2026年渗透测试工程师考试题库（附答案和详细解析）（0224）.docxVIP

渗透测试工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪项是渗透测试的核心目标？

A.破坏目标系统完整性

B.验证目标系统的安全防护能力

C.窃取目标系统敏感数据

D.测试网络带宽性能

答案：B

解析：渗透测试的核心目标是通过模拟攻击验证系统的安全防护能力（B正确）。破坏系统（A）和窃取数据（C）违反测试伦理；测试带宽（D）属于性能测试范畴，与渗透测试无关。

使用Nmap进行端口扫描时，-sS参数表示哪种扫描类型？

A.全连接扫描（TCPConnect）

B.SYN半开放扫描

C.UDP扫描

D.空扫描（NullScan）

答案：B

解析：-sS是SYN半开放扫描的参数（B正确）。全连接扫描使用-sT（A错误）；UDP扫描使用-sU（C错误）；空扫描使用-sN（D错误）。

以下哪种漏洞属于OWASPTOP10（2021）中的“失效的访问控制”？

A.SQL注入

B.未授权访问后台管理页面

C.XSS跨站脚本

D.缓冲区溢出

答案：B

解析：未授权访问后台（B）直接属于访问控制失效。SQL注入（A）属于注入漏洞；XSS（C）属于输入验证缺陷；缓冲区溢出（D）属于内存安全错误，均不属于访问控制类（OWASP2021分类）。

渗透测试中“信息收集”阶段的主要目的是？

A.直接利用漏洞获取权限

B.确定目标系统的攻击面

C.清除