网络安全渗透测试工程师中级职业资格考试及答案2025年最新考纲.docxVIP

网络安全渗透测试工程师中级职业资格考试及答案2025年最新考纲

考试时间：______分钟总分：______分姓名：______

一、选择题（每题1分，共20分）

1.下列哪一项不属于OSI模型的应用层？

A.FTP

B.HTTP

C.TCP

D.SMTP

2.在TCP/IP协议栈中，处理网络层地址和路由选择的协议是？

A.UDP

B.ICMP

C.IP

D.HTTP

3.哪种网络扫描技术旨在快速探测目标主机上开放的端口，但通常不进行深入探测？

A.深度扫描

B.全面的扫描

C.快速扫描

D.漏洞扫描

4.在Windows操作系统中，用于管理用户账户和权限的核心组件是？

A.DNS服务器

B.ActiveDirectory域服务

C.DHCP客户端

D.WINS服务器

5.以下哪种类型的攻击利用了应用程序未对用户输入进行充分验证，导致将恶意数据发送到数据库？

A.重放攻击

B.拒绝服务攻击（DoS）

C.SQL注入

D.跨站脚本（XSS）

6.以下哪个工具是用于网络嗅探和协议分析的著名网络包分析器？

A.Nmap

B.JohntheRipper

C.Wireshark

D.Nessus

7.在Web安全中，CSRF（跨站请求伪造）攻击主要利用了用户在某个网站上的什么身份？

A.访问权限

B.会话认证

C.操作权限

D.数据读取权限

8.用于存储网络设备配置信息的数据库通常称为？

A.计账数据库

B.接口数据库

C.配置数据库（CDB）

D.物理数据库

9.以下哪种加密方式属于对称加密？

A.RSA

B.ECC

C.DES

D.SHA-256

10.渗透测试的哪个阶段主要涉及收集目标组织公开可访问的信息？

A.漏洞利用

B.权限维持

C.信息收集

D.漏洞验证

11.以下哪个协议通常用于在客户端和服务器之间建立安全的加密通信通道？

A.FTP

B.Telnet

C.HTTPS

D.SNMP

12.在渗透测试中，对发现的漏洞进行实际利用以验证其可利用性的过程称为？

A.漏洞扫描

B.漏洞验证

C.漏洞评估

D.漏洞报告

13.以下哪种安全模型基于“最少权限”原则，仅授予用户完成其任务所必需的最小权限？

A.Bell-LaPadula模型

B.Biba模型

C.Clark-Wilson模型

D.权限分离模型

14.哪种类型的防火墙工作在网络层，主要根据源/目的IP地址和端口号过滤数据包？

A.代理防火墙

B.状态检测防火墙

C.包过滤防火墙

D.下一代防火墙

15.在无线网络中，WPA2使用哪种加密算法保护数据传输？

A.TKIP

B.AES

C.WEP

D.RC4

16.以下哪种Web漏洞允许攻击者在用户会话期间注入并执行恶意脚本？

A.SQL注入

B.跨站脚本（XSS）

C.权限绕过

D.文件包含漏洞

17.渗透测试报告中通常最后呈现的部分是？

A.漏洞描述

B.测试方法

C.建议的修复措施

D.信息收集过程

18.用于破解密码哈希值的工具是？

A.Nmap

B.BurpSuite

C.JohntheRipper

D.Metasploit

19.以下哪项不属于社会工程学攻击的常见手段？

A.情感操纵

B.网络钓鱼

C.暴力破解

D.诱骗点击

20.在渗透测试中，为了在目标系统上建立持久化访问通道，攻击者可能采用？

A.清单审计

B.植入后门程序

C.漏洞扫描

D.数据抓取

二、填空题（每空1分，共15分）

1.TCP/IP模型的网络层主要对应OSI模型的______层。

2.用于验证用户身份的密码哈希算法通常需要具备单向性和______性。

3.在Web应用中，处理客户端提交的表单数据时，应警惕______漏洞。

4.渗透测试的