2025年信息系统安全专家服务器端请求伪造攻击专题试卷及解析.pdf

2025年信息系统安全专家服务器端请求伪造攻击专题试卷及解析1

2025年信息系统安全专家服务器端请求伪造攻击专题试卷

及解析

2025年信息系统安全专家服务器端请求伪造攻击专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在服务器端请求伪造（SSRF）攻击中，攻击者通常利用什么漏洞来控制服务器

发起恶意请求？

A、SQL注入

B、跨站脚本（XSS）

C、文件包含漏洞

D、命令注入

【答案】C

【解析】正确答案是C。SSRF攻击的核心是利用服务器端的文件包含或URL请

求功能，使服务器访问攻击者指定的资源。A选项SQL注入用于数据库操作，B选项

XSS针对客户端，D选项命令注入直接执行系统命令，与SSRF的请求伪造机制不同。

知识点：SSRF漏洞原理。易错点：混淆SSRF与其他Web漏洞的攻击目标。

2、以下哪种协议最容易被SSRF攻击者利用来探测内网服务？

A、HTTPS

B、FTP

C、HTTP

D、SMTP

【答案】C

【解析】正确答案是C。HTTP协议简单且广泛支持，攻击者可通过SSRF发起

HTTP请求探测内网服务。A选项HTTPS需要证书验证，B选项FTP需特殊配置，

D选项SMTP主要用于邮件传输。知识点：SSRF攻击协议选择。易错点：忽略协议的

通用性和探测效率。

3、防御SSRF攻击时，以下哪种措施最有效？

A、输入过滤特殊字符

B、限制请求的目标IP为白名单

C、使用HTTPS协议

D、增加请求频率限制

【答案】B

【解析】正确答案是B。白名单机制可严格控制服务器可访问的资源，从根本上防

止SSRF。A选项过滤字符可能被绕过，C选项HTTPS不能防止内网探测，D选项频

2025年信息系统安全专家服务器端请求伪造攻击专题试卷及解析2

率限制仅缓解攻击。知识点：SSRF防御策略。易错点：过度依赖输入过滤而忽略白名

单的重要性。

4、SSRF攻击可能导致以下哪种最严重的后果？

A、用户数据泄露

B、服务器被控制

C、内网端口扫描

D、敏感文件读取

【答案】B

【解析】正确答案是B。通过SSRF攻击者可能利用内网服务漏洞（如Redis未授

权）获取服务器权限。A、C、D选项是中间步骤或局部影响。知识点：SSRF攻击链。

易错点：低估SSRF的横向渗透能力。

5、以下哪种URL格式最可能被用于SSRF攻击？

B、file:///etc/passwd

D、

【答案】B

【解析】正确答案是B。file://协议可读取本地文件，是SSRF常见利用方式。A、C、

D选项为正常网络协议。知识点：SSRF协议利用。易错点：忽略file://等非HTTP协

议的风险。

6、在SSRF漏洞检测中，以下哪种方法最可靠？

A、观察响应时间差异

B、检查DNS日志

C、使用DNSLog平台

D、分析服务器日志

【答案】C

【解析】正确答案是C。DNSLog平台可直观验证SSRF是否存在，通过DNS请求

记录确认。A选项时间差异可能误报，B、D选项需访问服务器日志。知识点：SSRF漏

洞验证。易错点：依赖间接证据而非直接验证。

7、SSRF攻击与CSRF攻击的主要区别是什么？

A、攻击目标不同

B、利用的漏洞类型不同

C、请求发起方不同

D、防御措施不同

【答案】C

【解析】正确答案是C。SSRF由服务器发起请求，CSRF由用户浏览器发起。A、

B、D选项是次要差异。知识点：SSRF与CSRF区别。易错点：混淆两种攻击的请求

2025年信息系统安全专家服务器端请求伪造攻击专题试卷及解析3

来源。