2026年物联网安全渗透测试认证考核题目含答案.docxVIP

第PAGE页共NUMPAGES页

2026年物联网安全渗透测试认证考核题目含答案

一、单选题（共10题，每题2分，合计20分）

1.在物联网设备中，以下哪种协议最容易受到中间人攻击（MITM）？

A.MQTT

B.CoAP

C.Zigbee

D.BluetoothLE

答案：B

解析：CoAP协议在默认情况下未使用TLS/DTLS加密，且设备地址和消息ID为明文传输，因此容易受到MITM攻击。

2.某智能家居设备存在固件漏洞，攻击者可通过未授权的HTTP请求获取设备管理权限。该漏洞属于以下哪种类型？

A.逻辑漏洞

B.物理漏洞

C.配置漏洞

D.通信漏洞

答案：C

解析：HTTP请求未受权限控制，属于配置不当导致的漏洞。

3.在物联网设备中，以下哪种加密算法强度最低，已被行业广泛弃用？

A.AES-128

B.DES

C.3DES

D.RSA-2048

答案：B

解析：DES密钥长度仅为56位，抗暴力破解能力不足，已被弃用。

4.某工业物联网（IIoT）设备使用默认的管理密码，攻击者通过字典攻击成功入侵。该场景属于以下哪种攻击方式？

A.暴力破解

B.社会工程学

C.滑雪攻击

D.鱼叉式攻击

答案：A

解析：使用默认密码并暴力尝试常见密码组合，属于暴力破解。

5.在物联网设备固件中，以下哪个目录最可能包含敏感配置文件？

A.`/var/log`

B.`/etc/config`

C.`/tmp`

D.`/proc`

答案：B

解析：`/etc/config`目录通常存储设备配置文件，如Wi-Fi密钥、API密钥等。

6.某物联网网关存在拒绝服务（DoS）漏洞，攻击者可通过大量无效请求耗尽设备资源。该漏洞属于以下哪种类型？

A.内存溢出

B.资源耗尽

C.代码注入

D.重放攻击

答案：B

解析：大量无效请求导致CPU或内存饱和，属于资源耗尽攻击。

7.在物联网安全评估中，以下哪种工具最适合进行无线网络嗅探？

A.Nmap

B.Wireshark

C.Metasploit

D.Aircrack-ng

答案：B

解析：Wireshark可捕获并解析无线网络流量，分析协议漏洞。

8.某智能摄像头存在命令注入漏洞，攻击者可通过构造恶意URL执行任意命令。该漏洞属于以下哪种攻击？

A.SQL注入

B.命令注入

C.跨站脚本（XSS）

D.文件包含

答案：B

解析：URL参数被直接传递给系统命令，属于命令注入。

9.在物联网设备中，以下哪种认证机制最安全？

A.用户名/密码

B.二次验证（2FA）

C.指纹识别

D.预共享密钥（PSK）

答案：C

解析：生物识别技术（如指纹）无法被猜测或窃取，安全性最高。

10.某智能门锁存在固件签名绕过漏洞，攻击者可伪造固件更新包。该漏洞属于以下哪种攻击？

A.水坑攻击

B.固件篡改

C.中间人攻击

D.日志绕过

答案：B

解析：攻击者修改固件签名以绕过验证，属于固件篡改。

二、多选题（共5题，每题3分，合计15分）

1.以下哪些物联网协议存在明文传输风险，易受窃听攻击？

A.HTTP

B.CoAP

C.MQTT

D.Zigbee

E.BLE

答案：A,B,C

解析：HTTP、CoAP、MQTT默认未加密，易被窃听。Zigbee和BLE可配置加密。

2.在物联网设备中，以下哪些操作可能导致敏感数据泄露？

A.远程日志上传

B.固件自动更新

C.设备ID广播

D.蓝牙pairing过程

E.Wi-Fi探针响应

答案：A,C,D,E

解析：日志上传、设备ID广播、蓝牙配对、Wi-Fi探针响应均可能泄露数据。

3.以下哪些物联网设备容易受到物理攻击？

A.智能插座

B.工业传感器

C.智能门锁

D.无线摄像头

E.云服务器

答案：A,B,C,D

解析：物理接触的设备（如插座、传感器、门锁、摄像头）易受物理攻击，云服务器安全性较高。

4.在物联网渗透测试中，以下哪些工具可用于漏洞扫描？

A.Nmap

B.Nessus

C.OpenVAS

D.Wireshark

E.Metasploit

答案：A,B,C,E

解析：Nmap、Nessus、OpenVAS、Metasploit均支持漏洞扫描，Wireshark仅用于流量分析。

5.以下哪些物联网场景需要部署入侵检测系统（IDS）？

A.智能家居

B.工业控制系统（ICS）

C.智慧城市

D.智能医疗设备

E.移动支付终端

答案：B,C,D

解析：ICS、智慧城市、智能医疗设备因安全要求高，需部署IDS。智能家居和移动支付终端可依赖轻量级防护。

三、判断题（共10题，