2025年信息系统安全专家Web应用漏洞扫描与验证（BurpSuite,OWASPZAP）专题试卷及解析.pdfVIP

2025年信息系统安全专家WEB应用漏洞扫描与验证（BURPSUITE,OWASPZAP）专题试卷及解析1

2025年信息系统安全专家Web应用漏洞扫描与验证

（BurpSuite,OWASPZAP）专题试卷及解析

2025年信息系统安全专家Web应用漏洞扫描与验证（BurpSuite,OWASPZAP）专

题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在BurpSuite中，用于拦截和修改HTTP请求/响应的核心模块是？

A、Spider

B、Intruder

C、Proxy

D、Repeater

【答案】C

【解析】正确答案是C。Proxy是BurpSuite的核心模块，通过设置本地代理拦截

浏览器流量，实现请求/响应的拦截和修改。Spider用于爬取网站目录，Intruder用于

自动化攻击，Repeater用于手动重放请求。知识点：BurpSuite基础模块功能。易错点：

容易混淆Intruder和Proxy的功能，前者侧重自动化攻击，后者侧重流量拦截。

2、OWASPZAP的”ActiveScan”功能主要用于？

A、被动收集网站信息

B、自动化漏洞检测

C、手动修改请求

D、生成测试报告

【答案】B

【解析】正确答案是B。ActiveScan通过发送恶意载荷主动探测漏洞，是ZAP的核

心自动化检测功能。被动扫描不发送额外请求，手动修改请求是ManualRequest功能，

报告生成是后续步骤。知识点：ZAP扫描模式区别。易错点：容易混淆ActiveScan和

PassiveScan，前者主动攻击，后者仅分析现有流量。

3、在验证SQL注入漏洞时，最常用的闭合字符是？

A、单引号

B、双引号

C、分号

D、井号

【答案】A

【解析】正确答案是A。单引号是最常见的SQL字符串定界符，通过注入单引号可

破坏原始SQL语法。双引号在特定数据库中使用，分号用于语句分隔，井号是MySQL

2025年信息系统安全专家WEB应用漏洞扫描与验证（BURPSUITE,OWASPZAP）专题试卷及解析2

注释符。知识点：SQL注入基础原理。易错点：忽略不同数据库的语法差异，单引号具

有普适性。

4、BurpSuite的”Sequencer”模块主要用于测试？

A、会话令牌随机性

B、漏洞扫描速度

C、爬虫效率

D、加密强度

【答案】A

【解析】正确答案是A。Sequencer通过统计分析会话令牌的随机性，预测其可预测

性。其他功能分别对应Intruder、Spider和Decoder模块。知识点：会话管理安全测试。

易错点：容易混淆Sequencer和Intruder的功能，前者分析随机性，后者执行自动化攻

击。

5、OWASPZAP的”Spider”功能与BurpSuite的”Spider”功能主要区别在于？

A、ZAP支持JavaScript渲染

B、Burp支持更深的爬取深度

C、ZAP是开源工具

D、Burp需要付费

【答案】A

【解析】正确答案是A。ZAP的Spider支持AJAX/JavaScript渲染，能发现动态

内容。Burp的Spider传统上对JS支持较弱（新版有所改进）。C和D是工具属性差

异，非功能差异。知识点：爬虫技术对比。易错点：容易忽略现代Web应用中JS渲染

的重要性。

6、在XSS漏洞验证中，用于测试反射型XSS的典型载荷是？

A、

B、’OR‘1’=’1

C、../../../etc/passwd

D、{{7*7}}

【答案】A

【解析】正确答案是A。这是最基础的XSS测试载荷，通过弹窗验证漏洞存在。B

是SQL注入载荷，C是路径遍历载荷，D是模板注入载荷。知识点：XSS漏洞验证方

法。易错点：容易混淆不同漏洞类型的测试载荷。

7、BurpSuite的”Decoder”模块不能处理？

A、Base64编码

B、URL编码

C、HTML实体编码

2025年信息系统安