2025年信息系统安全专家API安全漏洞扫描与管理专题试卷及解析.pdfVIP

2025年信息系统安全专家API安全漏洞扫描与管理专题试卷及解析1

2025年信息系统安全专家API安全漏洞扫描与管理专题

试卷及解析

2025年信息系统安全专家API安全漏洞扫描与管理专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在进行API安全扫描时，以下哪种漏洞类型通常与未对输入参数进行严格验证

有关？

A、SQL注入

B、硬编码敏感信息

C、不安全的直接对象引用（IDOR）

D、跨站脚本攻击（XSS）

【答案】A

【解析】正确答案是A。SQL注入漏洞的核心原因就是应用程序未对用户输入的参

数进行充分的验证和过滤，导致恶意SQL代码被执行。B选项硬编码敏感信息属于配

置安全问题，C选项IDOR是访问控制问题，D选项XSS虽然也与输入验证有关，但

更侧重于前端输出到页面的脚本执行，而SQL注入是API后端数据库层面的典型漏

洞。知识点：输入验证漏洞。易错点：容易将所有输入验证问题都归为XSS，需区分不

同攻击向量。

2、OWASPAPISecurityTop10中，“BrokenObjectLevelAuthorization”（BOLA）

漏洞的中文通常指什么？

A、失效的对象级别授权

B、失效的身份认证

C、安全配置错误

D、过多的数据暴露

【答案】A

【解析】正确答案是A。BrokenObjectLevelAuthorization（BOLA）直译为“失效的

对象级别授权”，在中文语境下常被称为“不安全的直接对象引用（IDOR）”，是API安全

中最常见的漏洞之一。B选项“失效的身份认证”是另一个不同的漏洞类别。C和D也是

OWASPAPISecurityTop10中的其他条目，但与BOLA定义不符。知识点：OWASP

API安全风险。易错点：BOLA和IDOR是同一概念的不同表述，考生可能因术语不

熟悉而混淆。

3、在进行API安全扫描时，发现一个API端点返回了包含用户密码哈希值的完

整用户对象。这最可能属于OWASPAPISecurityTop10中的哪一类？

A、安全配置错误

B、过多的数据暴露

2025年信息系统安全专家API安全漏洞扫描与管理专题试卷及解析2

C、失效的对象级别授权

D、资源消耗殆尽

【答案】B

【解析】正确答案是B。“过多的数据暴露”指的是API端点返回了超出客户端合理

需求的信息，包含了敏感或不必要的数据。本题中返回密码哈希值是典型的敏感数据过

度暴露。A选项通常指基础设施或框架的配置不当。C选项关注的是用户A能否访问

用户B的数据。D选项是关于资源耗尽的攻击。知识点：API数据泄露风险。易错点：

容易将“数据暴露”与“授权问题”混淆，前者关注返回了什么，后者关注能否访问。

4、在进行API安全扫描前，通常需要先获取API的什么信息？

A、源代码

B、数据库密码

C、API文档（如OpenAPI/Swagger规范）

D、服务器管理员权限

【答案】C

【解析】正确答案是C。API文档（如OpenAPI/Swagger规范）定义了API的所

有端点、请求方法、参数、数据模型等，是自动化安全扫描工具理解API结构、生成测

试用例的基础。A、B、D选项通常不是扫描所必需的，且获取难度高，属于白盒测试

或深度渗透测试的范畴。知识点：API安全扫描的前提条件。易错点：误以为必须拥有

最高权限才能进行扫描，实际上基于文档的黑盒扫描是常见且有效的方式。

5、以下哪项技术或标准主要用于解决API的身份认证问题？

A、OAuth2.0

B、CAPTCHA

C、WAF（Web应用防火墙）

D、HTTPS

【答案】A

【解析】正确答案是A。OAuth2.0是一个行业标准的授权框架，常用于API的身份

认证和授权，允许第三方应用获得对用户账户的有限访问权限。