1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 技工类职业技能考试

2025年渗透测试工程师考试题库(附答案和详细解析)(1228).docxVIP

  • 0
  • 0
  • 约6千字
  • 约 10页
  • 2026-01-31 发布于上海
  • 举报

2025年渗透测试工程师考试题库(附答案和详细解析)(1228).docx

    渗透测试工程师考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    渗透测试的核心目标是:

    A.破坏目标系统完整性

    B.验证系统安全防护能力

    C.窃取目标敏感数据

    D.测试网络带宽性能

    答案:B

    解析:渗透测试是通过模拟攻击评估系统安全性的合法行为,核心目标是验证防护能力(B正确);破坏系统(A)、窃取数据(C)违反道德和法律,带宽测试(D)属于性能测试范畴(错误)。

    以下工具中,主要用于被动信息收集的是:

    A.Nmap

    B.Shodan

    C.BurpSuite

    D.Metasploit

    答案:B

    解析:Shodan是搜索引擎,通过公开数据收集目标信息(被动)(B正确);Nmap(主动扫描)、Burp(Web测试)、Metasploit(漏洞利用)均为主动工具(A/C/D错误)。

    SQL注入漏洞的本质是:

    A.输入数据未经过有效过滤

    B.数据库管理员密码弱

    C.服务器防火墙配置错误

    D.操作系统未打补丁

    答案:A

    解析:SQL注入源于用户输入未过滤,导致恶意SQL代码被执行(A正确);弱密码(B)、防火墙(C)、系统补丁(D)是其他安全问题,与注入无直接关联(错误)。

    以下哪个阶段属于渗透测试的初始阶段?

    A.漏洞利用

    B.信息收集

    C.后渗透控制

    D.报告编写

    答案:B

    解析:渗透测试标准流程为信息收集→漏洞扫描→漏洞利用→后渗透→报告编写(B正确),其他阶段均在信息收集之后(A/C/D错误)。

    用于检测Web应用层漏洞的专用工具是:

    A.Wireshark

    B.Nessus

    C.OWASPZAP

    D.Aircrack-ng

    答案:C

    解析:OWASPZAP是专门针对Web应用的漏洞扫描工具(C正确);Wireshark(抓包)、Nessus(通用漏洞扫描)、Aircrack-ng(无线破解)功能不符(A/B/D错误)。

    社会工程学攻击的核心是:

    A.利用系统漏洞

    B.利用人性弱点

    C.破解加密算法

    D.干扰网络通信

    答案:B

    解析:社会工程学通过欺骗、诱导等手段获取信任(B正确);漏洞利用(A)、加密破解(C)、网络干扰(D)属于技术攻击(错误)。

    以下不属于常见横向移动技术的是:

    A.票据传递(Pass-the-Ticket)

    B.远程桌面协议(RDP)

    C.端口扫描(PortScanning)

    D.横向执行(Psexec)

    答案:C

    解析:横向移动是控制内网其他主机的过程,包括票据传递(A)、RDP(B)、Psexec(D);端口扫描(C)是信息收集手段(错误)。

    渗透测试报告中“风险等级”的划分依据通常不包括:

    A.漏洞利用难度

    B.漏洞影响范围

    C.测试工具型号

    D.数据泄露可能性

    答案:C

    解析:风险等级基于利用难度(A)、影响范围(B)、数据风险(D);工具型号(C)与风险无关(错误)。

    以下哪个漏洞属于客户端漏洞?

    A.文件包含(LFI)

    B.跨站脚本(XSS)

    C.命令注入(CommandInjection)

    D.路径遍历(PathTraversal)

    答案:B

    解析:XSS通过用户浏览器执行恶意脚本(客户端)(B正确);LFI、命令注入、路径遍历均影响服务端(A/C/D错误)。

    渗透测试中“白盒测试”的特点是:

    A.测试方无目标系统任何信息

    B.测试方拥有完整系统文档

    C.仅测试网络边界设备

    D.仅模拟外部攻击者

    答案:B

    解析:白盒测试(透明测试)提供完整信息(B正确);无信息(A)是黑盒,边界测试(C)、外部模拟(D)是黑盒特点(错误)。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于渗透测试前必须完成的准备工作有:

    A.签订授权协议

    B.明确测试范围

    C.准备攻击工具

    D.通知目标用户

    答案:ABC

    解析:授权协议(A)是法律依据,明确范围(B)避免越界,工具准备(C)是技术基础(正确);通知用户(D)可能暴露测试意图(错误)。

    常见的Web应用层漏洞包括:

    A.CSRF(跨站请求伪造)

    B.弱口令认证

    C.目录遍历

    D.ARP欺骗

    答案:ABC

    解析:CSRF(A)、弱口令(B)、目录遍历(C)均为Web应用层漏洞(正确);ARP欺骗(D)是网络层攻击(错误)。

    以下工具中,可用于漏洞利用的有:

    A.Metasploit

    B.ExploitDatabase

    C.Hydra

    D.WPScan

    答案:ABCD

    解析:Metasploit(漏洞利用框架)、ExploitDatabase(漏洞代码库)、Hydra(暴力破解)、WPScan(WordPress漏洞检测)均涉及利用(正确)。

    渗透测试中“信息收集”阶段的子任务包括:

    A.域名WHOIS查询

    B.端口开放状态

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >