2026年网络安全攻防技术与应用考试题.docxVIP

第PAGE页共NUMPAGES页

2026年网络安全攻防技术与应用考试题

一、单选题（共10题，每题1分，共10分）

1.某公司采用多因素认证（MFA）来保护其VPN访问。假设攻击者获取了用户的密码，但未能获取其手机验证码。攻击者最可能采用的下一步攻击方式是？

A.使用密码进行暴力破解

B.绕过MFA机制，利用SSRF漏洞

C.社会工程学诱导用户重置密码

D.利用钓鱼网站窃取MFA验证码

2.在漏洞扫描报告中，某Web服务器存在“XML外部实体注入（XXE）”漏洞。攻击者可以利用该漏洞读取服务器文件系统。以下哪种配置可以有效防御XXE漏洞？

A.禁用XML解析器

B.限制XML外部实体解析

C.使用HTTPS加密传输

D.更新服务器操作系统

3.某金融机构的系统日志显示，大量IP地址频繁尝试登录FTP服务，但均因认证失败被拒绝。以下哪种防御措施最能有效缓解此类攻击？

A.禁用FTP服务

B.限制登录IP地址范围

C.启用账户锁定策略

D.使用SFTP替代FTP

4.在渗透测试中，攻击者发现某公司内部网络存在未授权的HTTP服务。该服务可能被用于以下哪种攻击？

A.DDoS攻击

B.网络钓鱼

C.横向移动

D.数据泄露

5.某公司部署了WAF（Web应用防火墙）来防御SQL注入攻击。以下哪种攻击行为最可能绕过WAF的检测？

A.