安全测试工程师安全测试风险评估含答案.docxVIP

第PAGE页共NUMPAGES页

2026年安全测试工程师安全测试风险评估含答案

一、单选题（共10题，每题2分，合计20分）

题目：

1.在进行安全测试风险评估时，以下哪项属于低概率、低影响的风险类型？

A.数据库SQL注入漏洞

B.跨站脚本（XSS）导致会话劫持

C.系统日志未开启，导致安全事件难以追溯

D.服务器配置错误，导致性能下降

2.以下哪项属于高概率、高影响的安全风险？（）

A.邮件服务器存在延迟，影响用户登录

B.API接口存在认证绕过漏洞，可导致数据泄露

C.第三方库版本过旧，但未影响核心功能

D.系统偶尔出现白屏，但重启后恢复正常

3.NISTSP800-30中，哪种风险矩阵最适合用于金融行业的敏感系统？（）

A.4x4矩阵（严重性、可能性）

B.5x5矩阵（影响程度、发生概率）

C.3x3矩阵（风险等级）

D.定性评估矩阵

4.在评估Web应用时，发现存在SSRF（服务器端请求伪造）漏洞，但该漏洞仅限于内网访问。根据风险评估原则，该漏洞应被归类为？（）

A.高风险（因可能导致内网数据泄露）

B.中风险（因仅限内网）

C.低风险（因无外网影响）

D.不可评估

5.CVSS（CommonVulnerabilityScoringSystem）中，哪个版本引入了攻击复杂度（AttackVectorC