2025年信息系统安全专家BurpSuite高级插件开发与Intruder模块应用专题试卷及解析.pdfVIP

2025年信息系统安全专家BURPSUITE高级插件开发与INTRUDER模块应用专题试卷及解析1

2025年信息系统安全专家BurpSuite高级插件开发与

Intruder模块应用专题试卷及解析

2025年信息系统安全专家BurpSuite高级插件开发与Intruder模块应用专题试卷

及解析

第一部分：单项选择题（共10题，每题2分）

1、在BurpSuite插件开发中，以下哪个接口主要用于处理HTTP请求和响应的修

改？

A、IBurpExtender

B、IHttpListener

C、IContextMenuFactory

D、ITab

【答案】B

【解析】正确答案是B。IHttpListener接口专门用于处理HTTP请求和响应的监听

和修改，是开发流量拦截类插件的核心接口。A选项IBurpExtender是所有插件必须实

现的基础接口；C选项IContextMenuFactory用于创建右键菜单；D选项ITab用于创建

自定义标签页。知识点：BurpSuite插件开发核心接口。易错点：容易混淆IHttpListener

和IContextMenuFactory的功能。

2、使用Intruder模块进行爆破时，哪种攻击类型最适合测试简单的用户名密码组

合？

A、Sniper

B、Batteringram

C、Pitchfork

D、Clusterbomb

【答案】A

【解析】正确答案是A。Sniper模式使用单一payload集依次攻击每个位置，最适

合简单的用户名密码爆破。B选项Batteringram使用相同payload同时攻击多个位

置；C选项Pitchfork使用多个payload集一一对应攻击；D选项Clusterbomb使用多

个payload集进行笛卡尔积攻击。知识点：Intruder攻击类型特点。易错点：容易混淆

Pitchfork和Clusterbomb的应用场景。

3、在BurpSuite插件开发中，以下哪个方法用于获取当前请求的HTTP服务信息？

A、getHttpService()

B、getRequest()

C、getResponse()

D、getParameters()

2025年信息系统安全专家BURPSUITE高级插件开发与INTRUDER模块应用专题试卷及解析2

【答案】A

【解析】正确答案是A。getHttpService()方法用于获取包含主机、端口和协议信息

的HTTP服务对象。B选项getRequest()获取请求内容；C选项getResponse()获取

响应内容；D选项getParameters()获取请求参数。知识点：BurpSuiteAPI常用方法。

易错点：容易混淆getHttpService()和getRequest()的返回值类型。

4、开发BurpSuite插件时，以下哪个注解用于标记插件的主入口类？

A、@Override

B、@Extension

C、@Deprecated

D、@SuppressWarnings

【答案】B

【解析】正确答案是B。@Extension注解用于标识BurpSuite插件的主入口类，包

含插件名称、版本等信息。A选项@Override用于方法重写；C选项@Deprecated标

记过时方法；D选项@SuppressWarnings抑制编译警告。知识点：BurpSuite插件开发

注解。易错点：容易混淆Java标准注解和BurpSuite特定注解。

5、在Intruder模块中，以下哪个功能用于从响应中提取动态值作为payload？

A、PayloadProcessing

B、PayloadOptions

C、GrepExtract

D、RequestEngine

【答案】C

【解析】正确答案是C。GrepExtract功能可以从响应中提取特定值作为后续攻击的

payload。A选项PayloadProcessing用于对payload进行处理；B选项PayloadO