2026年渗透测试工程师考试题库（附答案和详细解析）（0421）.docxVIP

渗透测试工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

1.在渗透测试中，Nmap工具的主要功能是什么？

A.用于数据库查询优化

B.用于网络扫描和主机发现

C.用于密码哈希破解

D.用于文件加密传输

答案：B

解析：Nmap是开源的网络扫描工具，主要用于发现网络中的主机、端口和服务（如TCP/UDP扫描）。正确选项B基于其核心功能；A错误，数据库优化需SQL工具如MySQL；C错误，密码破解用工具如JohntheRipper；D错误，文件加密用工具如GnuPG。

SQL注入攻击主要针对哪种系统组件？

A.前端用户界面

B.后端数据库

C.网络路由器

D.操作系统内核

答案：B

解析：SQL注入通过恶意输入操纵数据库查询，攻击后端数据库。正确选项B符合OWASP定义；A错误，前端界面易受XSS攻击；C错误，路由器攻击涉及路由协议；D错误，内核攻击需缓冲区溢出等。

在渗透测试阶段，“侦察”阶段的主要目的是什么？

A.直接攻击系统漏洞

B.收集目标系统信息

C.编写最终报告

D.提升权限

答案：B

解析：侦察阶段聚焦被动和主动信息收集（如域名、IP、员工信息），为后续扫描做准备。正确选项B基于渗透测试方法论；A错误，攻击在利用阶段；C错误，报告在最后阶段；D错误，权限提升在后期渗透阶段。

BurpSuite工具常用于哪种类型的测试？

A.