大厂渗透测试面试题目及答案(可打印).docx

大厂渗透测试面试题目及答案(可打印)

一、单选题（总分20分）

1.在SQL注入攻击中，如果利用数据库的报错信息来获取数据，这种注入类型被称为（）。

A.联合查询注入

B.报错注入

C.布尔盲注

D.时间盲注

答案：B

2.以下哪种技术常用于绕过WAF（Web应用防火墙）的检测？（）

A.SQL注入

B.参数污染

C.XSS攻击

D.CSRF攻击

答案：B

3.在Linux系统中，利用内核漏洞进行提权时，以下哪个漏洞利用程序通常用于较新的内核版本？（）

A.DirtyCow(CVE-2016-5195)

B.DirtyPipe(CVE-2021-4034)

C.Sudo漏洞

D.CronJob配置错误

答案：B

4.Java反序列化漏洞利用的核心原理是利用了（）方法。

A.readObject

B.writeObject

C.toString

D.equals

答案：A

5.在渗透测试中，获取Webshell后，为了维持权限，攻击者通常会使用（）技术。

A.权限提升

B.权限维持

C.横向移动

D.隐蔽隧道

答案：B

6.以下关于XSS（跨站脚本攻击）的描述，错误