2026年企业网络安全漏洞修复技能考核试题及解析.docxVIP

2026年企业网络安全漏洞修复技能考核试题及解析

一、单项选择题（每题2分，共20分）

1.以下关于CVE（通用漏洞披露）编号的描述中，正确的是？

A.CVE-2025-ABCD形式，其中ABCD为4位数字

B.CVE-年份-6至7位数字的唯一标识符

C.CVE编号由国家信息安全漏洞库（CNNVD）统一分配

D.未公开的漏洞无法获得CVE编号

解析：B正确。CVE编号格式为CVE-YYYY-NNNNNN（YYYY为年份，NNNNNN为6-7位数字），由MITRE公司管理；未公开漏洞可通过申请获得预分配编号（ReservedCVEID）。

2.某企业发现Windows服务器存在MS17-010（永恒之蓝）漏洞，其CVSS3.1评分中攻击复杂度（AttackComplexity）为“低”，权限要求（PrivilegesRequired）为“无”，则该漏洞修复优先级应定为？

A.低优先级（可在下季度维护窗口修复）

B.中优先级（1个月内修复）

C.高优先级（72小时内修复）

D.紧急优先级（24小时内修复）

解析：D正确。MS17-010为远程代码执行漏洞，CVSS3.1中攻击复杂度低、无需权限即可利用，属于可蠕虫化漏洞，修复优先级为紧急（通常24小时内完成）。

3.针对Web应用中存储型XSS漏洞的最有效修复措施是？

A.在前端使用JavaScrip