丽江师范学院《软件安全：漏洞利用及渗透测试》2025-2026学年第二学期期末试卷(A卷)

站名：站名：年级专业：姓名：学号：凡年级专业、姓名、学号错写、漏写或字迹不清者，成绩按零分记。…………密………………封………………线…………第1页，共1页丽江师范学院《软件安全：漏洞利用及渗透测试》2025-2026学年第二学期期末试卷(A卷)注意事项:1.请考生在下列横线上填写姓名、学号和年级专业。2.请仔细阅读各种题目的回答要求，在规定的位置填写答案。3.不要在试卷上乱写乱画，不要在装订线内填写无关的内容。4.考试时间120分钟专业学号姓名题号一二三四五六七八总分统分人复查人得分得分评分人一、单项选择题（每题1分，共20分）1.以下哪项不是软件漏洞的常见类型？A.SQL注入B.跨站脚本攻击C.物理攻击D.端口扫描2.在渗透测试中，以下哪个阶段不涉及实际攻击行为？A.信息收集B.漏洞扫描C.漏洞利用D.报告撰写3.以下哪个工具通常用于检测Web应用程序中的SQL注入漏洞？A.WiresharkB.NmapC.BurpSuiteD.Metasploit4.以下哪个协议通常用于传输加密的Web应用程序数据？A.HTTPB.HTTPSC.FTPD.SMTP5.在进行渗透测试时，以下哪个阶段不涉及对目标系统的物理访问？A.信息收集B.漏洞扫描C.漏洞利用D.后渗透6.以下哪个工具通常用于检测操作系统中的服务漏洞？A.WiresharkB.NmapC.BurpSuiteD.Metasploit7.以下哪个漏洞类型可能导致远程代码执行？A.SQL注入B.跨站脚本攻击C.文件包含D.信息泄露8.在进行渗透测试时，以下哪个阶段不涉及对目标系统的网络访问？A.信息收集B.漏洞扫描C.漏洞利用D.报告撰写9.以下哪个工具通常用于检测Web应用程序中的跨站脚本攻击？A.WiresharkB.NmapC.BurpSuiteD.Metasploit10.在进行渗透测试时，以下哪个阶段不涉及对目标系统的物理访问？A.信息收集B.漏洞扫描C.漏洞利用D.报告撰写11.以下哪个漏洞类型可能导致信息泄露？A.SQL注入B.跨站脚本攻击C.文件包含D.物理攻击12.在进行渗透测试时，以下哪个阶段不涉及对目标系统的网络访问？A.信息收集B.漏洞扫描C.漏洞利用D.报告撰写13.以下哪个工具通常用于检测Web应用程序中的文件包含漏洞？A.WiresharkB.NmapC.BurpSuiteD.Metasploit14.在进行渗透测试时，以下哪个阶段不涉及对目标系统的物理访问？A.信息收集B.漏洞扫描C.漏洞利用D.报告撰写15.以下哪个漏洞类型可能导致远程代码执行？A.SQL注入B.跨站脚本攻击C.文件包含D.信息泄露16.在进行渗透测试时，以下哪个阶段不涉及对目标系统的网络访问？A.信息收集B.漏洞扫描C.漏洞利用D.报告撰写17.以下哪个工具通常用于检测Web应用程序中的SQL注入漏洞？A.WiresharkB.NmapC.BurpSuiteD.Metasploit18.在进行渗透测试时，以下哪个阶段不涉及对目标系统的物理访问？A.信息收集B.漏洞扫描C.漏洞利用D.报告撰写19.以下哪个漏洞类型可能导致信息泄露？A.SQL注入B.跨站脚本攻击C.文件包含D.物理攻击20.在进行渗透测试时，以下哪个阶段不涉及对目标系统的网络访问？A.信息收集B.漏洞扫描C.漏洞利用D.报告撰写二、多项选择题（每题2分，共20分）1.以下哪些是软件漏洞的常见类型？A.SQL注入B.跨站脚本攻击C.物理攻击D.端口扫描2.在渗透测试中，以下哪些阶段涉及实际攻击行为？A.信息收集B.漏洞扫描C.漏洞利用D.报告撰写3.以下哪些工具通常用于检测Web应用程序中的漏洞？A.WiresharkB.NmapC.BurpSuiteD.Metasploit4.以下哪些协议通常用于传输加密的Web应用程序数据？A.HTTPB.HTTPSC.FTPD.SMTP5.在进行渗透测试时，以下哪些阶段不涉及对目标系统的物理访问？A.信息收集B.漏洞扫描C.漏洞利用D.报告撰写三、判断题（每题1分，共10分）1.软件漏洞是指软件中存在的安全缺陷，可能导致系统被攻击者利用。（）2.渗透测试是一种安全评估方法，旨在发现和利用系统中的漏洞。（）3.SQL注入是一种攻击方式，攻击者通过在输入字段中注入恶意SQL代码来攻击数据库。（）4.跨站脚本攻击（XSS）是一种攻击方式，攻击者通过在目标网站上注入恶意脚本代码来攻击用户。（）5.文件包含漏洞是指攻击者可以通过在目标应用程序中包含恶意文件来执行任意代码。（）6.信息泄露是指攻击者通过获取敏感信息来对系统进行攻击。（）7.物理攻击是指攻击者通过物理手段对系统进行攻击，如窃取硬件设备。（）8.渗透测试的目的是发现和修复系统中的漏洞，以提高系统的安全性。（）9.渗透测试通常分为五个阶段：信息收集、漏洞扫描、漏洞利用、后渗透和报告撰写。（）10.渗透测试报告应该详细记录测试过程、发现的问题和修复建议。（）四、名词解释（每题4分，共20分）1.软件漏洞2.渗透测试3.SQL注入4.跨站脚本攻击（XSS）5.文件包含漏洞五、简答题（每题6分，共18分）1.简述软件漏洞的分类及其特点。2.简述渗透测试的五个阶段及其主要任务。3.简述SQL注入攻击的原理及防范措施。六、案例分析题（1题，满分12分）某公司网站存在一个SQL注入漏洞，攻击者可以通过构造特定的URL参数来执行恶意SQL语句，从而获取数据库中的敏感信息。请根据以下材料，分析该漏洞的利用过程，并提出相应的修复建议。材料：1.攻击者通过构造以下URL参数来执行恶意SQL语句：/search.php?keyword=1'UNIONSELECT1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98,99,100,101,102,103,104,105,106,107,108,109,110,111,112,113,114,115,116,117,118,119,120,121,122,123,124,125,126,127,128,129,130,131,132,133,134,135,136,137,138,139,140,141,142,143,144,145,146,147,148,149,150,151,152,153,154,155,156,157,158,159,160,161,162,163,164,165,166,167,168,169,170,171,172,173,174,175,176,177,178,179,180,181,182,183,184,