2026年渗透测试工程师考试题库（附答案和详细解析）（0417）.docxVIP

渗透测试工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

1.在渗透测试中，哪个工具主要用于拦截和修改HTTP请求？

A.Wireshark

B.Nmap

C.BurpSuite

D.JohntheRipper

答案：C

解析：BurpSuite是专用于web应用测试的代理工具，允许拦截、修改和重放HTTP请求，适用于漏洞检测。Wireshark用于网络流量分析，Nmap用于端口扫描，JohntheRipper用于密码破解，均不直接处理HTTP请求拦截。

以下哪种漏洞类型允许攻击者在目标服务器上执行任意代码？

A.Cross-siteScripting(XSS)

B.SQLInjection

C.RemoteCodeExecution(RCE)

D.Cross-SiteRequestForgery(CSRF)

答案：C

解析：RemoteCodeExecution(RCE)漏洞直接使攻击者能在服务器上运行恶意代码，导致系统控制权丢失。XSS在用户浏览器执行脚本，SQLInjection操作数据库，CSRF诱导用户执行操作，均不直接执行服务器代码。

渗透测试的法律基础是什么？

A.道德黑客

B.权限获取

C.安全协议

D.书面授权

答案：D

解析：渗透测试必须获得客户书面授权（如ScopeofWork协