于（D ）A、通用软件B、 *** 作系统C、语言处理系统D、数据库管理系统8、（ B）的实际名称叫非易失随机访问存储器（NVRAM），特点是断电后数据不消失，因此可以作为外部存储器使用。A、闪存B、内存C、ROMD、硬盘9、大多数局域网采用以中央结点为中心与各结点连接的方式，按拓扑结构分，这属于（ B ）结构。A、环型B、星型C、总线型D、多边型10、一条实际的传输介质，如双绞线可包含（ D ）信道。A、1个B、2个C、3个D、多个1 (多选) （B ）和（C ）统称为外部设备。P1
A．存储器 B．外存储器 C．输入输出设备 D．外围设备
2 (多选) 微型计算机的主要组成部分有（ ABC）和其它外围设备等。P1
A．存储器 B．输入输出设备 C．CPU D．扫描仪
3 (单选) （C）是指组成计算机的任何机械的、磁性的、电子的装置或部件。 P1
A．计算机软件 B．计算机软件系统 C．计算机硬件 D．计算机硬件系统
5 (多选) 不论大型计算机、小型计算机还是微型计算机，都是由（ A）和（B ）两大部分组成。 P1
A．计算机硬件系统 B．计算机软件系统 C．计算机系统 D．计算机辅助工具
6 (多选) 微型计算机的内存根据其工作方式的不同，可分为（A ）和（ D） P3
A．RAM B．DVD C．CD-ROM D．ROM
7 (单选) CPU的主要技术指标之一是主频，主频越（B ），表明CPU的运算速度越快，当然性能也越好。 P2
A．低 B．高 C．中等 D．一般
8 (单选) （B ）的主要功能是完成对数据的算术运算、逻辑运算和逻辑判断等 *** 作。 P2
A．控制器 B．运算器 C．计算器 D．存储器
9 (多选) 中央处理器称为CPU，它主要由（ C）和（ A）组成，是计算机的核心部件。P1
A．控制器 B．计算器 C．运算器 D．调制解调器
10 (多选) 文字处理软件按功能分，大致有以下几大类（ BAC）。 P8
A．具有较完备功能的文字处理软件 B．简单的文本编辑程序
C．专业印刷排版系统 D．表格处理软件
11 (多选) 根据开发方式和适用范围，应用软件又可分为（B ）和（C）。 P8
A．文字处理软件 B．通用应用软件 C．定制应用软件 D．管理系统软件
12 (单选) 在整个计算机系统中，( C)具有特殊的地位，它能对计算机的硬件、软件资源和数据资源进行有效的管理。 P7
A．语言处理系统 B．数据库管理系统 C． *** 作系统 D．常用服务程序
13 (单选) （ B）包括 *** 作系统、语言处理系统、数据库管理系统和常用服务程序等。 P7
A．应用软件 B．系统软件 C．定制软件 D．辅助开发软件
14 (单选) 在Internet上所有主机都有一个”名字－地址”及”地址－名字”的映射，完成这一映射的系统叫做域名系统。那么，完成”名字－地址”映射的过程叫（ D）。 P16
A．反向解析 B．逆向解析 C．顺向解析 D．正向解析
15 (单选) 每个IP地址由网络地址和 ( B)两部分组成。 P15
A．服务器地址 B．主机地址 C．客户机地址 D．域名地址
16 (单选) 局域网作用范围小，分布在一个房间、一个建筑物或一个企事业单位。地理范围在10m～1km。传输速率在（ C）以上。P10
A．15Mbps B．2Mbps C．1Mbps D．10Mbps
17 (多选) 决定局域网 特性的主要技术要素有：（ABC ）。 P12
A．网络拓扑 B．传输介质 C．介质访问控制方法 D．局域网传输协议
18 (多选) 计算机网络按分布距离可分为（ACD ）。P10
A．局域网 B．互联网 C．广域网 D．城域网
19 (多选) 常用的数据交换技术有：（ABD ）。P20
A．线路交换 B．报文交换 C．端到端交换 D．分组交换
20 (单选) 数据通信系统是指以计算机为中心，用通信线路与数据终端设备连接起来，执行（ A）的系统。P16
A．数据通信 B．线路通信 C．单工通信 D．双工通信
21 (单选) （C ）是将组成字符的各个比特按顺序逐位地在信道上传输。 P18
A．并行传输 B．基带传输 C．串行传输 D．频带传输
22 (多选) 通信的目的是信息传输。那么，通信的三要素是（ ABC）。 P16
A．信源 B．载体 C．信宿 D． 信道

二、测试用例是为特定目标开发的测试输入、执行条件和预期结果的集合。
登录：用户名长度为6至10位（含6位和10位）
用户名由字符（a-z、A-Z）和数字（0-9）组成
不能为空、空格和特殊字符
密码规则同用户名规则
简单分析一下测试用例
功能测试
1、用户能不能登录，就是用户名密码正确时能不能登录
2、登录成功/不成功时有没有提示或页面跳转是否正确
3、用户名或密码输入错误时能不能给出相应提示
性能测试
大量用户并发 *** 作时，系统是否仍能满足用户要求

---