2025年网络安全工程师《渗透测试》专项强化.docxVIP

2025年网络安全工程师《渗透测试》专项强化

考试时间：______分钟总分：______分姓名：______

一、选择题（每题1分，共20分）

1.根据中国相关法律法规，未经授权进行渗透测试，对目标信息系统进行攻击、测试的行为属于（）。

A.合法合规的网络安全评估

B.违反网络安全法的行为

C.用户权利范围内的操作

D.原告自行取证的一种方式

2.渗透测试的生命周期中，在“获取访问权限”阶段之前，首要任务是（）。

A.执行攻击并获取系统控制权

B.清除测试过程中留下的痕迹

C.收集目标系统尽可能多的公开信息

D.编写详细的测试报告

3.使用Nmap扫描目标IP，命令`nmap-sV`主要目的是（）。

A.扫描目标开放的端口

B.确定目标系统运行的操作系统和版本

C.进行网络嗅探

D.检测目标主机的防火墙类型

4.在Web应用渗透测试中，利用脚本自动检测常见Web漏洞的技术被称为（）。

A.社会工程学攻击

B.暴力破解

C.漏洞扫描

D.网络钓鱼

5.下列哪种类型的漏洞属于OWASPTop10中的“注入”类漏洞？（）

A.跨站脚本（XSS）

B.跨站请求伪造（CSRF）

C.SQL注入

D.点击劫持

6.以下哪种加密方式常用于保护WPA2/WPA3网络中的用户数据传输？（）

A.DES

B.3DES

C.AES

D.RSA

7.渗透测试过程中，为了模拟内部攻击者，测试人员通常可以（）。

A.优先测试物理访问控制

B.尝试使用默认的管理员账号密码

C.获取目标公司内部员工名单和账号

D.仅测试公开Facing的服务

8.下列哪个工具主要用于密码破解，特别是针对Linux系统的密码哈希？（）

A.Nmap

B.JohntheRipper

C.BurpSuite

D.Metasploit

9.在渗透测试报告中，通常需要对发现的每个漏洞进行（）评级，以反映其严重程度。

A.CVSS

B.CWE

C.CVE

D.NIST

10.当渗透测试发现一个可以被利用来获取低级别用户权限的漏洞时，测试人员应该（）。

A.立即尝试获取最高权限

B.停止测试并报告给管理员

C.继续利用该漏洞尝试访问其他系统

D.忽略该漏洞，因为它影响范围有限

11.以下哪项不属于社会工程学攻击的常见手段？（）

A.鱼叉式钓鱼邮件

B.恶意软件传播

C.预测密码

D.电话诈骗

12.对于Web应用程序的文件上传功能，渗透测试人员需要关注的主要风险之一是（）。

A.站点无法访问

B.文件上传大小限制被绕过

C.上传的文件无法被其他用户下载

D.用户无法修改自己的上传记录

13.在进行无线网络渗透测试时，扫描无线网络SSID并分析其加密方式，通常使用哪个工具？（）

A.Wireshark

B.Aircrack-ng

C.Nessus

D.Metasploit

14.渗透测试的“维持访问权限”阶段，测试人员可能采取的技术手段包括（）。

A.清除系统日志

B.植入后门程序

C.收集敏感信息

D.上述所有

15.如果渗透测试发现目标系统存在一个低危的配置错误，但该错误短期内不易被利用，测试人员应（）。

A.立即披露该错误

B.在报告中记录该错误，但不做进一步利用尝试

C.忽略该错误，因为它风险不高

D.尝试利用该错误来测试更复杂的攻击链

16.在渗透测试报告中，“测试范围”部分通常需要明确说明（）。

A.测试所使用的具体工具

B.测试人员所获得的系统权限

C.本次测试的目标系统、网络范围和测试边界

D.发现漏洞的具体技术细节

17.以下哪种方法不属于密码破解技术？（）

A.字典攻击

B.暴力破解

C.社会工程学获取密码

D.敏捷开发方法

18.对网络设备（如路由器、防火墙）进行渗透测试时，常见的攻击目标包括（）。

A.未授权访问管理接口

B.利用设备自身漏洞获取控制