渗透模拟面试题及答案解析.pdfVIP

渗透模拟面试题及答案解析

一、单项选择题（共10题，每题2分）

1.下列哪一项不属于OWASPTop10(2021)中列出的安全风险？

A.失效的访问控制

B.加密机制失效

C.缓冲区溢出

D.服务器端请求伪造(SSRF)

答案：C

2.在渗透测试的信息收集阶段，下列哪种方法通常用于查找子域名？

A.SQL注入

B.目录遍历

C.字典爆破

D.ARP欺骗

答案：C

3.以下哪个HTTP状态码通常表示“资源未找到”？

A.200

B.302

C.403

D.404

答案：D

4.哪种类型的SQL注入攻击是通过观察Web应用程序的响应时间差异

来推断信息的？

A.布尔型盲注

B.联合查询注入

C.时间型盲注

D.报错注入

答案：C

5.用于拦截和修改HTTP/HTTPS流量的代理工具是？

A.Nmap

B.Wireshark

C.BurpSuite

D.Metasploit

答案：C

6.下列哪一项是防御跨站脚本攻击（XSS）最有效的方法之一？

A.使用防火墙

B.对用户输入进行严格的过滤和转义

C.禁用JavaScript

D.使用HTTPS协议

答案：B