2026年网络攻防中级专项练习题.docxVIP

第PAGE页共NUMPAGES页

2026年网络攻防中级专项练习题

一、选择题（每题2分，共20题）

1.某金融机构采用多因素认证（MFA）来保护其员工远程访问内部系统。攻击者通过社会工程学手段获取了员工的用户名和密码，但未能通过MFA验证。攻击者接下来最可能采取哪种攻击方式？

A.暴力破解密码

B.利用钓鱼邮件诱导员工点击恶意链接

C.滑动攻击（SlideAttack）

D.利用已知凭证进行内部凭证填充（CredentialStuffing）

2.某政府部门部署了零信任安全架构，要求所有访问请求必须经过动态验证。以下哪项措施最符合零信任原则？

A.基于IP地址的白名单访问控制

B.员工首次登录时强制执行MFA

C.仅允许通过公司Wi-Fi访问内部系统

D.对所有用户默认授予完全访问权限，后续根据行为动态调整

3.某企业发现其数据库遭受SQL注入攻击，攻击者成功执行了未授权查询。为防御此类攻击，以下哪项措施最有效？

A.使用存储过程替代动态SQL

B.对输入参数进行严格的白名单验证

C.提高数据库用户权限

D.定期更换数据库密码

4.某电商平台部署了Web应用防火墙（WAF），但发现攻击者仍能绕过防护。以下哪种攻击方式最可能绕过WAF？

A.利用XML外部实体注入（XXE）

B.通过HTTPS加密传输恶意脚本

C.利用服务器端