2026年渗透测试工程师考试题库（附答案和详细解析）（0118）.docxVIP

渗透测试工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

渗透测试中，信息收集阶段的核心目标是（）

A.验证目标系统漏洞

B.获取目标网络拓扑及资产信息

C.植入持久性后门

D.生成最终测试报告

答案：B

解析：信息收集阶段的主要任务是通过公开信息、工具扫描等方式全面了解目标资产（如IP范围、域名、服务器类型等），为后续漏洞发现提供基础。A属于漏洞验证阶段，C属于漏洞利用阶段，D属于报告撰写阶段。

以下工具中，专门用于拦截和修改HTTP/HTTPS请求的是（）

A.Nmap

B.Metasploit

C.BurpSuite

D.Wireshark

答案：C

解析：BurpSuite是专业的Web安全测试工具，核心功能是拦截、修改HTTP请求（代理模块）。Nmap用于端口扫描，Metasploit用于漏洞利用，Wireshark用于抓包分析（不侧重修改请求）。

SQL注入漏洞的本质是（）

A.输入数据未经过有效过滤

B.数据库权限配置错误

C.服务器内存溢出

D.网络传输未加密

答案：A

解析：SQL注入的根本原因是应用程序将用户输入直接拼接到SQL语句中（未做转义或参数化处理），导致攻击者可操控数据库执行任意命令。B是权限问题，C是缓冲区溢出，D是传输层安全问题，均与SQL注入无关。

渗透测试报告中，“风险等级”通常依据（）划分

A