2026年网络工程师网络安全漏洞扫描试卷

2026年网络工程师网络安全漏洞扫描试卷一、单项选择题（每题2分，共30分）1.在一次对某电商站点进行黑盒扫描时，扫描器返回了大量“/admin/backup.zip”路径的200响应。以下哪项处置顺序最符合“最小影响”原则？A.立即下载备份文件→本地审计→通知客户B.先通知客户→获得书面授权→再下载文件C.直接发送邮件给运维→等待回复→再决定是否下载D.记录URL→继续扫描→报告里统一备注2.关于Nessus的“Compliance”插件集，下列说法正确的是：A.只能用于Windows注册表核查B.依赖目标主机必须开放SSH或SMBC.可与CISBenchmark基准进行自动比对D.无法生成人类可读的修复建议3.当OpenVAS扫描提示“SSL/TLSWeakEncryptionAlgorithms”时，最不可能直接泄露的是：A.会话CookieB.服务器私钥C.用户明文密码D.数据库连接串4.某次扫描发现目标主机开放了873端口，rsync协议返回“@RSYNCD:31.0”且未配置auth。以下哪条命令可在不触发文件同步的前提下验证匿名可读？A.rsync-avzrsync://target/B.rsync--list-onlyrsync://target/C.rsync--daemon--config=/dev/nullD.rsync-esshtarget::5.在AWVS的“BlindXSS”模块中，要延长payload的存活时间，最有效的做法是：A.使用短域名B.将JS代码拆分到多个参数C.把回调地址设为DNSLog平台D.在payload里加入setTimeout(0)6.关于漏洞扫描中的“时间同步”需求，下列场景最依赖NTP的是：A.检测SSL证书有效期B.检测HTTP头中的Date字段C.与SIEM进行日志关联D.检测TCPTimestamps选项7.当Nmap脚本“http-vuln-cve2017-5638”返回“VULNERABLE”时，下一步最合理的验证方式是：A.使用msfconsole的struts2模块直接getshellB.发送不带payload的GET请求确认状态码C.构造OGNL表达式执行whoami并回显D.关闭扫描器以避免二次攻击8.以下哪条正则最能匹配Java反序列化特征“ACED0005”出现在HTTPbody？A.\xac\xed\x00\x05B.\\xac\\xed\\x00\\x05C.[\xac-\xed]\x00\x05D.\xac\xed.{0,10}\x00\x059.在容器逃逸扫描中，若目标/var/run/docker.sock权限为srw-rw----，则最可能的漏洞类别是：A.内核提权B.特权容器逃逸C.Docker组用户逃逸D.Capabilities滥用10.关于“漏洞验证（PoC）”与“漏洞利用（Exploit）”的区别，下列描述错误的是：A.PoC通常无危害B.Exploit一定包含payloadC.PoC必须实现代码执行D.Exploit可能触发杀软11.当扫描器报告“DNSZoneTransfer”但手动“dig@ns1targetaxfr”失败，最可能的原因是：A.目标启用了TSIGB.扫描器误报C.本地DNS缓存污染D.权威NS做了GeoDNS12.以下哪项不是“Web缓存欺骗”漏洞的必要条件？A.缓存服务器按URL后缀缓存B.用户访问敏感地址被重定向C.攻击者能控制受害者浏览器D.目标站点使用CDN13.在IPv6-only网络中，对目标进行SYN扫描时，若收到ICMPv6Type1Code5，则表示：A.端口开放B.端口关闭C.目标不可达，源地址失败D.超出源地址范围限制14.关于“漏洞扫描报告分级”，下列哪项属于“紧急”级？A.自签名SSL证书B.内网SMBv1启用C.公网可访问的MongoDB无认证D.目录列表泄露15.当使用Nessus扫描“SCADA”设备时，为降低DoS风险，应优先选择的策略是：A.将“SafeChecks”设为offB.将“ThoroughTests”设为onC.将“DenialofService”插件族禁用D.将“WebApplicationTests”插件族禁用二、多项选择题（每题3分，共15分）16.以下哪些HTTP头缺失会直接导致“点击劫持”风险？A.X-Frame-OptionsB.Content-Security-PolicyC.X-Content-Type-OptionsD.Strict-Transport-Security17.关于“Gopher协议”在SSRF中的利用，下列说法正确的是A.可构造TCP三次握手B.可发送Redis未授权命令C.可绕过常见HTTP白名单D.在Java中默认支持gopher://18.以下哪些Linux系统调用可用于检测“容器逃逸”风险？A.ptraceB.init_moduleC.process_vm_readvD.reboot19.当扫描器发现“Elasticsearch9200端口未授权”时，可直接造成的危害包括A.通过/_cat/indices泄露索引名B.通过/_search读取文档C.通过/_snapshot备份到远程仓库D.通过/_cluster/settings关闭整个集群20.关于“漏洞扫描中的日志留存”，合规要求通常包括A.扫描器版本号B.授权签字页C.完整原始流量pcapD.扫描时使用的IP白名单三、判断题（每题1分，共10分）21.使用“-sS”比“-sT”更容易被目标防火墙记录到连接日志。22.在Kubernetes中，PodSecurityPolicy可完全阻止容器以privileged模式启动。23.对于HTTP/2服务，HPACK压缩会导致传统基于Content-Length的SQL注入检测失效。24.“CVE-2021-44228”即Log4Shell，其payload必须包含${jndi:ldap://}才能触发。25.当目标返回“HTTP418I'mateapot”时，可100%确认其为WAF蜜罐。26.在WindowsServer2019中，默认启用SMBv3.1.1，因此无需再禁用SMBv1。27.使用Nmap的“--scriptvuln”参数时，所有脚本均默认使用安全模式。28.“SameSite=None”Cookie必须同时标记Secure，否则浏览器会拒绝。29.对于“DNSrebinding”攻击，目标内网设备若校验Host头，则可完全免疫。30.在CI/CD流水线中，每次代码合并后自动触发漏洞扫描属于“DevSecOps”实践。四、填空题（每空2分，共20分）31.Nmap脚本“http-iis-webdav-vuln”用于检测IIS的______漏洞，该漏洞编号为______。32.在SSL/TLS扫描中，若服务器支持______套件，则存在“Sweet32”风险，其块大小为______位。33.当使用OpenVAS扫描“Heartbleed”时，实际发送的payload长度为______字节，偏移量为______。34.在Linux系统中，若/proc/sys/kernel/core_pattern内容以“|”开头，则可能被用于______攻击，其利用的是______机制。35.若某JWT的header为{"alg":"none"}，则签名段应填______，这种攻击方式称为______。五、简答题（每题10分，共30分）36.描述“API接口越权”漏洞在自动化扫描中的识别思路，并给出一种降低误报率的方案。37.某次内网扫描发现大量Windows主机135/445端口开放，但无法获取凭据。请给出一种“无认证”前提下，可远程验证“MS17-010”是否存在的方法，并说明原理。38.容器场景下，如何构造一条eBPF程序，用于实时检测“敏感系统调用（如ptrace）”的调用次数？请给出核心伪代码与挂载点。六、综合应用题（共25分）39.背景：某金融企业计划2026年6月上线一套“零信任”远程办公系统，域名zt.example，对外仅开放443端口。系统架构：前端：Vue+Nginx（反向代理）网关：Envoy+Istio1.22业务：SpringBoot3.2+gRPC身份：OAuth2+JWT（RS256）数据：PostgreSQL15+Redis7基础设施：Kubernetes1.30（PodSecurityLevel=restricted）任务：(1)设计一套“黑盒+灰盒”结合的漏洞扫描方案，要求覆盖“OWASPTop102026”新增“API8:2026UnrestrictedAccesstoSensitiveBusinessFlows”风险，并给出工具链与扫描频率。（10分）(2)若扫描器发现Envoy暴露“/stats/prometheus”且未鉴权，请给出一条利用链，可最终获取JWT对称密钥，并写出关键请求与脚本片段。（10分）(3)针对扫描报告中的“PostgreSQL默认模板数据库仍允许trust认证”高危项，给出一种在Kubernetes环境下“不停机”修复方案，需包含RBAC最小权限YAML与滚动重启策略。（5分）七、计算题（共20分）40.已知某内网地址段/20，需用Nmap进行“全端口+默认脚本”扫描，单主机平均耗时T=T其中R为每秒发包速率（包/秒）。现给定千兆链路，MTU=1500字节，扫描器所在主机CPU可支撑的最大速率为R_max=8000包/秒。(1)计算扫描单主机所需最小时间T_min（保留2位小数）。（5分）(2)若需8小时内完成整个网段扫描，求所需并发进程数N（向上取整）。（5分）(3)若将速率限制为R=3000包/秒，并启用50%的随机延迟，求实际耗时T'，并评估是否满足8小时窗口。（10分）卷后答案与解析一、单项选择1.B2.C3.B4.B5.C6.C7.C8.A9.C10.C11.A12.C13.D14.C15.C二、多项选择16.AB17.ABCD18.ABC19.ABCD20.ABCD三、判断21.F22.T23.T24.T25.F26.T27.F28.T29.F30.T四、填空31.WebDAV权限绕过，CVE-2017-726932.3DES，6433.16384，0x1034.提权，coredump35.空字符串，空加密攻击（或“算法无”攻击）五、简答36.识别思路：①枚举API路径与参数→②使用两个差异权限账号→③对比响应差异→④标记可越权接口。降低误报：引入“响应相似度”算法，对状态码、JSON键集合、长度做加权，相似度>95%且人工复核后确认。37.方法：利用“EternalBlue”扫描脚本（如Nmapms17-010），发送特制SMBNegotiateProtocolRequest，若返回“0x00000000”且多组Trans2响应大小异常，则判定存在漏洞。原理：未打补丁的srv.sys对SMBv1Transaction请求长度校验不足，远程可达。38.伪代码：```cSEC("tracepoint/syscalls/sys_enter_ptrace")inttrace_ptrace(voidctx){inttrace_ptrace(voidctx){u32pid=bpf_get_current_pid_tgid()>>32;u64cnt=bpf_map_lookup_elem(&call_count,&pid);u64cnt=bpf_map_lookup_elem(&call_count,&pid);if(cnt)__sync_fetch_and_add(cnt,1);return0;}```挂载点：tracepoint:sys_enter_ptrace；Map类型：PERCPU_ARRAY；用户态定期读取Map并聚合。六、综合应用39.(1)工具链：黑盒：Burp2026+AWVS15+k6脚本压测业务流；灰盒：CodeQL静态扫描+gRPCfuzzer。频率：每次CI构建触发灰盒，每日凌晨2点黑盒全量，每月一次红队复盘。(2)利用链：①GET/stats/prometheus→获取Envoycluster“istio-ingressgateway”upstream地址；②通过该地址访问/debug/endpointz→泄露JWT公钥路径；③利用路径穿越读取/etc/istio/jwt-secret/rsa.key→获得对称密钥。脚本片段：```pythonimportrequests,rer=requests.get("https://zt.example/stats/prometheus",verify=False)up=re.findall(r'cluster\.istio-