安全测试培训认证备考冲刺卷.docxVIP

安全测试培训认证备考冲刺卷

考试时间：______分钟总分：______分姓名：______

一、单项选择题（每题1分，共30分。下列每题选项中，只有一项符合题意）

1.在信息安全CIA三要素中，代表数据的机密性、数据的完整性和数据的可用性的是（）。

A.机密性、完整性、可用性

B.可信性、完整性、保密性

C.保密性、完整性、可用性

D.可信性、可用性、完整性

2.以下哪种攻击属于主动攻击？（）

A.通信量分析

B.电子邮件病毒

C.拒绝服务攻击

D.间谍软件植入

3.通常用于在程序运行时检测代码执行是否遵循安全策略的测试类型是（）。

A.静态应用安全测试（SAST）

B.动态应用安全测试（DAST）

C.交互式应用安全测试（IAST）

D.渗透测试

4.CWE-79（跨站脚本攻击）属于哪种类型的Web漏洞？（）

A.身份认证与访问控制故障

B.服务器端请求伪造（SSRF）

C.跨站脚本（XSS）

D.敏感数据泄露

5.在渗透测试的侦察阶段，使用Nmap扫描目标主机开放的服务和端口，这属于哪种信息收集技术？（）

A.社会工程学

B.网络扫描

C.漏洞扫描

D.代码审计

6.Metasploit框架是一个强大的安全测试工具，其主要功能不包括（）。

A.漏洞扫描

B.漏洞利用开发

C.系统维护

D.网络监控

7.以下哪种加密方式属于对称加密？（）

A.RSA

B.AES

C.SHA-256

D.Diffie-Hellman

8.防火墙的主要工作原理是基于（）来进行数据包的过滤和转发。

A.数据包的源IP地址和目的IP地址

B.应用层协议

C.IP层协议（如TCP/UDP）

D.以上所有

9.在渗透测试报告中，通常需要详细描述漏洞的原理、危害程度、复现步骤和修复建议，其中哪个要素最能体现报告的专业性和价值？（）

A.漏洞的评分

B.受影响的系统范围

C.漏洞的复现步骤和修复建议

D.使用的测试工具

10.基于角色的访问控制（RBAC）模型的核心思想是（）。

A.最小权限原则

B.隔离原则

C.角色分配与权限管理

D.数据加密

11.SQL注入攻击利用的是应用程序对用户输入的（）处理不当。

A.权限验证

B.数据校验

C.SQL语句拼接

D.会话管理

12.在进行无线网络安全测试时，扫描并分析目标区域的无线网络信号，识别SSID、加密方式、安全漏洞等，这个过程属于（）。

A.线缆测试

B.无线网络测试

C.物理访问测试

D.系统配置测试

13.（）是一种通过欺骗用户泄露敏感信息（如密码、银行账户）的行为。

A.拒绝服务攻击

B.网络钓鱼

C.恶意软件感染

D.日志篡改

14.以下哪个不是常见的Web应用防火墙（WAF）的功能？（）

A.检测和阻止SQL注入攻击

B.检测和阻止跨站脚本（XSS）攻击

C.自动修复Web应用漏洞

D.提供应用访问日志

15.在渗透测试中，通过猜测或使用弱密码破解系统凭证的方法称为（）。

A.暴力破解

B.社会工程学

C.漏洞利用

D.没有密码

16.以下哪种协议使用TLS/SSL进行加密传输，常用于网页浏览和安全邮件传输？（）

A.FTP

B.HTTP

C.HTTPS

D.SMTP

17.安全事件响应计划中，通常最先采取的步骤是（）。

A.根除威胁

B.证据收集与分析

C.风险评估

D.准备与遏制

18.以下哪个国际标准与信息安全管理体系相关？（）

A.ISO9001

B.ISO27001

C.ISO22000

D.ISO14001

19.在进行渗透测试时，使用工具模拟钓鱼邮件，诱骗员工点击恶意链接，这种方法主要利用了（）。

A.技术漏洞

B.物理访问控制缺陷

C.社会工程学原理

D.系统配置错误

20.哪种漏洞扫描技术在不运行应用程序的情