2025年AWS认证AppSyncWAF集成与防护专题试卷及解析.pdfVIP

2025年AWS认证APPSYNCWAF集成与防护专题试卷及解析1

2025年AWS认证AppSyncWAF集成与防护专题试卷

及解析

2025年AWS认证AppSyncWAF集成与防护专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSAppSync与WAF集成时，以下哪种WAF规则类型最适合用于防止

GraphQL查询中的批量恶意请求？

A、SQL注入规则组

B、IP匹配条件

C、速率限制规则

D、XSS规则组

【答案】C

【解析】正确答案是C。速率限制规则可以有效限制来自单个IP的请求频率，防止

批量恶意请求。A选项针对SQL注入，与GraphQL无关；B选项仅能阻止特定IP，无

法动态控制请求频率；D选项针对XSS攻击，不适用于批量请求防护。知识点：WAF

规则类型适用场景。易错点：混淆不同规则类型的防护目标。

2、AWSAppSync启用WAF防护后，以下哪种请求会被WAF默认拦截？

A、包含GraphQL变量的查询

B、超过请求大小限制的查询

C、使用API密钥认证的请求

D、包含@connection指令的查询

【答案】B

【解析】正确答案是B。WAF默认会拦截超过请求大小限制（通常为8KB）的查

询。A、C、D都是AppSync的正常功能，不会被WAF默认拦截。知识点：WAF默

认拦截规则。易错点：误认为WAF会拦截特定GraphQL语法。

3、在AppSync与WAF集成时，以下哪种方式可以最精确地识别恶意GraphQL

查询？

A、基于HTTP方法过滤

B、基于请求体内容检查

C、基于UserAgent过滤

D、基于Referer检查

【答案】B

【解析】正确答案是B。GraphQL查询内容在请求体中，基于请求体检查可以最精

确识别恶意查询。A选项无法区分查询内容；C、D选项容易被伪造，可靠性低。知识

点：WAF检查位置选择。易错点：忽视GraphQL查询在请求体中的特点。

2025年AWS认证APPSYNCWAF集成与防护专题试卷及解析2

4、AWSWAF的哪种功能最适合防护AppSync的GraphQL查询深度攻击？

A、基于大小的规则

B、基于正则表达式的规则

C、基于速率的规则

D、基于IP信誉的规则

【答案】A

【解析】正确答案是A。查询深度攻击通常会导致请求体过大，基于大小的规则可

以有效拦截。B选项难以编写通用的深度检测正则；C选项针对频率而非深度；D选项

与查询深度无关。知识点：GraphQL特定攻击防护。易错点：混淆攻击类型与防护手

段。

5、在AppSync与WAF集成场景中，以下哪种WAF托管规则组最推荐用于基础

防护？

A、AWSManagedRulesCommonRuleSet

B、AWSManagedRulesKnownBadInputsRuleSet

C、AWSManagedRulesSQLiRuleSet

D、AWSManagedRulesAmazonIpReputationList

【答案】A

【解析】正确答案是A。CommonRuleSet提供最全面的基础防护，包括常见Web攻

击。B选项仅针对已知恶意输入；C选项仅针对SQL注入；D选项仅针对恶意IP。知

识点：WAF托管规则组选择。易错点：过度依赖特定规则组而忽视全面防护。

6、当AppSyncAPI启用WAF后，以下哪种错误响应最可能表示WAF拦截？

A、401Unauthorized

B、403Forbidden

C、429TooManyRequests

D、500InternalServerError

【答案】B

【解析】正确答案是B。WAF拦截通常返回403Forbidden。A选项表