2020年渗透测试岗面试高频题及答案 零基础也能背完拿offer

2020年渗透测试岗面试高频题及答案零基础也能背完拿offer

一、单项选择题（每题2分，共20分）1.以下哪个不是常见的渗透测试工具？（）A.NmapB.MetasploitC.WiresharkD.Photoshop2.渗透测试的目的不包括（）。A.发现系统漏洞B.攻击目标系统C.评估系统安全性D.修复系统漏洞3.以下哪个是SQL注入攻击的常见特征？（）A.大量的错误信息B.异常的数据库连接C.异常的网页显示D.以上都是4.网络协议中，哪个协议用于在网络中定位设备？（）A.TCPB.IPC.UDPD.HTTP5.以下哪个是缓冲区溢出攻击的原理？（）A.利用程序漏洞修改返回地址B.利用系统漏洞获取管理员权限C.利用网络协议漏洞进行攻击D.以上都是6.渗透测试报告中不应该包含以下哪个内容？（）A.测试目标B.测试方法C.测试结果D.被测试系统的源代码7.以下哪个是社会工程学攻击的手段？（）A.钓鱼邮件B.暴力破解C.漏洞扫描D.以上都是8.以下哪个不是安全意识培训的内容？（）A.密码安全B.网络安全C.操作系统安全D.数据库安全9.渗透测试人员在测试过程中应该遵守的道德规范不包括（）。A.不进行非法攻击B.不泄露测试信息C.不破坏被测试系统D.不进行商业竞争10.以下哪个是渗透测试的流程？（）A.信息收集、漏洞扫描、漏洞利用、报告撰写B.信息收集、漏洞利用、报告撰写、漏洞修复C.漏洞扫描、信息收集、漏洞利用、报告撰写D.漏洞扫描、漏洞利用、信息收集、报告撰写二、填空题（每题2分，共20分）1.渗透测试按照测试范围可以分为______和______。2.常见的SQL注入攻击类型有______、______和______。3.网络协议中，TCP协议提供______服务，UDP协议提供______服务。4.缓冲区溢出攻击可以分为______和______两种类型。5.渗透测试报告中应该包含______、______、______和______等内容。6.社会工程学攻击的主要手段有______、______和______。7.安全意识培训的目的是提高员工的______和______。8.渗透测试人员在测试过程中应该遵守的道德规范包括______、______、______和______。9.渗透测试的流程包括______、______、______和______。10.常见的漏洞扫描工具包括______、______和______。三、判断题（每题2分，共20分）1.渗透测试就是黑客攻击。（）2.漏洞扫描可以发现所有的安全漏洞。（）3.SQL注入攻击只能针对数据库进行。（）4.缓冲区溢出攻击是一种常见的攻击手段。（）5.渗透测试报告应该详细描述测试过程中的所有操作。（）6.社会工程学攻击是一种非技术手段的攻击。（）7.安全意识培训可以完全避免安全漏洞的产生。（）8.渗透测试人员在测试过程中可以随意修改被测试系统的配置。（）9.渗透测试的目的是发现系统的所有安全漏洞。（）10.常见的漏洞扫描工具可以自动修复安全漏洞。（）四、简答题（每题5分，共20分）1.简述渗透测试的流程。2.列举常见的SQL注入攻击手段。3.什么是缓冲区溢出攻击？4.简述安全意识培训的重要性。五、讨论题（每题5分，共20分）1.如何提高渗透测试的效率和效果？2.如何应对SQL注入攻击？3.如何加强网络安全防护？4.如何培养员工的安全意识？答案：一、单项选择题1.D2.D3.D4.B5.A6.D7.A8.D9.D10.A二、填空题1.内部渗透测试、外部渗透测试2.数字型注入、字符型注入、联合查询注入3.可靠的、不可靠的4.栈溢出、堆溢出5.测试目标、测试方法、测试结果、建议6.钓鱼邮件、社交工程、物理攻击7.安全意识、安全技能8.不进行非法攻击、不泄露测试信息、不破坏被测试系统、不进行商业竞争9.信息收集、漏洞扫描、漏洞利用、报告撰写10.Nessus、OpenVAS、Nmap三、判断题1.×2.×3.×4.√5.×6.√7.×8.×9.×10.×四、简答题1.渗透测试的流程包括：信息收集、漏洞扫描、漏洞利用、报告撰写。2.常见的SQL注入攻击手段包括：数字型注入、字符型注入、联合查询注入。3.缓冲区溢出攻击是一种常见的攻击手段，它通过向程序的缓冲区中输入超出其长度的数据，导致程序崩溃或执行恶意代码。4.安全意识培训的重要性包括：提高员工的安全意识和安全技能，减少安全漏洞的产生，降低安全风险。五、讨论题1.提高渗透测试的效率和效果可以采取以下措施：-提前做好准备工作，包括收集目标信息、制定测试计划等。-选择合适的测试工具和方法，提高测试效率。-加强团队协作，提高测试效果。-及时总结经验教训，不断优化测试流程和方法。2.应对SQL注入攻击可以采取以下措施：-对用户输入进行验证和过滤，防止恶意输入。-定期对数据库进行安全检查和修复，防止漏洞被利用。-加强员工的安全意识培训，提高员工的安全防范意识。-安装防火墙和入侵检测系统，及时发现和阻止攻击。3.加强网络安全防护可以采取以下措施：-安装防火墙和入侵检测系统，防止外部攻击。-定期对网络进行安全检查和修复，防止漏洞被利用。-加强员工的安全意识培训，提高员工的安全防范意识。-采用加密技术，保护敏感信息