2026年物联网安全攻防专项训练模拟试卷及答案.docxVIP

2026年物联网安全攻防专项训练模拟试卷及答案

一、单选题（每题2分，共30分）

1.2025年3月，某智慧路灯厂商被曝其固件更新服务器存在SSRF漏洞，攻击者利用该漏洞可绕过防火墙直接访问内网Redis。下列哪项修复措施最能从根源上消除此风险？

A.在边缘网关部署WAF并开启RedisAUTH

B.将固件更新服务器迁移至零信任网络并强制OAuth2.0令牌校验

C.关闭服务器所有出站HTTP请求

D.对Redis绑定并设置复杂口令

答案：B

解析：SSRF本质是服务器替攻击者发起请求，零信任架构默认不信任任何内网地址，OAuth2.0令牌校验可确保请求来源合法，A、D仅缓解，C破坏业务。

2.在MQTT5.0协议中，若服务器支持“SharedSubscription”，攻击者可能利用该特性实施哪类攻击？

A.会话固定

B.消息重放

C.分布式拒绝服务

D.订阅耗尽

答案：D

解析：SharedSubscription允许多客户端共享同一订阅，攻击者可伪造海量ClientID占用共享订阅槽位，导致合法客户端无法获得消息，形成订阅耗尽。

3.2026年1月，某车企TBox被发现使用ECDSAP256私钥硬编码在so文件，但采用自定义KDF（SHA256‖Counter）派生会话密钥。攻击者提取私钥后，最