发布时间:2026/7/3 2:00:39
数据库与中间件使用及安全基础 20 道选填练习题
一、单选题12 道1 下列哪一项属于 Tomcat 管理控制台 IP 限制核查对应的配置文件A tomcat-users.xmlB manager/META-INF/context.xmlC server.xmlD web.xml答案B解析管理后台 IP 白名单 RemoteAddrValve 配置存放于 webapps/manager/META-INF/context.xmltomcat-users.xml 用于账号密码配置server.xml 用于端口、日志、AJP、HTTPS 全局配置。2 Tomcat 高危漏洞 Ghostcat 对应的漏洞编号是A CVE-2020-1938B CVE-2021-41773C CVE-2017-12615D CVE-2019-0232答案A解析文档明确标注 AJP 协议漏洞 Ghostcat 编号为 CVE-2020-1938该漏洞可读取服务器任意文件。3 等保合规要求审计日志最低留存时长为A 30 天B 90 天C 180 天D 365 天答案C解析统一基线要求日志留存不少于 180 天6 个月满足等保安全事件追溯审计要求。4 MySQL 8.0 推荐使用的高安全身份认证插件是A mysql_native_passwordB caching_sha2_passwordC sha1_passwordD md5_password答案B解析加固规范要求 default_authentication_plugincaching_sha2_password废弃老旧低安全的 mysql_native_password 插件。5 Tomcat 中用于存放管理员账号、密码、角色配置的文件是A server.xmlB context.xmlC tomcat-users.xmlD catalina.properties答案C解析tomcat-users.xml 为身份鉴别核心配置文件用于定义后台登录账号、密码、管理角色。6 等保标准中企业级密码最小长度基线为A 8 位B 10 位C 14 位D 16 位答案C解析基础密码长度最低 8 位等保合规企业落地强制要求密码长度≥14 位且包含至少三类字符。7 抵御 MySQL 暴力破解登录失败阈值建议设置为多少次A 3 次B 5 次C 10 次D 15 次答案B解析加固规范配置连续登录失败阈值为 5 次失败后触发 1000ms 连接延迟阻断爆破工具批量尝试。8 Tomcat 关闭 AJP 协议的正确配置方式为A 修改 port8080B 注释 AJP 连接器或设置 port-1C 删除 server.xml 文件D 修改 shutdown 端口为 8009答案B解析AJP 默认端口 8009业务不使用时注释对应 Connector 标签或设置 port-1 永久禁用端口消除 Ghostcat 漏洞风险。9 MySQL 防止本地文件注入攻击需要关闭哪项参数A skip-name-resolveB local_infileC max_connectionsD general_log答案B解析local_infileOFF 可禁用 load data 读取本地文件的能力防御本地文件读取类注入漏洞。10 Tomcat 隐藏服务版本信息需要在 Connector 中增加哪项参数A hiddentrueB serverUnknownC versionnoneD maskyes答案B解析在 server.xml 的 HTTP 连接器添加 serverUnknown响应头不再返回 Tomcat 版本标识避免针对性漏洞扫描。11 MySQL 强制 SSL 加密传输的配置参数为A have_sslONB require_secure_transportONC sslenableD tls_force1答案B解析require_secure_transportON 会拦截所有明文连接强制客户端使用 SSL/TLS 加密链路访问数据库。12 Tomcat 访问日志权限合规配置值为A 600B 640C 750D 777答案B解析日志文件权限设置 640仅属主可读写、属组只读其他用户无任何访问权限防止审计日志被篡改泄露。二、多选题4 道13 Tomcat 全量访问日志 Pattern 必须包含的审计字段有A % h 客户端源 IPB % t 访问时间C % u 登录用户D % r 请求内容E % s 响应状态码答案ABCDE解析等保审计要求日志完整记录源 IP、时间、操作用户、请求报文、响应状态用于事后攻击行为追溯。14 MySQL 安全审计需要开启的日志类型包含A general_log 通用全量操作日志B slow_query_log 慢查询日志C error_log 错误日志D binary_log 二进制日志答案AB解析加固规范明确开启 general_log 记录所有操作行为slow_query_log 捕获耗时过长的风险 SQL满足等保审计要求。15 Tomcat 目录与传输安全管控包含哪些措施A 配置 listingsfalse 关闭目录浏览B 删除 docs、examples 示例文件夹C 启用 TLS1.2 及以上加密协议D 开启 AJP 协议 8009 端口答案ABC解析开启 AJP 端口会引入 Ghostcat 高危漏洞不属于加固措施其余三项均为目录与传输加固标准操作。16 MySQL 身份鉴别强密码策略要求包含A validate_password.policySTRONGB 密码有效期 90 天强制更换C 最小长度 14 位D 登录失败 5 次触发连接延迟答案ABCD解析四项均为 MySQL 等保身份鉴别加固基线兼顾密码复杂度、有效期、防暴力破解多重防护。三、填空题4 道17 Tomcat 的 shutdown 端口加固要求绑定仅________本地回环地址访问。答案127.0.0.1解析限制关闭端口仅本机可访问防止外部攻击者远程发送关闭指令停止中间件服务。18 中间件在等保 2.0 体系中归属于________管控范畴。答案安全计算环境解析文档定义 Tomcat 等应用中间件归属安全计算环境重点核查身份鉴别、访问控制、审计、加密。19 MySQL 关闭域名反向解析、规避 DNS 欺骗攻击的参数配置为________ON。答案skip-name-resolve解析开启该参数不再反向解析客户端 IP 对应的域名消除 DNS 欺骗风险同时提升数据库连接性能。20 Tomcat 程序目录合规权限基线配置数值为________。答案750解析750 权限仅管理员与授权业务组可进入目录其他用户无访问、执行权限防止越权读取配置与源码。

相关新闻

LLM 评测集构建:样本少,也要覆盖真实任务
2026/7/3 2:00:39

LLM 评测集构建:样本少,也要覆盖真实任务

LLM 评测集构建:样本少,也要覆盖真实任务 一、评测集不是题目越多越好 大模型应用落地时,很多团队想先搞一个大评测集,几千上万题,看起来很专业。实际项目早期,几十到几百条高质量样本往往更有价值。关键不…

阅读更多
Web渗透测试学习路线:从零基础到实战的完整指南
2026/7/3 1:00:39

Web渗透测试学习路线:从零基础到实战的完整指南

1. 从零开始:为什么你需要一条清晰的Web渗透测试学习路线如果你点开了这篇文章,大概率是刚刚对“黑客技术”或者“网络安全”产生了兴趣,在网上搜了一圈,发现教程五花八门,工具多如牛毛,从“Kali Linux安装…

阅读更多
MC6470与PIC18F87J50组合在嵌入式系统中的应用
2026/7/3 1:00:39

MC6470与PIC18F87J50组合在嵌入式系统中的应用

1. MC6470与PIC18F87J50组合的核心价值解析在嵌入式控制系统中,精确的运动感知和定位能力往往是决定项目成败的关键因素。MC6470作为一款6自由度惯性测量单元(6DOF IMU),与PIC18F87J50微控制器的组合,为解决这一需求提供了高性价比的解决方案…

阅读更多
开源AI创作工作台infinite-canvas:一站式可视化无限画布部署与使用指南
2026/7/3 3:00:40

开源AI创作工作台infinite-canvas:一站式可视化无限画布部署与使用指南

🚀 30款热门AI模型一站整合,DeepSeek/GLM/Claude 随心用,限时 5 折。 👉 点击领海量免费额度 开源AI创作无限画布infinite-canvas,是一个把素材管理、提示词工程、AI生图、画布编排和智能助手整合在一起的一站式工作…

阅读更多
程序代码行数统计脚本
2026/7/3 3:00:40

程序代码行数统计脚本

大多数逻辑是本地AI生成的&#xff0c;自己进行了组合和微调<?php/*** PHP 程序文件有效代码行数统计工具 code_counter.php* * 统计规则:* 1. 忽略行首的空白字符。* 2. 处理多行注释 \/* ... *\/&#xff0c;遇到 \/* 则进入状态&#xff0c;直到遇到 *\/ 才会退出状态。…

阅读更多
sp.net core + ef core 实现动态可扩展的分页方案
2026/7/3 3:00:40

sp.net core + ef core 实现动态可扩展的分页方案

统一请求参数先定义一个公共的 QueryParameters 解决这个问题&#xff1a;public class QueryParameters{private const int MaxPageSize 100;private int _pageSize 10;public int PageNumber { get; set; } 1;// 限制最大值&#xff0c;防止前端传一个很大数值把数据库搞崩…

阅读更多
海外大模型差异化变现全解:5 条蓝海赛道完整落地实操体系
2026/7/3 3:00:40

海外大模型差异化变现全解:5 条蓝海赛道完整落地实操体系

前言国内 AI 赛道早已陷入同质化价格战&#xff0c;通用文案、基础问答、简易绘图类服务供给过剩&#xff0c;从业者只能不断压低报价换取少量订单&#xff0c;投入大量时间算力却难以形成稳定收益。反观海外市场&#xff0c;用户付费意愿、人均预算显著更高&#xff0c;细分跨…

阅读更多
免费解锁LOL所有皮肤:R3nzSkin国服换肤工具终极指南
2026/7/3 3:00:40

免费解锁LOL所有皮肤:R3nzSkin国服换肤工具终极指南

免费解锁LOL所有皮肤&#xff1a;R3nzSkin国服换肤工具终极指南 【免费下载链接】R3nzSkin-For-China-Server Skin changer for League of Legends (LOL) 项目地址: https://gitcode.com/gh_mirrors/r3/R3nzSkin-For-China-Server 还在为英雄联盟皮肤价格昂贵而烦恼吗&a…

阅读更多
AI 后端队列背压:请求堆住时,系统要会说不
2026/7/3 2:00:39

AI 后端队列背压:请求堆住时,系统要会说不

AI 后端队列背压&#xff1a;请求堆住时&#xff0c;系统要会说不 AI 后端最怕一种状态&#xff1a;请求不断进来&#xff0c;模型服务已经处理不过来&#xff0c;队列越堆越长&#xff0c;用户还在等待&#xff0c;最终超时、重试、雪崩一起发生。很多系统不是被单个请求打垮&…

阅读更多
AI Coding 六个月真实ROI账本:产品经理的血泪教训,研发的冷静忠告
2026/7/2 4:50:04

AI Coding 六个月真实ROI账本:产品经理的血泪教训,研发的冷静忠告

6个月前的2025年12月&#xff0c;Boris Cherny 公开宣布自己卸载了 IDE。一时间&#xff0c;Vibe Coding 成了全行业最热的话题。6个月后&#xff0c;当我们回过头来拉一份真实账本&#xff0c;发现事情远没有"一句话生成一个App"那么浪漫。本文从产品经理和研发两个…

阅读更多
审计来了,数据权限全开——审计走了,怎么确保权限全部关掉?
2026/7/3 2:39:23

审计来了,数据权限全开——审计走了,怎么确保权限全部关掉?

引言&#xff1a;审计结束三个月了&#xff0c;审计员的权限还没关某城商行每年按照监管要求开展至少一次数据安全审计。审计期间&#xff0c;内审部门需要抽样检查各类业务数据——交易流水、客户信息、员工操作日志、权限配置记录。这些数据分布在不同系统中&#xff0c;审计…

阅读更多
AutoRaise终极指南:3分钟掌握macOS鼠标悬停自动激活窗口技巧
2026/7/3 0:00:39

AutoRaise终极指南:3分钟掌握macOS鼠标悬停自动激活窗口技巧

AutoRaise终极指南&#xff1a;3分钟掌握macOS鼠标悬停自动激活窗口技巧 【免费下载链接】AutoRaise AutoRaise (and focus) a window when hovering over it with the mouse 项目地址: https://gitcode.com/gh_mirrors/au/AutoRaise AutoRaise是一款革命性的macOS窗口管…

阅读更多
AI Agent五大设计模式解析与实战优化
2026/7/3 0:00:39

AI Agent五大设计模式解析与实战优化

1. AI Agent设计模式全景概览在智能系统开发领域&#xff0c;AI Agent的设计模式就像建筑师的蓝图&#xff0c;决定了智能体如何感知环境、处理信息并采取行动。从业五年来&#xff0c;我见证过太多团队因为模式选择不当导致系统重构的案例。最近在金融风控系统升级时&#xff…

阅读更多
iOS自动化测试:基于facebook-wda与weditor的稳定元素定位实战
2026/7/3 0:00:39

iOS自动化测试:基于facebook-wda与weditor的稳定元素定位实战

1. 项目概述&#xff1a;iOS自动化测试的“定位”之痛做iOS自动化测试的朋友&#xff0c;十有八九都卡在“元素定位”这个环节上。你兴冲冲地写好了测试脚本&#xff0c;结果一运行&#xff0c;要么是找不到元素&#xff0c;要么是找到了但点不动&#xff0c;要么是这次能跑通下…

阅读更多
基于Dify与DeepSeek构建私有知识库问答系统实战指南
2026/7/3 2:40:23

基于Dify与DeepSeek构建私有知识库问答系统实战指南

在业务中快速构建一个能理解私有文档、准确回答专业问题的智能助手&#xff0c;是很多开发团队面临的共同挑战。传统方案往往需要从零开始搭建复杂的 RAG&#xff08;检索增强生成&#xff09;系统&#xff0c;涉及文档解析、向量化、检索、大模型调用等多个环节&#xff0c;整…

阅读更多
FAE放射组学分析工具:医学影像特征探索的完整解决方案
2026/7/1 0:00:31

FAE放射组学分析工具:医学影像特征探索的完整解决方案

FAE放射组学分析工具&#xff1a;医学影像特征探索的完整解决方案 【免费下载链接】FAE FeAture Explorer 项目地址: https://gitcode.com/gh_mirrors/fae/FAE 你是否曾经面对海量医学影像数据感到无从下手&#xff1f;想要从CT、MRI等影像中提取有价值的定量特征&#…

阅读更多
DesktopNaotu:你的终极离线思维导图解决方案,告别网络依赖!
2026/7/1 0:00:31

DesktopNaotu:你的终极离线思维导图解决方案,告别网络依赖!

DesktopNaotu&#xff1a;你的终极离线思维导图解决方案&#xff0c;告别网络依赖&#xff01; 【免费下载链接】DesktopNaotu 桌面版脑图 (百度脑图离线版&#xff0c;思维导图) 跨平台支持 Windows/Linux/Mac OS. (A cross-platform multilingual Mind Map Tool) 项目地址:…

阅读更多