网络安全分析师漏洞挖掘试卷及分析.docxVIP

网络安全分析师漏洞挖掘试卷及分析

一、单项选择题（共10题，每题1分，共10分）

漏洞挖掘全流程中，信息收集阶段不需要重点完成的工作是以下哪一项？

A.梳理目标资产的开放端口和对应服务版本

B.收集目标系统公开提交过的历史漏洞记录

C.直接向目标服务器发送大量恶意测试数据包获取权限

D.统计目标Web应用使用的框架、中间件信息

答案：C

解析：正确选项依据是信息收集阶段仅需要完成资产、指纹、背景信息的梳理工作，直接发送大量恶意数据包属于漏洞验证阶段的操作，未做流量控制还会直接干扰目标业务正常运行，违反漏洞挖掘的合规要求。其余三个选项都是信息收集阶段的常规核心工作内容，均不符合题干的“不需要完成的工作”要求。

以下关于CVE漏洞编号的描述，正确的是？

A.所有公开漏洞都会自动分配CVE编号

B.CVE编号是漏洞的公开统一标识，代表该漏洞已经被第三方机构收录确认

C.拿到CVE编号就等于获得了对应的漏洞利用EXP

D.未公开的0day漏洞也会被提前分配正式的CVE编号

答案：B

解析：正确选项依据是CVE是通用漏洞披露体系的统一编号规则，被收录的漏洞都经过第三方机构的确认校验。选项A错误，大量低危小众漏洞不会被分配CVE编号；选项C错误，CVE编号仅为标识信息，不会同步提供利用代码；选项D错误，未公开的0day漏洞不会提前分配正式CVE编号，只有漏洞公开或提交收录后才会