2026年渗透测试工程师考试题库（附答案和详细解析）（0216）.docxVIP

渗透测试工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

渗透测试的核心目的是：

A.破坏目标系统的正常运行

B.验证系统安全防护能力

C.窃取目标系统敏感数据

D.测试网络带宽性能

答案：B

解析：渗透测试是通过模拟恶意攻击的方式，评估系统安全防护能力的合法测试方法（依据《渗透测试标准》）。错误选项：A（破坏系统是非法行为，非测试目的）；C（窃取数据属于攻击行为，测试需严格限制范围）；D（网络带宽测试属于性能测试，非安全测试范畴）。

以下工具中，专门用于Web应用漏洞扫描的是：

A.Nmap

B.BurpSuite

C.Wireshark

D.Metasploit

答案：B

解析：BurpSuite是专业的Web安全测试工具，支持代理、扫描、漏洞利用等功能（OWASP推荐工具）。错误选项：A（Nmap是网络扫描工具，用于端口和服务发现）；C（Wireshark是抓包分析工具）；D（Metasploit是漏洞利用框架，需结合漏洞库使用）。

SQL注入漏洞的根本原因是：

A.数据库版本过旧

B.用户输入未做安全过滤

C.防火墙策略配置错误

D.服务器硬件性能不足

答案：B

解析：SQL注入源于应用程序将用户输入直接拼接至SQL语句（OWASPTop102021）。错误选项：A（版本过旧可能增加风险，但非根本原因）；C（防火墙不处理应用层