第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁安全測(cè)試題補(bǔ)答及答案解析（含答案及解析）姓名：科室/部門/班級(jí)：得分：題型單選題多選題判斷題填空題簡(jiǎn)答題案例分析題總分得分

一、單選題（共20分）

1.在進(jìn)行安全測(cè)試時(shí)，以下哪項(xiàng)屬于被動(dòng)測(cè)試方法？（）

A.模擬黑客攻擊嘗試入侵系統(tǒng)

B.使用自動(dòng)化掃描工具檢測(cè)漏洞

C.分析系統(tǒng)日志查找異常行為

D.人工測(cè)試網(wǎng)頁表單的輸入驗(yàn)證

2.根據(jù)OWASPTop10，以下哪種漏洞最可能導(dǎo)致敏感數(shù)據(jù)泄露？（）

A.跨站腳本（XSS）

B.跨站請(qǐng)求偽造（CSRF）

C.敏感數(shù)據(jù)未加密存儲(chǔ)

D.錯(cuò)誤配置的訪問控制

3.在滲透測(cè)試中，使用“SQLmap”工具的主要目的是？（）

A.檢測(cè)Web應(yīng)用的服務(wù)器配置

B.掃描網(wǎng)絡(luò)中的開放端口

C.自動(dòng)化檢測(cè)和利用SQL注入漏洞

D.分析系統(tǒng)的防火墻規(guī)則

4.根據(jù)ISO27001標(biāo)準(zhǔn)，以下哪項(xiàng)屬于信息安全管理體系的“風(fēng)險(xiǎn)處理”過程？（）

A.定期進(jìn)行風(fēng)險(xiǎn)評(píng)估

B.制定信息安全策略

C.實(shí)施漏洞修復(fù)措施

D.開展員工安全意識(shí)培訓(xùn)

5.在進(jìn)行無線網(wǎng)絡(luò)安全測(cè)試時(shí)，以下哪種協(xié)議被認(rèn)為是最安全的？（）

A.WEP

B.WPA

C.WPA2-PSK

D.WPA3

6.根據(jù)CVSS評(píng)分系統(tǒng)，以下哪個(gè)參數(shù)對(duì)漏洞危害程度影響最大？（）

A.保密性影響

B.完整性影響

C.可用性影響

D.攻擊復(fù)雜度

7.在進(jìn)行Web應(yīng)用安全測(cè)試時(shí)，以下哪種方法屬于“白盒測(cè)試”范疇？（）

A.黑盒測(cè)試——僅通過外部功能驗(yàn)證

B.動(dòng)態(tài)應(yīng)用安全測(cè)試（DAST）

C.代碼審計(jì)——檢查源代碼漏洞

D.模糊測(cè)試——輸入隨機(jī)數(shù)據(jù)檢測(cè)異常

8.根據(jù)CISControls，以下哪項(xiàng)屬于“基礎(chǔ)防御”措施？（）

A.部署入侵防御系統(tǒng)（IPS）

B.定期更新操作系統(tǒng)補(bǔ)丁

C.實(shí)施多因素認(rèn)證（MFA）

D.建立安全事件響應(yīng)計(jì)劃

9.在進(jìn)行安全測(cè)試報(bào)告時(shí)，以下哪項(xiàng)內(nèi)容屬于“風(fēng)險(xiǎn)建議”的范疇？（）

A.漏洞技術(shù)細(xì)節(jié)描述

B.漏洞修復(fù)優(yōu)先級(jí)排序

C.測(cè)試工具使用清單

D.測(cè)試人員聯(lián)系方式

10.根據(jù)NISTSP800-53，以下哪項(xiàng)控制措施主要用于防止未授權(quán)訪問？（）

A.防火墻配置

B.入侵檢測(cè)系統(tǒng)（IDS）

C.訪問控制策略

D.數(shù)據(jù)加密

二、多選題（共15分，多選、錯(cuò)選不得分）

11.以下哪些屬于常見的Web應(yīng)用安全漏洞？（）

A.SQL注入

B.邏輯錯(cuò)誤

C.服務(wù)器配置錯(cuò)誤

D.跨站請(qǐng)求偽造

12.在進(jìn)行滲透測(cè)試時(shí)，以下哪些工具可能被用于密碼破解？（）

A.JohntheRipper

B.Hashcat

C.Nmap

D.Metasploit

13.根據(jù)PCIDSS標(biāo)準(zhǔn)，以下哪些措施屬于支付卡安全要求？（）

A.數(shù)據(jù)加密傳輸

B.定期進(jìn)行安全審計(jì)

C.實(shí)施物理訪問控制

D.員工背景調(diào)查

14.在進(jìn)行無線網(wǎng)絡(luò)安全測(cè)試時(shí)，以下哪些協(xié)議存在已知漏洞？（）

A.WEP

B.WPA2

C.WPA3

D.802.11n

15.根據(jù)ISO27005標(biāo)準(zhǔn)，以下哪些屬于信息安全風(fēng)險(xiǎn)評(píng)估的方法？（）

A.定性評(píng)估

B.定量評(píng)估

C.半定量評(píng)估

D.風(fēng)險(xiǎn)矩陣分析

三、判斷題（共10分，每題0.5分）

16.安全測(cè)試只能通過自動(dòng)化工具進(jìn)行。（）

17.WPA3協(xié)議比WPA2更難被破解。（）

18.根據(jù)OWASPTop10，2021版中未包含“服務(wù)器端請(qǐng)求偽造”（SSRF）漏洞。（）

19.滲透測(cè)試前必須獲得客戶書面授權(quán)。（）

20.CVSS評(píng)分系統(tǒng)中的“攻擊向量”指漏洞利用的技術(shù)難度。（）

21.安全意識(shí)培訓(xùn)不屬于信息安全管理體系（ISMS）的范疇。（）

22.黑盒測(cè)試需要測(cè)試人員訪問系統(tǒng)源代碼。（）

23.根據(jù)CISControls，所有控制措施都必須100%有效才能通過評(píng)估。（）

24.數(shù)據(jù)加密只能防止數(shù)據(jù)泄露，無法防止數(shù)據(jù)篡改。（）

25.PCIDSS要求所有處理支付卡數(shù)據(jù)的系統(tǒng)必須通過外部安全掃描。（）

四、填空題（共10分，每空1分）

26.在進(jìn)行安全測(cè)試時(shí)，需要遵循的五大原則包括：________、保密性、完整性、可用性、可追溯性。

27.根據(jù)CVSS評(píng)分系統(tǒng)，影響評(píng)分的主要維度包括：攻擊向量、攻擊復(fù)雜性、______、用戶交互。

28.在滲透測(cè)試中，使用“BurpSuite”工具的主要目的是檢測(cè)和修改HTTP請(qǐng)求，屬于______測(cè)試方法。

29.根據(jù)ISO27001標(biāo)準(zhǔn)，信息安全策略的制定需要經(jīng)過組織管理層______和批準(zhǔn)。

30.在進(jìn)行無線網(wǎng)絡(luò)安全測(cè)試時(shí)，發(fā)現(xiàn)“SSID隱藏”屬于______防御手段。

五、簡(jiǎn)答題（共25分）

31.簡(jiǎn)述滲透測(cè)試與安全審計(jì)的主要區(qū)別和聯(lián)系。（6分）

32.結(jié)合實(shí)際案例，說明SQL注入漏洞的危害及檢測(cè)方法。（7分）

33.根據(jù)CISControls，解釋“控制措施1：資產(chǎn)發(fā)現(xiàn)”的核心內(nèi)容及實(shí)施意義。（6分）

六、案例分析題（共20分）

34.某電商公司近期發(fā)現(xiàn)其支付頁面存在安全漏洞，導(dǎo)致部分用戶的信用卡信息被泄露。請(qǐng)分析以下問題：（10分）

（1）可能存在的漏洞類型有哪些？

（2）應(yīng)采取哪些應(yīng)急響應(yīng)措施？

（3）如何預(yù)防類似漏洞的再次發(fā)生？

參考答案及解析

參考答案

一、單選題

1.C

2.C

3.C

4.C

5.D

6.A

7.C

8.B

9.B

10.C

二、多選題

11.A、B、D

12.A、B

13.A、B、C

14.A、B

15.A、B、C、D

三、判斷題

16.×

17.√

18.×

19.√

20.×

21.×

22.×

23.×

24.×

25.√

四、填空題

26.可用性

27.用戶體驗(yàn)

28.黑盒

29.審查

30.主動(dòng)

五、簡(jiǎn)答題

31.滲透測(cè)試與安全審計(jì)的區(qū)別與聯(lián)系

答：

①區(qū)別：

-滲透測(cè)試：模擬攻擊者行為，嘗試主動(dòng)利用漏洞，驗(yàn)證系統(tǒng)安全性（如黑盒/白盒測(cè)試）。

-安全審計(jì)：系統(tǒng)性檢查信息安全控制措施的有效性，側(cè)重合規(guī)性（如PCIDSS審計(jì)）。

-滲透測(cè)試更關(guān)注“攻破能力”，審計(jì)更關(guān)注“控制有效性”。

②聯(lián)系：

-兩者都基于風(fēng)險(xiǎn)評(píng)估結(jié)果，可互相補(bǔ)充（審計(jì)發(fā)現(xiàn)問題后，滲透測(cè)試驗(yàn)證修復(fù)效果）。

-滲透測(cè)試報(bào)告可作為安全審計(jì)的輸入材料。

32.SQL注入漏洞的危害與檢測(cè)方法

答：

①危害：

-數(shù)據(jù)泄露（用戶密碼、訂單信息等）。

-數(shù)據(jù)篡改（修改訂單金額等）。

-系統(tǒng)破壞（刪除數(shù)據(jù)庫(kù)記錄等）。

-灰盒攻擊（通過數(shù)據(jù)庫(kù)執(zhí)行任意命令）。

②檢測(cè)方法：

-手動(dòng)輸入特殊字符（如`'OR'1'='1`）測(cè)試返回結(jié)果。

-使用工具（如SQLmap）自動(dòng)掃描。

-代碼審計(jì)——檢查未校驗(yàn)用戶輸入的SQL語句。

33.CISControls控制措施1：資產(chǎn)發(fā)現(xiàn)

答：

①核心內(nèi)容：

-列出所有IT資產(chǎn)（服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等）。

-記錄資產(chǎn)IP、操作系統(tǒng)、開放端口、負(fù)責(zé)人等信息。

②實(shí)施意義：

-漏洞管理的基礎(chǔ)（未知資產(chǎn)無法修復(fù)）。

-合規(guī)性要求（如PCIDSS要求記錄支付環(huán)境資產(chǎn)）。

-安全事件追溯（定位攻擊源頭）。

六、案例分析題

34.電商支付頁面漏洞分析

①可能漏洞類型：

答：

-SQL注入（未過濾用戶輸入，導(dǎo)致數(shù)據(jù)庫(kù)查詢被篡改）。

-跨站腳本（XSS，攻擊者通過支付頁面注入惡意腳本竊取用戶Cookie）。

-服務(wù)器端請(qǐng)求偽造（SSRF，攻擊者通過支付接口發(fā)起內(nèi)部網(wǎng)絡(luò)探測(cè)）。

-敏感數(shù)據(jù)未加密傳輸（HTTPS未啟用）。

②應(yīng)急響應(yīng)措施：

答：

①立即下線支付頁面（臨時(shí)跳轉(zhuǎn)至安全版本）。

②追蹤受影響用戶，通知修改密碼（若發(fā)現(xiàn)憑證泄露）。

③掃描系統(tǒng)其他頁面，排查類似漏洞。

④通知支付網(wǎng)關(guān)暫停合作（若需）。

③預(yù)防措施：

答：

①代碼審計(jì)