信息安全测试员培训内容掌握程度考核试卷及答案.docxVIP

信息安全测试员培训内容掌握程度考核试卷及答案

信息安全测试员培训考核试卷

一、单项选择题（每题2分，共20分）

1.以下哪项不属于OWASPTOP10（2021）中列出的常见Web安全风险？

A.不安全的组件使用

B.日志记录与监控不足

C.跨站请求伪造（CSRF）

D.传输层加密失效

2.针对SQL注入漏洞，以下哪种测试方法属于“盲注”？

A.通过页面返回的错误信息提取数据库结构

B.构造条件查询并观察页面响应差异

C.使用工具自动枚举数据库表名

D.直接执行DROPTABLE语句删除数据

3.在使用BurpSuite进行抓包测试时，若需要修改HTTP请求头中的User-Agent字段，应操作哪个模块？

A.Proxy（代理）

B.Repeater（重发器）

C.Intruder（入侵者）

D.Scanner（扫描器）

4.以下哪种漏洞类型可能导致攻击者绕过身份验证直接访问敏感功能？

A.路径遍历

B.会话固定（SessionFixation）

C.命令注入

D.跨站脚本（XSS）

5.进行移动应用安全测试时，若需分析APK文件的静态代码，应优先使用以下哪种工具？

A.Charles

B.Jadx

C.Wireshark

D.Hydra

6.某系统登录接口限制了每分钟最多尝试3次密码，以下哪种攻击方式最可能绕过该限制？

A.暴力破解

B.字典攻击

C.会话劫持

D.验证码绕过（如重放未失效的验证码）

7.针对文件上传漏洞，攻击者上传“shell.php.rar”后，若服务器配置错误导致该文件被解析为PHP文件，可能的原因是？

A.服务器开启了文件类型白名单校验

B.服务器未关闭“文件类型解析漏洞”（如IIS的.asa解析）

C.上传路径设置了严格的权限限制

D.上传文件大小被限制为2MB

8.以下哪项是渗透测试中“信息收集”阶段的核心目标？

A.验证目标系统是否存在已知漏洞

B.获取目标网络拓扑、子域名、开放端口等基础信息

C.利用漏洞获取系统权限

D.清理测试痕迹避免影响业务

9.某企业Web应用使用JWT（JSONWebToken）作为身份验证令牌，若令牌未设置“过期时间（exp）”字段，可能导致的风险是？

A.令牌被篡改后无法检测

B.攻击者可长期使用窃取的令牌访问系统

C.令牌加密算法被暴力破解

D.跨站请求伪造（CSRF）攻击

10.以下哪种日志类型对检测SQL注入攻击最有帮助？

A.应用程序访问日志（记录URL、参数）

B.系统安全日志（记录登录事件）

C.数据库慢查询日志

D.网络流量日志（记录IP、端口）

二、判断题（每题1分，共10分）

1.黑盒测试中，测试人员已知目标系统的内部结构和代码逻辑。（）

2.社会工程学攻击不属于信息安全测试的范围，因为其依赖人为欺骗而非技术漏洞。（）

3.漏洞扫描工具（如Nessus）可以完全替代人工渗透测试。（）

4.存储型XSS漏洞的危害大于反射型XSS，因为其攻击代码会长期存储在服务器中。（）

5.为避免影响生产环境，渗透测试前无需获取明确的书面授权。（）

6.弱密码检测属于身份认证安全测试的一部分。（）

7.HTTPS协议默认使用TLS加密，因此所有通过HTTPS传输的数据都无法被截获分析。（）

8.目录遍历漏洞可能导致攻击者访问服务器的敏感文件（如/etc/passwd）。（）

9.移动应用的“深度链接（DeepLink）”功能若未做输入校验，可能引发任意URL跳转漏洞。（）

10.漏洞修复的优先级应根据漏洞的CVSS评分、影响范围和业务重要性综合判断。（）

三、简答题（每题8分，共40分）

1.简述SQL注入漏洞的检测流程（需包含至少4个关键步骤）。

2.列举3种常见的越权访问漏洞类型，并分别说明其特征。

3.说明BurpSuite中“Proxy”模块与“Intruder”模块的主要区别及应用场景。

4.移动应用安全测试中，如何检测“敏感信息硬编码”问题？（需说明工具和具体方法）

5.渗透测试报告中需包含哪些核心内容？请至少列出5项并简要说明其作用。

四、综合分析题（每题15分，共30分）

1.某企业Web应用的用户注册功能存在以下问题：

-输入用户名时，页面提示“该用户名已被注册”（即使未提交表单）；