2025年信息系统安全专家API安全合规性与审计专题试卷及解析.pdfVIP

2025年信息系统安全专家API安全合规性与审计专题试卷及解析1

2025年信息系统安全专家API安全合规性与审计专题试

卷及解析

2025年信息系统安全专家API安全合规性与审计专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在API安全审计中，OWASPAPISecurityTop10中排名第一的风险是？

A、失效的对象级别授权

B、安全配置错误

C、过多的数据暴露

D、缺少资源与速率限制

【答案】A

【解析】正确答案是A。失效的对象级别授权（BrokenObjectLevelAuthorization）

是OWASPAPISecurityTop102023中的首位风险，指API未正确验证用户是否有权

限访问特定对象。B选项安全配置错误排名第二，C选项过多的数据暴露排名第四，D

选项缺少资源与速率限制排名第五。知识点：OWASPAPI安全风险排序。易错点：容

易将Web应用安全Top10与API安全Top10混淆。

2、根据GDPR规定，当API处理欧盟公民数据时，以下哪项不是必须的合规要

求？

A、实施默认数据保护

B、提供数据可携带性接口

C、所有API调用必须使用OAuth2.0

D、建立数据泄露通知机制

【答案】C

【解析】正确答案是C。GDPR要求保护欧盟公民数据，但并未强制规定必须使用

OAuth2.0，只要能确保数据安全即可。A选项默认数据保护（PrivacybyDesign）是

GDPR核心原则，B选项数据可携带权是GDPR明确规定的权利，D选项72小时内

报告数据泄露是强制要求。知识点：GDPR合规要求。易错点：误认为特定技术方案是

法律强制要求。

3、在API安全审计中，以下哪项工具最适合检测未授权访问漏洞？

A、BurpSuite

B、OWASPZAP

C、Postman

D、SwaggerEditor

【答案】B

2025年信息系统安全专家API安全合规性与审计专题试卷及解析2

【解析】正确答案是B。OWASPZAP专门用于安全测试，能有效检测API的未授

权访问漏洞。A选项BurpSuite虽功能强大但更侧重Web应用，C选项Postman主

要用于API功能测试，D选项SwaggerEditor用于API文档设计。知识点：API安全

测试工具选择。易错点：混淆功能测试工具与安全测试工具的区别。

4、根据PCIDSS要求，处理支付卡数据的API必须满足以下哪项加密标准？

A、MD5

B、SHA1

C、AES256

D、DES

【答案】C

【解析】正确答案是C。PCIDSS要求使用强加密算法保护支付卡数据，AES256是

当前推荐的标准。A选项MD5和B选项SHA1已被证明不安全，D选项DES密钥长

度不足已被淘汰。知识点：支付卡行业数据安全标准。易错点：忽略算法的时效性和安

全性评估。

5、在API安全审计中，以下哪项不属于日志审计的关键要素？

A、请求时间戳

B、用户身份标识

C、API响应时间

D、请求参数值

【答案】D

【解析】正确答案是D。请求参数值可能包含敏感信息，不应记录在日志中。A、B、

C都是审计日志必须包含的关键要素。知识点：API安全日志规范。易错点：误认为记

录所有请求细节有助于审计，实则可能违反隐私保护原则。

6、根据ISO27001标准，API安全风险评估应该多久进行一次？

A、每月

B、每季度

C、每年

D、根据风险变化频率确定

【答案】D

【解析】正确答案是D。ISO27001要求风险评估应基于风险变化情况动态进行，而

非固定周期。A、B、C选项的固定周期可能无法及时应对新出现的风险。知识点：ISO

27001风险管理要求。易错