2026年网络安全漏洞扫描专项技能训练试卷

2026年网络安全漏洞扫描专项技能训练试卷1.单项选择题（每题2分，共20分）1.1在一次黑盒扫描中，发现目标站点返回的HTTP头中同时存在A.X-Frame-Options:DENYB.X-Content-Type-Options:nosniffC.X-Powered-By:PHP/8.2.0D.Strict-Transport-Security:max-age=31536000以下哪一项最可能成为进一步利用的入口信息？答案：C解析：X-Powered-By泄露技术栈版本，可快速定位公开漏洞。1.2使用Nessus扫描内网主机时，为降低漏报率并避免触发IPS，应优先选择的策略组合是A.“BasicNetworkScan”+“EnableSafeChecks”B.“WebApplicationTests”+“EnableAllCGI”C.“MalwareScan”+“DonotscanSSL”D.“PolicyCompliance”+“EnableWebCrawling”答案：A解析：SafeChecks使用被动指纹与已公开PoC，降低拒绝服务风险。1.3某次漏洞扫描报告显示CVE-2021-44228评级为Critical，但目标主机8983端口并未开放。最合理的解释是A.扫描插件误报B.主机在内网NAT后C.主机已打补丁D.漏洞利用需要身份认证答案：A解析：未开放端口却报Critical，多为插件逻辑缺陷或目标之前开放过被缓存。1.4在OpenVAS中，用于实时更新VT文件并校验签名的命令是A.greenbone-nvt-syncB.openvasmd--rebuildC.gsad--refreshD.ospd-openvas--update答案：A解析：greenbone-nvt-sync负责从Greenbone社区Feed拉取并GPG校验。1.5以下哪条SQL语句最可能被sqlmap判定为布尔盲注真值条件？A.`SELECT1FROMusersWHEREid=1AND1=2`B.`SELECT1FROMusersWHEREid=1AND5>3`C.`SELECT1FROMusersWHEREid=1AND'a'=0`D.`SELECT1FROMusersWHEREid=1ANDSLEEP(5)`答案：B解析：5>3恒真，页面返回与原始请求一致，可作为布尔真值模板。1.6当Nikto报告“OSVDB-3092”时，表示A.目标存在SQL注入B.目标目录可浏览C.目标使用了存在后门的Struts版本D.目标证书即将过期答案：B解析：OSVDB-3092对应/icons/目录可读，属于信息泄露。1.7在漏洞扫描生命周期中，哪一步骤主要执行“去除重复、优先级排序”？A.资产发现B.漏洞确认C.风险评估D.报告分发答案：C解析：风险评估阶段使用CVSS、资产重要性、威胁情报加权排序。1.8某Web站点使用JWT作为会话令牌，扫描器发现alg字段为“none”。该问题属于A.跨站脚本B.加密算法降级C.服务器端请求伪造D.不安全的反序列化答案：B解析：alg=none允许伪造令牌，属于算法降级漏洞。1.9当使用Nmap脚本vulners时，其依赖的本地数据库格式是A.JSONB.SQLiteC.CSVD.YAML答案：B解析：vulners.nse将CVE与CPE映射缓存到本地SQLite，提高查询速度。1.10以下哪项不是漏洞扫描合规框架的必检项？A.加密传输B.最小权限C.日志留存D.代码注释率答案：D解析：代码注释属于开发规范，非安全扫描直接检测对象。2.多项选择题（每题3分，共30分；多选少选均不得分）2.1关于TCPSYN扫描的优点，描述正确的是A.不完成三次握手，降低日志B.可穿透状态防火墙C.需要root权限构造raw包D.对Windows系统无效答案：A、C解析：SYN扫描半开连接，需rawsocket；Windows同样响应SYN-ACK。2.2以下哪些HTTP响应头可有效缓解Clickjacking？A.X-Frame-OptionsB.Content-Security-Policy:frame-ancestorsC.Referrer-PolicyD.X-XSS-Protection答案：A、B解析：C控制引用来源，D防御反射XSS，与点击劫持无关。2.3使用Nessus扫描IPv6目标时，需要满足的条件包括A.扫描机启用IPv6协议栈B.目标地址需写为压缩格式C.插件库包含IPv6模板D.必须在“Preferences”中关闭IPv4fallback答案：A、C解析：压缩格式非必须；IPv4fallback关闭可提高纯度但非必须。2.4以下哪些漏洞可被传统网络扫描器直接检测到？A.HeartbleedB.ShellshockC.Log4ShellD.Spring4Shell答案：A、B解析：Heartbleed、Shellshock通过握手或CGI环境变量即可触发；Log4Shell需应用层JNDI注入，Spring4Shell需特定路由，多需Web插件。2.5关于CVSSv3.1评分组件，属于“Temporal”组的有A.ExploitCodeMaturityB.RemediationLevelC.ReportConfidenceD.AvailabilityImpact答案：A、B、C解析：D属于Base组。2.6以下哪些操作可降低扫描导致的生产事故概率？A.启用流量限速B.排除敏感资产IPC.采用白盒代码审计替代D.在维护窗口执行答案：A、B、D解析：C为互补手段，不能降低扫描本身风险。2.7在漏洞扫描报告中，常见的“FalsePositive”来源有A.服务Banner伪造B.中间件虚拟补丁C.负载均衡轮询D.插件正则过于宽泛答案：A、B、D解析：C可能导致漏扫，但与误报无直接关系。2.8以下哪些工具支持基于RESTAPI批量获取扫描结果？A.OpenVAS/GMPB.Nessus/SecurityCenterC.NexposeD.ZAP答案：A、B、C、D解析：ZAP提供JSON/XMLAPI，其余均提供REST或XML-RPC。2.9关于被动扫描，描述正确的有A.不产生额外流量B.可检测业务逻辑缺陷C.依赖代理或镜像流量D.无法发现加密通道内的漏洞答案：A、C解析：被动扫描不主动发包；加密通道若未解密则不可见；业务逻辑缺陷需主动构造。2.10以下哪些端口通常与Redis服务相关且需重点扫描？A.6379B.6380C.26379D.8080答案：A、B、C解析：26379为Sentinel端口；8080常见Web服务。3.判断题（每题1分，共10分；正确打“√”，错误打“×”）3.1同一主机多次扫描时，只要插件版本不变，结果必然一致。×3.2漏洞扫描无法覆盖0-day漏洞。√3.3使用Nmap-sV选项即可识别所有Web应用框架。×3.4在Docker容器内运行扫描器可避免所有本地依赖冲突。√3.5所有高危漏洞都必须立即修复，无需考虑业务影响。×3.6扫描器识别到的SSL证书颁发者可用于钓鱼检测。√3.7对OT网络进行扫描前，需确认是否支持Modbus/TCP插件。√3.8漏洞扫描报告无需包含修复建议，只需罗列CVE。×3.9采用IPv6地址扫描时，地址随机化会增加资产发现难度。√3.10扫描器通过SNMP默认团体字public可读取系统进程列表。√4.填空题（每空2分，共20分）4.1Nmap命令`nmap-sS-p1-65535--min-rate1000-oXfull.xml/24`中，参数`--min-rate`的作用是________。答案：限制每秒最小发包数量为1000，提高扫描速度。4.2在OpenVAS架构中，负责与扫描引擎交互的协议缩写为________。答案：OSP（OpenScannerProtocol）4.3CVE编号格式为CVE-2026-0001，其中2026表示________。答案：漏洞公开的年份。4.4当Web扫描器收到HTTP/1.1302响应后，默认应自动________以跟踪跳转。答案：跟随Location头重定向。4.5使用sqlmap进行POST注入时，需通过参数`--data=`指定________。答案：URL编码后的POST正文。4.6在Nessus策略中，如需关闭“ping探测”，应将“Pingtheremotehost”设置为________。答案：disabled4.7用于衡量漏洞被利用难度的CVSS度量组缩写为________。答案：E（Exploitability）4.8当目标站点启用HSTS且包含includeSubDomains时，浏览器会把所有________请求自动升级为HTTPS。答案：子域名4.9在漏洞分级中，CVSS评分≥________通常对应“高危”。答案：7.04.10使用masscan扫描/0的443端口时，为避免本机RST干扰，应启用________模式。答案：pf-ring或单包流（--send-eth）5.简答题（每题10分，共30分）5.1描述一次针对内网CI/CD平台Jenkins的漏洞扫描流程，需包含资产发现、插件选择、结果确认、报告输出四个阶段，并给出各阶段常用工具及关键参数。答案与解析：1.资产发现：使用`nmap-p8080--open-oGjenkins.gnmap/16`快速定位Jenkins默认端口；结合`jenkins-audit.py`脚本批量识别Jenkins版本与插件。2.插件选择：在Nessus中选择“WebApplicationTests”与“CGIAbuse”类别，启用“JenkinsDetection”与“CVE-2018-1000861”Groovy沙箱绕过插件；同时调用`jenkins-plugin-exploit.py`验证。3.结果确认：对报告中的RCE插件返回200且包含“Jenkins-Crumb”的请求，手工重放并观察DNSLog回显，确认命令执行成功。4.报告输出：使用Nessus生成CSV+HTML双格式，CVSS≥9.0的漏洞自动推送至Jira；同时编写修复建议：升级Jenkins至2.401.2、禁用匿名读、启用RoleStrategy插件。5.2说明如何基于CVSSv3.1对扫描报告进行风险排序，并给出计算公式。若某漏洞BaseScore为8.2，Temporal组ExploitCodeMaturity取H(High)，RemediationLevel取U(Unavailable)，ReportConfidence取C(Confirmed)，求最终分数。答案与解析：TemporalScore公式：T查表得：E=1.00,RL=1.00,RC=1.00，故TemporalScore=8.2×1×1×1=8.2。若环境组考虑资产重要性权重1.5，则最终风险值=8.2×1.5=12.3，高于阈值10，列入第一优先级修复。5.3列举扫描IPv6网络时可能遇到的三种技术难点，并给出对应解决思路。答案与解析：1.地址空间巨大导致耗时：采用EUI-64模式缩小搜索范围，结合DHCPv6日志被动收集已分配地址。2.防火墙默认丢弃ICMPv6回显：改用SYN扫描服务端口，或利用邻居发现协议（NDP）枚举在线主机。3.地址随机化（临时地址）：启用SLAAC跟踪工具`ipv6toolkit`的`addr6`模块，监听DAD过程捕获临时地址。6.综合应用题（40分）背景：某电商公司在2026年“618”大促前委托你对公网Kubernetes集群进行安全评估。集群使用Calico网络，Ingress为NGINX+Lua，暴露域名shop.example，NodePort范围为30000-32767。你已获得授权，但禁止在生产高峰期（20:00-24:00）执行高风险插件。任务：A.设计一套扫描方案，包含时间窗口、扫描节点、插件策略、回退方案。（10分）B.给出针对KubernetesAPIServer的专项检测命令（使用开源工具），并解释关键参数。（10分）C.扫描后发现kube-system命名空间下metrics-server存在CVE-2020-8558，请写出验证PoC（仅用curl），并给出缓解措施。（10分）D.若需持续监控，请设计一条Prometheus+Grafana告警规则，当24h内集群新增Critical级别漏洞数≥3时触发飞书webhook。（10分）答案与解析：A.方案：1.时间窗口：02:00-05:00（流量低谷），持续3天完成。2.扫描节点：使用集群外独立ECS，绑定弹性EIP，通过VPC对等连接访问NodePort；禁止直接扫描PodIP防止触发NetworkPolicy。3.插件策略：启用KubernetesCISBenchmark、CVE-2020-8558、CVE-2022-3162插件；关闭DoS类插件；并发线程≤50。4.回退方案：一旦APIServerP99延迟>500ms或5xx率>1%，立即中断扫描，通过Slack通知SRE。B.检测命令：```bashkubectlscan-ndefault--kubeconfig~/.kube/config--trivy-timeout10m\severityCRITICAL--reportsummary```关键参数：`-ndefault`限定命名空间；`--trivy-timeout`防止插件阻塞；`--reportsummary`仅输出汇总，减少日志。C.验证PoC：```bashcurl-khttps://<node-ip>:10250/stats/summary--insecure```若返回JSON且包含podRef，则未授权访问存在。缓解：在metrics-serverDeployment增加`--kubelet-insecure-tls=false`并启用Webhook认证；NetworkPolicy仅允许kube-apiserver访问10250。D.告警规则：```yamlalert:K8sCriticalVulnSpikeexpr:increase(vuln_scanner_critical_total[24h])>=3for:0mlabels:severity:criticalteam:securityannotations:summary:"Cluster{{$labels.cluster}}新增3个Critical漏洞"webhook:"/xxx"```Grafana侧配置NotificationPolicy路由到飞书，消息体包含漏洞列表与扫描报告链接。7.计算与脚本题（30分）7.1写出使用Python3调用OpenVASGMP协议获取最新扫描任务ID的完整脚本，要求使用TLS证书认证，输出任务名称与ID对应JSON。（15分）答案：```python!/usr/bin/envpython3importssl,json,base64fromgvm.connectionsimportTLSConnectionfromtocols.gmpimportGmpfromgvm.transformsimportEtreeTransformdefmain():conn=TLSConnection(hostname='openvas.example',port=9390,cert_file='/opt/certs/client.crt',key_file='/opt/certs/client.key',ca_file='/opt/certs/ca.crt')withGmp(connection=conn)asgmp:gmp.authenticate()tasks=gmp.get_tasks()transform=EtreeTransform()root=tra