2025年信息安全工程师招聘笔试题库及答案.docxVIP

2025年信息安全工程师招聘笔试题库及答案

一、单项选择题（每题2分，共30分）

1.以下哪种加密算法属于非对称加密？

A.AES-256

B.RSA

C.SHA-256

D.DES

答案：B

解析：非对称加密使用公钥和私钥对，RSA是典型代表；AES、DES为对称加密，SHA-256为哈希算法。

2.某企业网络中，防火墙策略设置为“默认拒绝所有流量，仅允许80、443端口出网”。这种策略遵循的安全原则是？

A.最小权限原则

B.纵深防御原则

C.失效安全原则

D.最小攻击面原则

答案：A

解析：最小权限原则要求仅授予必要的访问权限，默认拒绝所有流量后按需开放，符合该原则。

3.以下哪种攻击方式利用了操作系统或应用程序的未授权内存访问漏洞？

A.SQL注入

B.XSS

C.缓冲区溢出

D.CSRF

答案：C

解析：缓冲区溢出攻击通过向程序缓冲区写入超出容量的数据，覆盖相邻内存区域，属于未授权内存访问漏洞利用。

4.在SSL/TLS握手过程中，客户端发送“ClientHello”后，服务端首先响应的是？

A.“ServerHello”

B.数字证书

C.预主密钥（Pre-MasterSecret）

D.会话密钥（SessionKey）

答案：A

解析：TLS握手流程为：ClientHello→ServerHello→证书→ServerKeyExchange（可选）→ServerHelloDone→ClientKeyExchange→客户端/服务端完成握手，因此服务端首先响应“ServerHello”。

5.以下哪个是OWASP2023十大漏洞中“不安全的外部服务（UnsafeExternalServices）”的典型场景？

A.网站未对用户输入进行过滤，导致SQL注入

B.第三方云存储服务未启用访问控制，导致数据泄露

C.前端JavaScript未禁用调试模式，暴露敏感API地址

D.应用程序使用过期的依赖库（如Log4j1.x）

答案：B

解析：不安全的外部服务指依赖的第三方服务（如云存储、API服务）存在安全配置缺陷，导致主系统受牵连。

6.某日志中出现如下记录：“GET/admin?user=1AND1=1--HTTP/1.1”，最可能的攻击类型是？

A.目录遍历

B.CSRF

C.SQL注入

D.命令注入

答案：C

解析：URL参数中包含单引号（）和注释符（--），是典型的SQL注入测试payload。

7.以下哪种技术用于实现数据的“不可否认性”？

A.哈希校验

B.数字签名

C.访问控制列表（ACL）

D.数据加密

答案：B

解析：数字签名通过私钥签名、公钥验证的方式，确保数据发送者无法否认发送行为。

8.在Linux系统中，用于查看当前所有网络连接的命令是？

A.`netstat-ano`

B.`ps-ef`

C.`lsof-i`

D.`ifconfig`

答案：C

解析：`lsof-i`可列出所有打开的网络连接；`netstat-ano`是Windows命令；`ps-ef`查看进程；`ifconfig`查看网卡配置。

9.某企业使用WAF（Web应用防火墙）防御攻击，以下哪种攻击最可能被WAF检测并拦截？

A.物理机电源切断

B.内网ARP欺骗

C.跨站脚本（XSS）

D.蓝牙设备中间人攻击

答案：C

解析：WAF主要针对Web应用层攻击（如XSS、SQL注入），其他选项属于网络层或物理层攻击。

10.以下哪种漏洞属于“供应链安全风险”？

A.企业自研系统的登录接口未限制密码尝试次数

B.采购的第三方OA系统存在未修复的RCE漏洞

C.员工使用个人邮箱处理公司事务导致信息泄露

D.数据中心空调故障导致服务器宕机

答案：B

解析：供应链安全风险指依赖的第三方产品（如OA系统、开源库）存在安全缺陷，影响主系统。

11.在渗透测试中，“信息收集”阶段的主要目的是？

A.利用漏洞获取系统权限

B.分析目标系统的攻击面

C.清除攻击痕迹

D.提升已获取权限的等级

答案：B

解析：信息收集阶段通过公开信息（如DNS、WHOIS）和主动扫描（如端口扫描）识别目标的资产和潜在漏洞，属于攻击面分析。

12.以下哪个协议用于实现IPSec的