2026年渗透测试《社会工程》模拟试卷（含答案）.docxVIP

渗透测试《社会工程》模拟试卷（含答案）

考试时间：______分钟总分：______分姓名：______

一、选择题

1.以下哪项不属于社会工程学常用的基本原理？（）

A.利用权威获取信息或执行请求

B.制造紧迫感促使对方快速决策

C.利用人类对信息的信任度进行欺骗

D.基于概率随机猜测密码

2.哪种社会工程学攻击通常通过伪装成合法实体（如银行、政府机构）通过邮件或短信诱骗用户泄露敏感信息？（）

A.恶意软件植入

B.桌面快捷方式攻击

C.钓鱼（Phishing）

D.拒绝服务攻击

3.攻击者通过观察目标用户如何输入密码，并记录下来以备后续使用，这种技术属于哪种社会工程学攻击？（）

A.恶意链接诱导

B.线下观察法（ShoulderSurfing）

C.假冒身份

D.社会工程学钓鱼

4.在社会工程学攻击中，“诱饵”（Baiting）技术通常涉及什么？（）

A.发送包含恶意附件的电子邮件

B.在公共场所放置预装恶意软件的U盘或含有诱惑性文件的设备

C.利用电话进行欺骗性交流

D.建立虚假的网站进行身份冒充

5.以下哪项措施最能有效防御“假冒身份”类的社会工程学攻击？（）

A.定期更换密码

B.对所有来电进行核实，特别是索要敏感信息时

C.禁用计算机的麦克风和摄像头

D.使用复杂的密码策略

6.社会工程学在渗透测试中通常扮演什么角色？（）

A.完全独立于技术测试，仅进行访谈和问卷调查

B.作为技术测试（如漏洞扫描、漏洞利用）的补充和起点

C.仅用于评估物理安全措施

D.用于替代密码破解攻击

7.在社会工程学攻击中，利用人们的“互惠”心理，即如果一个人感到亏欠了另一个人，他/她可能更愿意提供帮助或信息，这种技巧属于哪种类型？（）

A.权威利用

B.恐惧诉求

C.互惠原则

D.社会认同效应

8.攻击者通过伪装成IT支持人员，打电话给员工，声称系统出现故障需要远程访问权限，这种攻击通常被称为？（）

A.钓鱼邮件攻击

B.情景模拟攻击

C.假冒支持人员攻击（Pretexting）

D.物理入侵辅助

9.以下哪项行为最容易受到“信息垃圾”社会工程学攻击（即通过公开或半公开信息推断出敏感信息）？（）

A.在社交媒体上发布详细的个人行程

B.使用强密码并定期更换

C.对来历不明的邮件链接保持警惕

D.对公司内部文档进行权限控制

10.社会工程学攻击成功的关键因素之一是利用目标的哪种心理特质？（）

A.拒绝权威

B.过度自信

C.信任他人

D.谨慎怀疑

二、多项选择题

1.以下哪些行为或现象可能表明存在社会工程学攻击风险？（）

A.员工收到看似来自上级的邮件，要求紧急转账到指定账户

B.有人试图通过物理方式强行进入办公室获取服务器信息

C.员工点击了邮件中的不明链接，导致电脑感染病毒

D.员工向陌生人透露了其工号和项目密码

E.公司内部文档访问权限设置混乱，任何人都可以查看

2.社会工程学攻击者可能利用哪些信息来源来收集目标信息？（）

A.公司官方网站和社交媒体页面

B.公开的会议记录和新闻报道

C.垃圾桶中丢弃的文件

D.互联网上的论坛和博客

E.雇员在公共场合的无意透露

3.以下哪些措施有助于提高个人和组织对社会工程学攻击的防御能力？（）

A.定期对员工进行社会工程学意识和技能培训

B.实施严格的密码策略和多因素认证

C.限制敏感信息的访问权限，遵循最小权限原则

D.对所有形式的通信（邮件、电话、即时消息）进行谨慎核实，特别是涉及敏感操作或信息时

E.禁用计算机所有外接接口

4.哪些社会工程学攻击通常涉及直接与目标进行交流（电话、邮件、面对面）？（）

A.钓鱼邮件

B.假冒支持人员攻击

C.诱骗（QuidProQuo）

D.恶意链接诱导

E.假冒身份

5.以下哪些属于社会工程学中利用“权威”原理的常见手法？（）

A.伪装成政府官员进行执法相关的诈骗

B.伪装成知名IT公司技术支持

C.