2026年Web安全方向面试高频题 渗透测试岗必刷核心考点.docVIP

2026年Web安全方向面试高频题渗透测试岗必刷核心考点

一、单项选择题，20分

1.在HTTP响应头中，可用来强制浏览器仅通过HTTPS访问资源的安全字段是

A.X-Frame-Options

B.Strict-Transport-Security

C.X-Content-Type-Options

D.Content-Security-Policy

2.下列哪条命令可在nmap中实现TCPSYN半开放扫描

A.nmap-sT

B.nmap-sS

C.nmap-sU

D.nmap-sF

3.当目标WAF拦截UNIONSELECT时，最可能绕过过滤的编码方式是

A.Base64

B.URL二次编码

C.HTML实体编码

D.UTF-7

4.利用XXE读取/etc/passwd时，若回显被阻断，首选的带外数据通道技术是

A.FTPOOB

B.HTTPOOB

C.DNSOOB

D.SMBOOB

5.在JWT攻击场景下，将alg字段改为none并删除签名后，攻击名称是

A.密钥混淆

B.算法混淆

C.密钥泄露

D.算法降级

6.针对Spring4Shell漏洞，触发利用链必须向服务器上传

A..jsp马

B.