2026年网络安全攻防实战漏洞分析与防御技术笔试题.docxVIP

第PAGE页共NUMPAGES页

2026年网络安全攻防实战：漏洞分析与防御技术笔试题

一、单选题（共10题，每题2分，合计20分）

说明：以下题目主要考察基础知识、漏洞识别与防御技术应用，结合中国网络安全监管要求（如《网络安全法》《关键信息基础设施安全保护条例》）设计。

1.某公司采用HTTPS协议传输敏感数据，但未实现HSTS预加载。攻击者可利用此漏洞实施中间人攻击。该漏洞属于哪种类型？

A.跨站脚本（XSS）

B.服务器端请求伪造（SSRF）

C.会话劫持

D.证书透明度（CT）缺失

2.某Web应用存在SQL注入漏洞，攻击者可利用`UNIONSELECT`语句读取数据库敏感信息。以下哪种防御措施最有效？

A.使用WAF拦截恶意SQL语句

B.严格限制数据库用户权限

C.对用户输入进行严格验证与转义

D.开启数据库审计日志

3.某Windows服务器未及时更新补丁，存在MS17-010漏洞。攻击者可利用此漏洞执行远程代码。该漏洞属于哪种攻击方式？

A.拒绝服务（DoS）

B.滑雪车攻击（Snowden）

C.水平提权

D.垂直提权

4.某公司员工使用弱密码登录公司系统，攻击者通过暴力破解获取账号权限。以下哪种措施可显著降低此类风险？

A.启用多因素认证（MFA）

B.定期更换密码

C.禁用账户登录尝试次数限制

D.使用彩