东北林业大学《软件安全：漏洞利用及渗透测试》2025-2026学年第一学期期末试卷(B卷)

站名：站名：年级专业：姓名：学号：凡年级专业、姓名、学号错写、漏写或字迹不清者，成绩按零分记。…………密………………封………………线…………第1页，共1页东北林业大学《软件安全：漏洞利用及渗透测试》2025-2026学年第一学期期末试卷(B卷)注意事项:1.请考生在下列横线上填写姓名、学号和年级专业。2.请仔细阅读各种题目的回答要求，在规定的位置填写答案。3.不要在试卷上乱写乱画，不要在装订线内填写无关的内容。4.考试时间120分钟专业学号姓名题号一二三四五六七八总分统分人复查人得分得分评分人一、单项选择题（每题1分，共20分）1.以下哪个不是常见的Web应用漏洞？A.SQL注入B.跨站脚本攻击（XSS）C.文件包含漏洞D.邮件列表攻击2.在渗透测试中，以下哪个工具用于抓取网络流量？A.WiresharkB.NmapC.MetasploitD.JohntheRipper3.以下哪个不是缓冲区溢出的类型？A.空指针解引用B.格式化字符串漏洞C.程序逻辑错误D.指针错误4.以下哪个不是常见的操作系统漏洞？A.漏洞编号CVE-2017-5638B.漏洞编号CVE-2019-0708C.漏洞编号CVE-2020-1472D.漏洞编号CVE-2021-345275.以下哪个不是常见的Web服务漏洞？A.HTTP请求走私B.HTTP响应走私C.HTTP头部注入D.HTTP参数污染6.以下哪个不是常见的网络协议漏洞？A.SSL/TLS心脏滴血漏洞B.DNS缓存污染C.DDoS攻击D.恶意软件7.以下哪个不是常见的移动应用漏洞？A.数据泄露B.恶意代码注入C.硬件漏洞D.逆向工程8.以下哪个不是常见的物联网设备漏洞？A.通信协议漏洞B.软件漏洞C.硬件漏洞D.系统漏洞9.以下哪个不是常见的云服务漏洞？A.访问控制漏洞B.数据泄露C.网络攻击D.硬件故障10.以下哪个不是常见的社交工程漏洞？A.社交工程钓鱼B.社交工程欺骗C.社交工程威胁D.社交工程勒索11.以下哪个不是常见的物理安全漏洞？A.访问控制漏洞B.监控设备漏洞C.硬件设备漏洞D.网络设备漏洞12.以下哪个不是常见的无线安全漏洞？A.无线加密漏洞B.无线认证漏洞C.无线配置漏洞D.无线网络漏洞13.以下哪个不是常见的生物识别安全漏洞？A.生物识别数据泄露B.生物识别欺骗C.生物识别破解D.生物识别攻击14.以下哪个不是常见的密码学安全漏洞？A.密码学算法漏洞B.密码学实现漏洞C.密码学协议漏洞D.密码学加密漏洞15.以下哪个不是常见的软件供应链安全漏洞？A.软件依赖漏洞B.软件代码漏洞C.软件配置漏洞D.软件设计漏洞16.以下哪个不是常见的网络钓鱼漏洞？A.钓鱼网站漏洞B.钓鱼邮件漏洞C.钓鱼软件漏洞D.钓鱼社交漏洞17.以下哪个不是常见的恶意软件漏洞？A.恶意软件传播漏洞B.恶意软件感染漏洞C.恶意软件攻击漏洞D.恶意软件防御漏洞18.以下哪个不是常见的移动支付安全漏洞？A.移动支付数据泄露B.移动支付欺诈C.移动支付攻击D.移动支付防御19.以下哪个不是常见的云计算安全漏洞？A.云计算数据泄露B.云计算服务中断C.云计算攻击D.云计算防御20.以下哪个不是常见的物联网安全漏洞？A.物联网数据泄露B.物联网设备攻击C.物联网网络攻击D.物联网防御二、多项选择题（每题2分，共20分）1.以下哪些是常见的Web应用漏洞？A.SQL注入B.跨站脚本攻击（XSS）C.文件包含漏洞D.漏洞编号CVE-2017-56382.以下哪些是常见的操作系统漏洞？A.漏洞编号CVE-2019-0708B.漏洞编号CVE-2020-1472C.漏洞编号CVE-2021-34527D.程序逻辑错误3.以下哪些是常见的Web服务漏洞？A.HTTP请求走私B.HTTP响应走私C.HTTP头部注入D.HTTP参数污染4.以下哪些是常见的网络协议漏洞？A.SSL/TLS心脏滴血漏洞B.DNS缓存污染C.DDoS攻击D.恶意软件5.以下哪些是常见的移动应用漏洞？A.数据泄露B.恶意代码注入C.硬件漏洞D.逆向工程6.以下哪些是常见的物联网设备漏洞？A.通信协议漏洞B.软件漏洞C.硬件漏洞D.系统漏洞7.以下哪些是常见的云服务漏洞？A.访问控制漏洞B.数据泄露C.网络攻击D.硬件故障8.以下哪些是常见的社交工程漏洞？A.社交工程钓鱼B.社交工程欺骗C.社交工程威胁D.社交工程勒索9.以下哪些是常见的物理安全漏洞？A.访问控制漏洞B.监控设备漏洞C.硬件设备漏洞D.网络设备漏洞10.以下哪些是常见的无线安全漏洞？A.无线加密漏洞B.无线认证漏洞C.无线配置漏洞D.无线网络漏洞三、判断题（每题1分，共10分）1.SQL注入攻击只会发生在数据库操作中。（）2.跨站脚本攻击（XSS）只会发生在客户端。（）3.缓冲区溢出攻击只会发生在操作系统层面。（）4.漏洞编号CVE-2017-5638是Windows操作系统的漏洞。（）5.漏洞编号CVE-2019-0708是Apache服务器的漏洞。（）6.HTTP请求走私攻击只会发生在Web服务器层面。（）7.SSL/TLS心脏滴血漏洞只会发生在SSL/TLS协议层面。（）8.数据泄露攻击只会发生在数据存储层面。（）9.社交工程攻击只会发生在物理层面。（）10.物联网设备攻击只会发生在硬件层面。（）四、名词解释（每题4分，共20分）1.SQL注入2.跨站脚本攻击（XSS）3.缓冲区溢出4.漏洞编号CVE-2017-56385.漏洞编号CVE-2019-0708五、简答题（每题6分，共18分）1.简述SQL注入攻击的原理及防范措施。2.简述跨站脚本攻击（XSS）的原理及防范措施。3.简述缓冲区溢出攻击的原理及防范措施。六、案例分析题（1题，满分12分）某公司开发了一款移动应用，用于用户之间的即时通讯。在测试过程中，发现该应