更多"[单选题]在PTES渗透测试执行标准的漏洞分析阶段中,不属于该阶段工作"的相关试题:
[单选题] 在渗透测试标准与执行流程中,威胁建模阶段需要对威胁对手进行分析,下列给出的相关人员不属于分析对象的是( )。
A. 销售人员
B. 开发者
C. 工程师
D. 中间管理层
[单选题]前渗透测试流程一般分为踩点(信息收集)、( )、漏洞利用、报告
A.扫描
B.漏洞分析
C.DDOS攻击
D.查询数据库
[单选题]平台安全责任部门需每季度对车联网平台进行渗透测试。渗透测试应采用电脑渗透方式。()
A.A-正确
B.B-错误
C.掠
D.掠
E.掠
F.掠
G.掠
[多选题] 在PTES渗透测试标准流程中,信息收集阶段常用的工具是( )。
A.. Nessus
B.. Sqlmap
C.. Nmap
D.. John
[单选题] 在常用的渗透测试工具中,哪一款工具能够自动探测和利用SQL注入漏洞来接管数据库服务器( )。
A. Hackbar
B. Burpsuite
C. Sqlmap
D. Nmap
[单选题] 下列给出的流程步骤中,不属于PTES渗透测试标准流程的阶段是( )。
A. 前期交互阶段
B. 漏洞分析阶段
C. 后渗透攻击阶段
D. 漏洞修补阶段
[单选题]为了保障系统安全,某单位需要对其跨地区大型网络实时应用系统进行渗透测试, 以下关于渗透测试过程的说法不正确的是() 。
A. 由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行系统和数 据备份, 以便出现问题时可以及时恢复系统和数据
B.为了深入发掘该系统存在的安全威胁,应该在系统正常业务运行高峰期进行渗透测试
C.渗透测试从“逆向”的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实 际系统中运行时的安全状况
D.渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤
[单选题]在前期没有任何目标网络内部拓扑等相关信息下开展的渗透测试,属于以下那种渗透测试方式()。
A.
灰盒测试
B.
黑盒测试
C.
白盒测试
D.
模糊测试
[单选题] 根据渗透测试方法分类,哪项是基于对测试对象内部细节有限认知的软件测试方法( )。
A. 白盒测试
B. 灰盒测试
C. 黑盒测试
D. 单元测试
[多选题]渗透测试产品优势包括()
A.技术先进;
B.规范可控;
C.随需应变;
D.成果全面
E.略
F.略
G.略
[单选题] 导致命令执行漏洞以及文件上传漏洞产生的是以下哪个原因( )。
A.. 运维能力不足
B.. Web服务端对用户输入数据过滤不严
C.. 源码泄露,被审计
D.. 防火墙更新过慢
[单选题]下列属于中间件渗透测试的是哪个选项()。
A.
IIS漏洞检测
B.
CMS漏洞检测
C.
MySQL漏洞检测
D.
Linux漏洞检测
[多选题] 编写渗透测试报告的主要宗旨及难点包含( )。
A.如何复现漏洞
B.如何准确定位问题
C.如何运用自己的专业知识
D.如何让甲方意识到问题的严重
[多选题]对于Apache Struts2 远程命令执行的漏洞解释正确的是(____)。
A. 该漏洞是由于在使用基于Jakarta插件的文件上传功能条件下,恶意用户可以通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行任意系统命令,导致系统被黑客入侵
B. Struts2的核心是使用的webwork框架,处理 action时通过调用底层的getter/setter方法来处理http的参数,它将每个http参数声明为一个ONGL语句
C. 为了防范篡改服务器端对象,XWork的ParametersInterceptor不允许参数名中出现“#”字符,但如果使用了Java的 unicode字符串表示\u0023,攻击者就可以绕过保护
D. 修复漏洞最简单的方法为更新struts2的jar包为最新版本
[单选题]通常()应对现场执行标准进行详细规定,现场执行标准应是录井施工合同指定的技术标准。
A.钻井设计
B.录井施工设计
C.应急预案
D.地质设计
[多选题] 在实际工作中,哪些群体关心渗透测试报告( )。
A.. 产品经理
B.. 产品销售人员
C.. 高级管理人员
D.. IT技术人员
[多选题] 在渗透测试过程中,甲方机构的职责是( )。
A.. 清楚业务流程
B.. 完整的安全技术知识体系
C.. 具有信息安全服务资质
D.. 安全技术与管理技巧的融合
[多选题] 关于渗透测试的原则,下列说法正确的是( )。
A. 应随机选择测试目标
B. 应选择不影响业务系统正常运行的攻击方法
C. 应严格控制知悉范围,秘密实施测试
D. 应符合测试规范和法律要求
