2025年信息系统安全专家动态应用安全测试工具与实践专题试卷及解析.pdfVIP

2025年信息系统安全专家动态应用安全测试工具与实践专题试卷及解析1

2025年信息系统安全专家动态应用安全测试工具与实践专

题试卷及解析

2025年信息系统安全专家动态应用安全测试工具与实践专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在动态应用安全测试（DAST）中，以下哪种技术主要用于检测SQL注入漏洞？

A、静态代码分析

B、模糊测试

C、黑盒扫描

D、白盒审计

【答案】C

【解析】正确答案是C。黑盒扫描是DAST的核心技术，通过模拟攻击者行为检测

运行中的应用漏洞，包括SQL注入。A选项静态代码分析属于SAST范畴，B选项模

糊测试虽用于漏洞发现但非SQL注入专项技术，D选项白盒审计属于代码审计方法。

知识点：DAST技术分类。易错点：混淆DAST与SAST的技术边界。

2、以下哪项是DAST工具在CI/CD流水线中的最佳集成位置？

A、代码提交阶段

B、构建阶段

C、预发布环境测试

D、生产环境监控

【答案】C

【解析】正确答案是C。DAST需在运行环境中测试，预发布环境最接近生产且不

影响业务。A、B阶段属于SAST适用场景，D阶段生产环境测试风险过高。知识点：

DevSecOps集成策略。易错点：忽视DAST对运行环境的要求。

3、OWASPZAP工具的主要优势在于？

A、支持200+编程语言

B、自动化漏洞扫描与手动测试结合

C、实时内存泄漏检测

D、容器化部署支持

【答案】B

【解析】正确答案是B。ZAP的核心优势是提供自动化扫描与手动渗透测试的混合

模式。A选项是SAST工具特点，C选项属于内存分析工具范畴，D选项虽支持但非

核心优势。知识点：主流DAST工具特性。易错点：混淆不同安全工具的功能定位。

4、DAST扫描中”爬虫”阶段的主要目的是？

A、解析HTTP响应头

2025年信息系统安全专家动态应用安全测试工具与实践专题试卷及解析2

B、发现应用所有可访问入口点

C、验证输入过滤机制

D、生成会话令牌

【答案】B

【解析】正确答案是B。爬虫阶段通过遍历应用构建攻击面地图。A、C、D属于后

续测试阶段任务。知识点：DAST工作流程。易错点：低估爬虫阶段对测试覆盖率的影

响。

5、以下哪种漏洞类型DAST工具最难检测？

A、XSS跨站脚本

B、CSRF跨站请求伪造

C、硬编码凭证

D、目录遍历

【答案】C

【解析】正确答案是C。硬编码凭证属于源代码问题，DAST无法访问代码。A、B、

D均可通过运行时行为分析检测。知识点：DAST能力边界。易错点：误认为DAST能

检测所有漏洞类型。

6、在DAST报告中，“风险评分”主要依据？

A、漏洞数量

B、CVSS评分标准

C、业务影响程度

D、扫描耗时

【答案】B

【解析】正确答案是B。CVSS是业界通用的漏洞评分标准。A选项仅反映数量不

反映质量，C选项属于企业定制化因素，D选项与风险无关。知识点：漏洞评估体系。

易错点：混淆技术评分与业务风险评估。

7、以下哪项不是DAST工具的典型误报来源？

A、应用防护机制干扰

B、动态令牌验证

C、业务逻辑缺陷

D、网络延迟

【答案】D

【解析】正确答案是D。网络延迟可能影响扫描效率但不会导致误报。A、B、C均

可能被误判为漏洞。知识点：DAST误报成因。易错点：忽视业务逻辑对扫描结果的影

响。

8、DAST工具检测”不安全的直接对象引用”（IDOR）的主要方法是？

2025年信息系统安全专家动态应用安全测试工具与实践专题试卷及解析3

A、跟踪数据流

B、替换参数值

C、分析会话管理