上海城建职业学院《软件安全：漏洞利用及渗透测试》2025-2026学年第二学期期末试卷(A卷)

站名：站名：年级专业：姓名：学号：凡年级专业、姓名、学号错写、漏写或字迹不清者，成绩按零分记。…………密………………封………………线…………第1页，共1页上海城建职业学院《软件安全：漏洞利用及渗透测试》2025-2026学年第二学期期末试卷(A卷)注意事项:1.请考生在下列横线上填写姓名、学号和年级专业。2.请仔细阅读各种题目的回答要求，在规定的位置填写答案。3.不要在试卷上乱写乱画，不要在装订线内填写无关的内容。4.考试时间120分钟专业学号姓名题号一二三四五六七八总分统分人复查人得分得分评分人一、单项选择题（每题1分，共20分）1.以下哪个不是SQL注入攻击的类型？A.错误注入B.时间注入C.联合查询注入D.命令行注入2.在进行渗透测试时，以下哪个工具通常用于发现Web服务器的漏洞？A.WiresharkB.MetasploitC.NmapD.JohntheRipper3.以下哪个不是缓冲区溢出的一个常见后果？A.程序崩溃B.系统权限提升C.数据泄露D.网络连接中断4.在进行渗透测试时，以下哪个阶段通常用于收集信息？A.扫描阶段B.漏洞评估阶段C.攻击阶段D.报告阶段5.以下哪个不是常见的跨站脚本攻击（XSS）类型？A.反射型XSSB.存储型XSSC.DOM-basedXSSD.SQL注入6.以下哪个不是一种常见的密码破解技术？A.字典攻击B.暴力破解C.穷举攻击D.逻辑破解7.以下哪个不是一种常见的网络钓鱼攻击方式？A.邮件钓鱼B.社交工程C.网络钓鱼D.勒索软件8.以下哪个不是一种常见的无线网络安全威胁？A.中间人攻击B.拒绝服务攻击C.端口扫描D.恶意软件9.以下哪个不是一种常见的恶意软件类型？A.蠕虫B.木马C.勒索软件D.钓鱼软件10.以下哪个不是一种常见的入侵检测系统（IDS）类型？A.基于签名的IDSB.基于行为的IDSC.基于主机的IDSD.基于网络的IDS11.以下哪个不是一种常见的防火墙类型？A.包过滤防火墙B.应用层防火墙C.状态检测防火墙D.硬件防火墙12.以下哪个不是一种常见的加密算法？A.AESB.DESC.RSAD.SHA-25613.以下哪个不是一种常见的数字签名算法？A.RSAB.DSAC.ECDSAD.SHA-25614.以下哪个不是一种常见的认证协议？A.KerberosB.NTLMC.OAuthD.SAML15.以下哪个不是一种常见的漏洞扫描工具？A.NessusB.OpenVASC.WiresharkD.Metasploit16.以下哪个不是一种常见的漏洞利用工具？A.MetasploitB.NmapC.JohntheRipperD.Wireshark17.以下哪个不是一种常见的密码管理工具？A.1PasswordB.LastPassC.WiresharkD.Metasploit18.以下哪个不是一种常见的网络安全意识培训工具？A.KnowBe4B.SANSInstituteC.WiresharkD.Metasploit19.以下哪个不是一种常见的网络安全评估方法？A.威胁建模B.风险评估C.网络扫描D.系统备份20.以下哪个不是一种常见的网络安全法规？A.GDPRB.HIPAAC.SOXD.ISO27001二、多项选择题（每题2分，共20分）1.以下哪些是常见的Web服务器漏洞？A.SQL注入B.跨站脚本攻击C.缓冲区溢出D.文件包含2.以下哪些是常见的密码破解技术？A.字典攻击B.暴力破解C.穷举攻击D.逻辑破解3.以下哪些是常见的网络钓鱼攻击方式？A.邮件钓鱼B.社交工程C.网络钓鱼D.勒索软件4.以下哪些是常见的恶意软件类型？A.蠕虫B.木马C.勒索软件D.钓鱼软件5.以下哪些是常见的入侵检测系统（IDS）类型？A.基于签名的IDSB.基于行为的IDSC.基于主机的IDSD.基于网络的IDS6.以下哪些是常见的防火墙类型？A.包过滤防火墙B.应用层防火墙C.状态检测防火墙D.硬件防火墙7.以下哪些是常见的加密算法？A.AESB.DESC.RSAD.SHA-2568.以下哪些是常见的数字签名算法？A.RSAB.DSAC.ECDSAD.SHA-2569.以下哪些是常见的认证协议？A.KerberosB.NTLMC.OAuthD.SAML10.以下哪些是常见的网络安全法规？A.GDPRB.HIPAAC.SOXD.ISO27001三、判断题（每题1分，共10分）1.SQL注入攻击只能通过输入特殊字符来实现。（）2.渗透测试的目标是发现并利用系统漏洞，从而获取系统权限。（）3.缓冲区溢出攻击可以通过修改程序的内存来执行任意代码。（）4.XSS攻击可以通过在Web页面中插入恶意脚本代码来实现。（）5.网络钓鱼攻击的目标是获取用户的敏感信息，如密码和信用卡号。（）6.恶意软件可以通过多种途径传播，如电子邮件附件、下载的软件等。（）7.入侵检测系统（IDS）可以实时监控网络流量，发现并阻止恶意活动。（）8.防火墙可以防止所有类型的网络攻击。（）9.加密算法可以确保数据传输的安全性。（）10.数字签名可以确保数据的完整性和真实性。（）四、名词解释（每题4分，共20分）1.SQL注入2.渗透测试3.漏洞利用4.网络钓鱼5.恶意软件五、简答题（每题6分，共18分）1.简述SQL注入攻击的原理和危害。2.简述渗透测试的步骤和注意事项。3.简述漏洞利用的基本原理和常见方法。六、案例分析题（1题，满分12分）假设你是一名网络安全工程师，被一家公司雇佣进行网络安全评估。以下是你收集到的信息：1.公司的网络架构包括内部网络和外部网络，内部网络包含多个部门，如研发部、财务部、人力资源部等。外部网络与互联网相连。2.公司使用防火墙来保护内部网络，防火墙配置为默认拒绝所有流量，只允许必要的流量通过。3.公司使用入