信息安全测试员技能竞赛考试题库及答案.docxVIP

信息安全测试员技能竞赛考试题库及答案

一、单项选择题（每题2分，共40分）

1.以下哪种攻击方式主要利用用户对权威的信任实施？

A.SQL注入

B.社会工程学攻击

C.DDoS攻击

D.缓冲区溢出

答案：B

2.某Web应用返回ErrorinyourSQLsyntax提示，最可能存在哪种漏洞？

A.XSS

B.CSRF

C.SQL注入

D.文件包含

答案：C

3.以下哪项不属于移动应用的常见安全风险？

A.敏感数据硬编码

B.过度申请权限

C.HTTPS证书校验

D.日志泄露用户信息

答案：C

4.渗透测试中，信息收集阶段的主要目的是？

A.获取目标系统权限

B.分析目标攻击面

C.清除攻击痕迹

D.提升权限

答案：B

5.以下哪种加密算法属于非对称加密？

A.AES-256

B.DES

C.RSA

D.SHA-256

答案：C

6.检测Web应用是否存在XSS漏洞时，最直接的验证方法是？

A.查看源代码是否过滤特殊字符

B.构造包含scriptalert(1)/script的输入并观察弹窗

C.使用WAF绕过工具测试

D.分析服务器响应头信息

答案：B

7.以下哪个端口通常用于SSH服务？

A.21

B.22

C.80

D.443

答案：B

8.移动应用逆向分析中，常用的APK解包工具是？

A.BurpSuite

B.Charles

C.JEB

D.Wireshark

答案：C

9.以下哪种漏洞利用会导致攻击者完全控制目标主机？

A.反射型XSS

B.远程代码执行（RCE）

C.图片上传绕过

D.CSRF

答案：B

10.渗透测试报告中，风险等级的评估通常不考虑以下哪项因素？

A.漏洞利用难度

B.受影响资产价值

C.测试人员技术水平

D.潜在数据泄露量

答案：C

11.检测文件上传漏洞时，若服务器限制仅允许JPG格式，攻击者可能采用的绕过方法是？

A.修改Content-Type为image/jpeg

B.在文件名中添加空格后截断

C.使用Base64编码文件内容

D.压缩文件后重命名为.zip

答案：B

12.以下哪项是防御CSRF攻击的有效措施？

A.对用户输入进行HTML转义

B.在请求中添加CSRF令牌

C.限制IP访问频率

D.启用WAF的SQL注入防护

答案：B

13.分析网络流量时，发现TCP三次握手后传输的数据包使用443端口，最可能的协议是？

A.HTTP

B.HTTPS

C.FTP

D.SMTP

答案：B

14.以下哪种漏洞属于OWASPTop10（2021）中的不安全设计？

A.弱口令

B.未授权访问

C.路径遍历

D.加密算法过时

答案：B

15.移动应用安全测试中，检查数据存储安全时需重点关注？

A.应用启动速度

B.SharedPreferences中的敏感信息

C.界面交互逻辑

D.推送通知频率

答案：B

16.渗透测试中，内网穿透通常用于？

A.绕过防火墙限制访问内部资源

B.提升当前用户权限

C.清除系统日志

D.扫描外部开放端口

答案：A

17.以下哪种工具常用于漏洞扫描？

A.Metasploit

B.Nmap

C.Sqlmap

D.以上都是

答案：D

18.检测SSRF漏洞时，攻击者常用的测试方法是？

A.构造指向的URL

B.上传包含恶意代码的文件

C.修改Cookie值

D.暴力破解登录密码

答案：A

19.以下哪项不属于Web服务端安全配置检查内容？

A.禁用不必要的HTTP方法（如PUT）

B.关闭目录列表功能

C.限制JavaScript执行权限

D.配置正确的CORS策略

答案：C

20.移动应用使用HTTP而非HTTPS传输数据时，主要风险是？

A.数据被中间人截获

B.应用崩溃概率增加

C.无法接收推送通知

D.安装包体积增大

答案：A

二、判断题（每题1分，共10分）

1.所有XSS漏洞都需要用户主动点击恶意链接才能触发。（×）

2.弱口令属于常见的身份认证安全问题。（√）