2025年信息系统安全专家渗透测试方法论与执行标准（PTES,OSSTMM）专题试卷及解析.pdfVIP

2025年信息系统安全专家渗透测试方法论与执行标准（PTES,OSSTMM）专题试卷及解析1

2025年信息系统安全专家渗透测试方法论与执行标准

（PTES,OSSTMM）专题试卷及解析

2025年信息系统安全专家渗透测试方法论与执行标准（PTES,OSSTMM）专题试

卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在PTES（PenetrationTestingExecutionStandard）方法论中，哪个阶段主要

涉及信息收集和目标分析？

A、后渗透

B、漏洞分析

C、前期交互

D、报告撰写

【答案】C

【解析】正确答案是C。前期交互阶段是PTES的第一个阶段，主要任务是确定测

试范围、目标和规则，并进行初步的信息收集。A选项后渗透是在获取系统访问权限后

的操作；B选项漏洞分析是在信息收集后的阶段；D选项报告撰写是最后阶段。知识点：

PTES的七个阶段流程。易错点：容易混淆前期交互和漏洞分析的时间顺序。

2、OSSTMM（OpenSourceSecurityTestingMethodologyManual）中，“Security

Test”的核心评估指标是？

A、漏洞数量

B、攻击面分析

C、IVA（InteractiveVulnerabilityAssessment）

D、风险量化

【答案】D

【解析】正确答案是D。OSSTMM强调通过风险量化来评估安全状况，而非简单计

算漏洞数量。A选项漏洞数量是传统评估方式；B选项攻击面分析只是其中一部分；C

选项IVA是OSSTMM中的测试类型之一。知识点：OSSTMM的风险评估模型。易错

点：容易将OSSTMM与传统的漏洞扫描混淆。

3、在PTES的漏洞分析阶段，最关键的活动是？

A、编写漏洞利用代码

B、验证漏洞的真实性和可利用性

C、生成测试报告

D、与客户沟通测试进度

【答案】B

2025年信息系统安全专家渗透测试方法论与执行标准（PTES,OSSTMM）专题试卷及解析2

【解析】正确答案是B。漏洞分析阶段的核心是验证发现的漏洞是否真实存在且可

被利用。A选项编写利用代码属于漏洞利用阶段；C选项报告撰写是最后阶段；D选项

沟通属于前期交互阶段。知识点：PTES各阶段的核心任务。易错点：容易将漏洞分析

与漏洞利用混为一谈。

4、OSSTMM中，“HumanSecurity”测试主要关注？

A、物理安全防护

B、人员安全意识

C、网络设备配置

D、应用程序漏洞

【答案】B

【解析】正确答案是B。HumanSecurity测试专门评估人员相关的安全风险，如社会

工程学攻击。A选项物理安全属于PhysicalSecurity测试；C选项网络设备属于Wireless

Security测试；D选项应用漏洞属于ApplicationSecurity测试。知识点：OSSTMM的

五大测试范围。易错点：容易混淆HumanSecurity和PhysicalSecurity。

5、PTES方法论中，“威胁建模”通常在哪个阶段进行？

A、前期交互

B、漏洞分析

C、信息收集

D、漏洞利用

【答案】A

【解析】正确答案是A。威胁建模是前期交互阶段的重要活动，用于识别潜在威胁

和攻击路径。B选项漏洞分析是验证阶段；C选项信息收集是独立阶段；D选项漏洞利

用是执行阶段。知识点：PTES的前期交互内容。易错点：容易将威胁建模与漏洞分析

混淆。

6、OSSTMM的”AttackSurface”评估不包括？

A、网络接口

B、人员交互点

C、内部文档

D、应用程序API

【答案】C

【解析】正确答案是C。攻击面评估关注外部可接触的入口点，内部文档不属于攻

击面。A、B、D都是典型的攻击面。知识点：OSSTMM的攻击面定义。易错点：容易

将内部资源误认为攻击面。

7、在PTES中，“横向移动”属于哪个阶段的活动？

A、信息收集

2025年信息系统安全专家渗透测试方法论与执行标准（PTES,OSSTMM）专题试