2026年网络安全工程师（Web安全）技能鉴定试题及答案.docxVIP

2026年网络安全工程师（Web安全）技能鉴定试题及答案

一、单项选择题（每题2分，共30分）

1.某电商站点使用JWT作为会话令牌，签名算法为HS256。攻击者通过Burp抓取到一段有效token后，最可能实施以下哪种攻击直接获取管理员权限？

A.修改payload中role:user为admin后重放

B.将alg字段改为none后去除签名重放

C.暴力破解服务端32位密钥后重新签名

D.将token放入XSSpayload中窃取他人Cookie

答案：C

解析：HS256对称签名，密钥泄露即可任意伪造。alg改为none仅在服务端接受无签名时有效，题目未说明支持。暴力破解32位密钥在离线场景下可行，成功率随密钥复杂度下降。

2.在HTTP/2下，以下哪种特性最可能被用于绕过WAF的SQL注入检测？

A.头部压缩HPACK

B.服务器推送

C.二进制分帧

D.多路复用

答案：C

解析：二进制分帧使同一请求可被拆成多个帧，WAF若未完整重组帧流，则关键字unionselect被拆分后可能绕过正则。

3.某GraphQL接口存在BATCH查询，单次请求可包含200个查询字段。以下哪种利用方式能最快造成应用层DoS？

A.字段重复别名导致响应膨胀

B.深层嵌套fragment造成解析复杂度指数级上升

C.向mutation字段发送大文件

D.利用@skip指令循环调用自身

答案：B

解析：GraphQL解析器对嵌套fragment的复杂度计算默认不限制，200层嵌套可在毫秒级耗尽CPU。

4.关于SameSite=None的Cookie，以下说法正确的是：

A.必须同时设置Secure和HttpOnly

B.在跨站POST请求中一定不会被发送

C.可被CSRF利用除非附加Token验证

D.在Lax模式下同样生效

答案：C

解析：SameSite=None允许跨站携带，但需Secure；无Token仍可被CSRF。

5.以下哪条CSP策略能彻底阻止内联事件处理器（如onclick）？

A.script-srcself;object-srcnone

B.script-srcnonce-abc;style-srcself

C.script-srcstrict-dynamic;default-srcself

D.script-srcselfunsafe-inline

答案：B

解析：nonce值随机且只匹配显式标记的脚本，内联事件无nonce即被阻断；unsafe-inline会放行。

6.在SpringSecurity6.x中，默认启用哪种防御点击劫持的机制？

A.X-Frame-Options:DENY

B.CSPframe-ancestorsnone

C.清除式JavaScript破框脚本

D.无默认机制需手动配置

答案：A

解析：SpringSecurity6.x默认发送X-Frame-Options:DENY，除非显式关闭。

7.攻击者上传了shell.jspx文件，但服务器返回404。最可能的原因是：

A.中间件把.jspx解析成静态文件

B.文件名被重写为shell_jspx

C.缺少JSPX编译器依赖

D.上传目录与Web根分离且未映射

答案：D

解析：多数站点把上传路径置于非Web根，即使文件落地也无法URL访问。

8.关于BlindXXE，以下哪种Out-of-Band通道最稳定穿透严格出网策略？

A.HTTP外带

B.DNS外带

C.FTP外带

D.Gopher外带

答案：B

解析：DNS查询常被允许且不易被代理阻断，可逐字泄露数据。

9.某API使用OAuth2.0PKCE，授权码流程中若省略code_challenge，攻击者可实施：

A.授权码劫持

B.重定向URI篡改

C.跨站请求伪造

D.刷新令牌泄露

答案：A

解析：PKCE防止授权码被截获后重用，省略后攻击者可用窃取到的code直接换token。

10.当目标站点开启Content-Security-Policy-Report-Only且未做报告接收端过滤，攻击者可：

A.触发XSS并接收用户数据

B.通过CSP报告进行XS-Search推断用户敏感信息

C.绕过CSP执行脚本

D.直接获取服务器源码

答案：B

解析：报告端可接收被阻止的URL，攻击者构造恶意URL诱导访问，通过报告端是否存在推断私有信息。

11.以下哪条HTTP响应头对缓存投毒（CachePoisoning）防御最直接？

A.Vary:

B.Cache-Control:no-store

C.X-Content-Type-Opt