2026年渗透测试工程师考试题库（附答案和详细解析）（0210）.docxVIP

渗透测试工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

渗透测试的核心目标是：

A.发现系统所有漏洞

B.模拟真实攻击以评估系统安全性

C.破坏目标系统的正常运行

D.窃取目标系统的敏感数据

答案：B

解析：渗透测试是授权的模拟攻击测试，核心目标是通过模拟真实攻击场景评估系统安全防护能力（ISO/IEC27001标准）。选项A错误，因无法发现“所有”漏洞；C、D属于非法攻击行为，违背渗透测试的授权性质。

以下工具中，专门用于漏洞利用的是：

A.Nessus

B.Wireshark

C.Metasploit

D.BurpSuite

答案：C

解析：Metasploit是开源漏洞利用框架，集成大量漏洞POC和攻击模块（如MS17-010永恒之蓝）。Nessus（A）是漏洞扫描工具，Wireshark（B）是抓包分析工具，BurpSuite（D）是Web安全测试代理工具，均不直接用于漏洞利用。

以下哪类漏洞属于OWASPTop10（2021）中的“身份认证失效”？

A.SQL注入

B.会话固定（SessionFixation）

C.XSS跨站脚本

D.文件包含

答案：B

解析：OWASPTop10（2021）中“身份认证失效”涵盖会话管理缺陷（如会话固定、弱令牌）。SQL注入（A）属于“注入”，XSS（C）属于“跨站脚本”，文件包含