上海出版印刷高等专科学校《软件安全：漏洞利用及渗透测试》2025-2026学年第二学期期末试卷(A卷)

站名：站名：年级专业：姓名：学号：凡年级专业、姓名、学号错写、漏写或字迹不清者，成绩按零分记。…………密………………封………………线…………第1页，共1页上海出版印刷高等专科学校《软件安全：漏洞利用及渗透测试》2025-2026学年第二学期期末试卷(A卷)注意事项:1.请考生在下列横线上填写姓名、学号和年级专业。2.请仔细阅读各种题目的回答要求，在规定的位置填写答案。3.不要在试卷上乱写乱画，不要在装订线内填写无关的内容。4.考试时间120分钟专业学号姓名题号一二三四五六七八总分统分人复查人得分得分评分人一、单项选择题（每题1分，共20分）1.以下哪项不是软件漏洞的常见类型？A.SQL注入B.跨站脚本攻击C.物理损坏D.拒绝服务攻击2.在渗透测试中，以下哪个阶段不涉及实际的攻击行为？A.信息收集B.漏洞扫描C.漏洞利用D.报告撰写3.以下哪个工具通常用于进行网络嗅探？A.WiresharkB.NmapC.MetasploitD.JohntheRipper4.以下哪个协议容易受到中间人攻击？A.HTTPSB.FTPC.SMTPD.DNS5.以下哪个命令可以查看当前系统的用户列表？A.whoamiB.idC.whoD.su6.以下哪个工具可以用于密码破解？A.JohntheRipperB.WiresharkC.MetasploitD.Nmap7.以下哪个漏洞类型与操作系统权限提升有关？A.SQL注入B.跨站脚本攻击C.拒绝服务攻击D.信息泄露8.以下哪个工具可以用于进行Web应用漏洞扫描？A.WiresharkB.NmapC.BurpSuiteD.JohntheRipper9.以下哪个漏洞类型与文件上传有关？A.SQL注入B.跨站脚本攻击C.拒绝服务攻击D.信息泄露10.以下哪个工具可以用于进行密码破解？A.JohntheRipperB.WiresharkC.MetasploitD.Nmap11.以下哪个漏洞类型与操作系统配置有关？A.SQL注入B.跨站脚本攻击C.拒绝服务攻击D.信息泄露12.以下哪个工具可以用于进行网络嗅探？A.WiresharkB.NmapC.BurpSuiteD.JohntheRipper13.以下哪个协议容易受到中间人攻击？A.HTTPSB.FTPC.SMTPD.DNS14.以下哪个命令可以查看当前系统的用户列表？A.whoamiB.idC.whoD.su15.以下哪个工具可以用于密码破解？A.JohntheRipperB.WiresharkC.MetasploitD.Nmap16.以下哪个漏洞类型与操作系统权限提升有关？A.SQL注入B.跨站脚本攻击C.拒绝服务攻击D.信息泄露17.以下哪个工具可以用于进行Web应用漏洞扫描？A.WiresharkB.NmapC.BurpSuiteD.JohntheRipper18.以下哪个漏洞类型与文件上传有关？A.SQL注入B.跨站脚本攻击C.拒绝服务攻击D.信息泄露19.以下哪个工具可以用于进行密码破解？A.JohntheRipperB.WiresharkC.MetasploitD.Nmap20.以下哪个漏洞类型与操作系统配置有关？A.SQL注入B.跨站脚本攻击C.拒绝服务攻击D.信息泄露二、多项选择题（每题2分，共20分）1.软件漏洞的常见类型包括：A.SQL注入B.跨站脚本攻击C.物理损坏D.拒绝服务攻击2.渗透测试的步骤包括：A.信息收集B.漏洞扫描C.漏洞利用D.报告撰写3.网络嗅探工具包括：A.WiresharkB.NmapC.BurpSuiteD.JohntheRipper4.中间人攻击容易受到的协议包括：A.HTTPSB.FTPC.SMTPD.DNS5.查看当前系统用户列表的命令包括：A.whoamiB.idC.whoD.su6.密码破解工具包括：A.JohntheRipperB.WiresharkC.MetasploitD.Nmap7.操作系统权限提升的漏洞类型包括：A.SQL注入B.跨站脚本攻击C.拒绝服务攻击D.信息泄露8.Web应用漏洞扫描工具包括：A.WiresharkB.NmapC.BurpSuiteD.JohntheRipper9.文件上传的漏洞类型包括：A.SQL注入B.跨站脚本攻击C.拒绝服务攻击D.信息泄露10.操作系统配置的漏洞类型包括：A.SQL注入B.跨站脚本攻击C.拒绝服务攻击D.信息泄露三、判断题（每题1分，共10分）1.软件漏洞是指软件中存在的安全缺陷，可能导致系统被攻击。（）2.渗透测试是一种合法的、有组织的、系统化的测试过程，用于评估系统的安全性。（）3.Wireshark是一种网络嗅探工具，可以捕获和分析网络数据包。（）4.中间人攻击是指攻击者拦截通信双方之间的数据传输，并篡改数据。（）5.查看当前系统用户列表的命令是whoami。（）6.JohntheRipper是一种密码破解工具，可以破解多种密码类型。（）7.操作系统权限提升是指攻击者通过漏洞获取更高的系统权限。（）8.BurpSuite是一种Web应用漏洞扫描工具，可以检测多种Web漏洞。（）9.文件上传漏洞是指攻击者可以通过上传恶意文件来攻击系统。（）10.操作系统配置漏洞是指操作系统配置不当导致的安全问题。（）四、名词解释（每题4分，共20分）1.软件漏洞2.渗透测试3.网络嗅探4.中间人攻击5.密码破解五、简答题（每题6分，共18分）1.简述软件漏洞的分类。2.简述渗透测试的步骤。3.简述中间人攻击的原理。六、案例分析题（1题，满分12分）某公司网站存在一个SQL注入漏洞，攻击者通过构造特定的URL参数，成功获取了数据库中的用户信息。请根据以下材料，回答以下问题：材料：攻击者通过以下URL成功获取了用户信息：/login.php?username=1'UNIONSELECT1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98,99,100,101,102,103,104,105,106,107,108,109,110,111,112,113,114,115,116,117,118,119,120,121,122,123,124,125,126,127,128,129,130,131,132,133,134,135,136,137,138,139,140,141,142,143,144,145,146,147,148,149,150,151,152,153,154,155,156,157,158,159,160,161,162,163,164,165,166,167,168,169,170,171,172,173,174,175,176,177,178,179,180,181,182,183,184,185,186,187,18