2025年信息系统安全专家Web应用安全扫描器（BurpSuite,OWASPZAP）高级应用专题试卷及解析.pdfVIP

2025年信息系统安全专家WEB应用安全扫描器（BURPSUITE,OWASPZAP

2025年信息系统安全专家Web应用安全扫描器

（BurpSuite,OWASPZAP）高级应用专题试卷及解析

2025年信息系统安全专家Web应用安全扫描器（BurpSuite,OWASPZAP）高级应

用专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在BurpSuite中，哪个模块主要用于拦截和修改HTTP/HTTPS请求与响应？

A、Spider

B、Intruder

C、Proxy

D、Repeater

【答案】C

【解析】正确答案是C。Proxy模块是BurpSuite的核心功能，用于拦截浏览器与

服务器之间的HTTP/HTTPS流量，允许用户查看和修改请求与响应。A选项Spider

用于爬取网站结构；B选项Intruder用于自动化攻击；D选项Repeater用于手动重放

请求。知识点：BurpSuite核心模块功能。易错点：容易混淆Proxy和Repeater的功

能，前者是拦截流量，后者是手动重放。

2、OWASPZAP中的”ActiveScan”主要用于检测哪种类型的漏洞？

A、信息泄露

B、SQL注入

C、目录遍历

D、所有已知漏洞类型

【答案】D

【解析】正确答案是D。ActiveScan是ZAP的主动扫描功能，会发送恶意请求检

测多种漏洞类型，包括但不限于SQL注入、XSS、CSRF等。A、B、C都是具体漏洞

类型，而ActiveScan是综合性扫描。知识点：OWASPZAP扫描模式。易错点：误认

为ActiveScan只针对特定漏洞类型。

3、在BurpSuiteIntruder中，哪种攻击类型最适合测试密码爆破？

A、Sniper

B、Batteringram

C、Pitchfork

D、Clusterbomb

【答案】C

【解析】正确答案是C。Pitchfork攻击类型使用多个payload集，每个请求中每个

位置使用对应位置的payload，适合用户名与密码配对测试。A选项Sniper逐个测试

2025年信息系统安全专家WEB应用安全扫描器（BURPSUITE,OWASPZAP

payload；B选项Batteringram所有位置使用同一payload；D选项Clusterbomb是笛

卡尔积组合。知识点：Intruder攻击类型区别。易错点：容易混淆Pitchfork和Cluster

bomb的应用场景。

4、OWASPZAP的”Spider”功能与BurpSuite的”Spider”功能相比，主要优势在于？

A、速度更快

B、支持JavaScript渲染

C、支持更多协议

D、界面更友好

【答案】B

【解析】正确答案是B。ZAP的Spider支持AJAX/JavaScript渲染，能更好地发

现现代Web应用的隐藏链接。A、C、D都不是主要区别。知识点：工具爬虫功能对比。

易错点：忽视JavaScript渲染在现代Web应用中的重要性。

5、在BurpSuite中，哪个模块可以用于检测Web应用的会话管理漏洞？

A、Sequencer

B、Decoder

C、Comparer

D、Extender

【答案】A

【解析】正确答案是A。Sequencer模块用于分析会话令牌的随机性，检测会话管理

漏洞。B选项Decoder用于编解码；C选项Comparer用于数据对比；D选项Extender

用于管理扩展。知识点：BurpSuite专业模块功能。易错点：容易混淆Sequencer和

Decoder的功能。

6、OWASPZAP的”PassiveScan”与”ActiveScan”的主要区别在于？

A、扫描速度

B、是否发送新请求

C、检测漏洞类型

D、报告格式

【答案】B

【解析】正确答案是B。PassiveScan只分析现有流量，不发送新请求；ActiveScan

会主动发