2025年渗透测试工程师考试题库（附答案和详细解析）（0731）.docxVIP

2025年渗透测试工程师考试题库（附答案和详细解析）（0731）

渗透测试工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪种加密方式属于对称加密？A.RSAB.AESC.SHA-256D.ECC答案：B解析：AES（高级加密标准）是典型的对称加密算法；RSA、ECC属于非对称加密，SHA-256为哈希算法。

网络扫描工具Nmap的主要功能不包括？A.检测主机存活B.确定操作系统类型C.网络流量分析D.端口扫描答案：C解析：Nmap专注于网络发现和端口扫描，不涉及流量分析（工具如Wireshark可实现）。

以下哪种HTTP方法用于安全地提交表单数据？A.GETB.POSTC.PUTD.DELETE答案：B解析：POST方法将数据提交到服务器且不暴露在URL中，适用于敏感操作；GET可能泄露数据。

XSS攻击的主要危害是？A.网络中断B.数据泄露C.硬件损坏D.系统崩溃答案：B解析：XSS通过注入恶意脚本窃取用户Cookie或会话信息导致数据泄露。

以下哪项不属于社会工程学攻击手段？A.语音钓鱼B.恶意软件植入C.邮件附件诱骗D.假冒客服答案：B解析：恶意软件植入属于技术攻击，社会工程学通过心理操纵实现。

SSL证书中，哪种类型表示由权威CA签发？A.自签名证书B.EV证书C.混合证书D.私有证书答案：B解析：EV（扩展验证）证书由CA严格审核并显示绿色地址栏。

SQL注入漏洞的主要成因是？A.服务器配置错误B.代码未对输入进行过滤C.数据库版本过旧D.操作系统漏洞答案：B解析：当应用程序直接将用户输入拼接到SQL语句时，未校验导致注入。

渗透测试中，哪种工具常用于密码破解？A.WiresharkB.JohntheRipperC.NmapD.Metasploit答案：B解析：JohntheRipper专门用于密码破解，支持多种哈希算法。

VPN技术的主要优势是？A.提高网速B.隐藏真实IPC.增加带宽D.减少延迟答案：B解析：VPN通过隧道技术隐藏用户真实IP，增强隐私保护。

Web应用防火墙（WAF）主要防御哪种攻击？A.DDoS攻击B.APT攻击C.SQL注入D.病毒传播答案：C解析：WAF通过规则检测并阻断常见的Web攻击如SQL注入、XSS。

二、多项选择题（共10题，每题2分，共20分）

以下哪些属于OWASPTop10漏洞类型？A.服务器端请求伪造（SSRF）B.跨站脚本（XSS）C.跨站请求伪造（CSRF）D.文件上传漏洞答案：ABCD解析：均为OWASPTop10收录的常见漏洞类型。

渗透测试的准备工作包括？A.获取授权B.摸底信息收集C.制定测试计划D.编写攻击脚本答案：ABC解析：准备工作包括授权、信息收集和计划制定；攻击脚本属于执行阶段。

TCP/IP模型中，应用层对应OSI模型的哪些层？A.应用层B.表示层C.会话层D.传输层答案：ABC解析：TCP/IP应用层整合了OSI的会话层、表示层和应用层功能。

以下哪些属于常见的密码破解方法？A.暴力破解B.字典攻击C.彩虹表攻击D.社会工程学答案：ABC解析：均为技术性密码破解方法；社会工程学属于非技术手段。

SSL/TLS协议的目的是？A.加密传输数据B.防止中间人攻击C.身份验证D.提高传输速度答案：ABC解析：SSL/TLS通过加密、认证防止窃听和伪造，不直接影响速度。

网络钓鱼攻击常用的载体包括？A.邮件B.微信公众号C.短信D.网站弹窗答案：ABCD解析：钓鱼攻击可利用多种渠道诱导用户输入信息。

渗透测试中，信息收集可使用哪些工具？A.ShodanB.WhoisC.NmapD.GoogleHackingDatabase答案：ABCD解析：均为常用的信息收集工具，覆盖不同维度。

Web应用安全测试应包括？A.SQL注入测试B.XSS测试C.权限绕过测试D.API安全测试答案：ABCD解析：全面测试应覆盖前端、后端及接口安全。

以下哪些属于非对称加密算法？A.RSAB.ECCC.DESD.Blowfish答案：AB解析：RSA和ECC是非对称加密；DES和Blowfish为对称加密。

渗透测试报告应包含？A.测试范围和目标B.漏洞详情及危害等级C.复现步骤D.修复建议答案：ABCD解析：完整报告需包含所有要素，便于修复和