2025年信息安全师(渗透测试技术)真题精选试卷及答案.pdfVIP

2025年信息安全师（渗透测试技术）真题精

选试卷及答案

考试时间：______分钟总分：______分姓名：______

一、选择题（每题2分，共30分。请将正确选项字母填入括号内）

1.在渗透测试的生命周期中，哪个阶段通常涉及与客户沟通测试范围、授权

和报告交付？()

A.侦察

B.执行

C.提交报告

D.规划与授权

2.以下哪种网络扫描技术最适合用于快速发现目标主机上开放的服务和端口？

()

A.扫描器指纹识别

B.全连接扫描（TCPConnectScan）

C.半连接扫描（TCPSYNScan）

D.FIN扫描

3.当渗透测试人员需要收集目标公司的员工邮箱列表时，以下哪种工具最有

可能实现？()

A.Nmap

B.theHarvester

C.Nessus

D.Metasploit

4.在Web应用渗透测试中，BurpSuite的主要功能是？()

A.自动部署Web应用

B.主动扫描Web漏洞并拦截、修改、重放HTTP请求

C.生成详细的漏洞报告

D.破解Web应用密码

5.以下哪种类型的SQL注入技术允许攻击者在查询中注入恶意SQL代码，从

而绕过认证？()

A.基于布尔的盲注

B.UNION查询注入

C.堆叠查询注入

D.时间盲注

6.在进行密码破解时，如果已知密码是由常见单词组成的，最适合使用哪种

攻击方法？()

A.暴力破解

B.字典攻击

C.彩虹表攻击

D.暂停攻击

7.以下哪个协议因其加密机制较弱，容易受到破解攻击？()

A.WPA3

B.WPA2-PSK

C.WEP

D.TLS1.3

8.在渗透测试中，使用Metasploit框架的主要目的是？()

A.主动攻击目标网络

B.发现和利用目标系统上的漏洞

C.修复目标系统上的安全漏洞

D.评估网络带宽

9.以下哪种安全措施可以有效防御SQL注入攻击？()

A.对用户输入进行严格的验证和过滤，使用参数化查询

B.提高数据库用户权限

C.定期更新数据库版本

D.禁用数据库管理功能

10.当渗透测试人员需要获取目标系统上的敏感文件，并且目标系统使用

sudo机制时，可能采用的技术是？()

A.暴力破解root密码

B.利用sudo配置错误进行权限提升

C.使用Metasploit模块获取文件

D.社会工程学手段骗取管理员权限

11.以下哪个文件通常包含操作系统的默认密码或敏感配置信息？()

A./etc/shadow(Linux)

B./etc/passwd(Linux)

C.c:\windows\system32\config\system(Windows)

D./var/log/auth.log(Linux)

12.在渗透测试报告中，对于发现的漏洞，通常会使用哪个标准来评估其严重

性？()

A.CVE编号

B.CVSS评分

C.CWE编号

D.MITREATTCK矩阵

13.以下哪种攻击利用了应用程序不正确地处理用户输入，导致将输入数据错

误地包含在URL中，从而访问未授权资源？()

A.SQL注