2025年信息系统安全专家Web应用安全风险评估与管理专题试卷及解析.pdfVIP

2025年信息系统安全专家WEB应用安全风险评估与管理专题试卷及解析1

2025年信息系统安全专家Web应用安全风险评估与管理

专题试卷及解析

2025年信息系统安全专家Web应用安全风险评估与管理专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在进行Web应用安全风险评估时，以下哪项是评估过程中最首要的步骤？

A、漏洞扫描

B、资产识别

C、渗透测试

D、威胁建模

【答案】B

【解析】正确答案是B。风险评估的首要步骤是识别需要保护的资产，因为只有明

确了保护对象，才能进行后续的威胁分析和脆弱性评估。A、C、D都是在资产识别之

后进行的步骤。知识点：风险评估流程。易错点：容易将技术性测试（如漏洞扫描）误

认为首要步骤，而忽略了管理层面的资产识别。

2、OWASPTop10中，关于“失效的访问控制”的描述，以下哪个场景最能体现该

漏洞？

A、用户输入未经过滤，导致SQL注入

B、攻击者通过未授权接口直接访问管理后台

C、网站存在跨站脚本（XSS）漏洞

D、文件上传功能未限制类型，导致上传Webshell

【答案】B

【解析】正确答案是B。失效的访问控制指的是系统未能正确实施对用户权限的校

验，导致用户可以访问或操作超出其权限的资源。B选项中攻击者通过未授权接口访问

管理后台，正是典型的访问控制失效。A是注入类漏洞，C是XSS漏洞，D是文件上

传漏洞，均不属于访问控制范畴。知识点：OWASPTop10漏洞分类。易错点：容易将

其他漏洞类型与访问控制混淆，需明确各类漏洞的核心特征。

3、在Web应用安全开发生命周期（SDL）中，以下哪个阶段最适合引入威胁建模？

A、需求分析阶段

B、设计阶段

C、编码阶段

D、测试阶段

【答案】B

【解析】正确答案是B。威胁建模是在设计阶段进行的，目的是在系统设计阶段识

别潜在威胁并设计相应的缓解措施，从而降低后期修复成本。A阶段需求尚未明确，C

2025年信息系统安全专家WEB应用安全风险评估与管理专题试卷及解析2

阶段代码已实现，D阶段漏洞可能已存在。知识点：SDL流程。易错点：容易认为威胁

建模应在测试阶段进行，但实际上设计阶段是最佳时机。

4、以下哪种加密算法最适合用于Web应用中存储用户密码的哈希处理？

A、MD5

B、SHA1

C、bcrypt

D、AES

【答案】C

【解析】正确答案是C。bcrypt是专门为密码存储设计的哈希算法，具有加盐和可

配置的计算成本，能有效抵御彩虹表攻击和暴力破解。A、B算法已被证明不安全，且

缺乏加盐机制；D是对称加密算法，不适合用于密码哈希。知识点：密码存储安全。易

错点：容易误用MD5或SHA1等通用哈希算法，而忽略了密码存储的特殊安全需求。

5、在Web应用安全测试中，以下哪种方法属于黑盒测试？

A、代码审计

B、静态应用安全测试（SAST）

C、动态应用安全测试（DAST）

D、数据流分析

【答案】C

【解析】正确答案是C。DAST是在应用运行时通过模拟攻击来检测漏洞，属于黑

盒测试。A、B、D均需要接触源代码或内部结构，属于白盒或灰盒测试。知识点：安

全测试方法分类。易错点：容易混淆SAST和DAST的区别，需明确是否需要源代码。

6、以下哪项措施最能有效防止跨站请求伪造（CSRF）攻击？

A、输入验证

B、输出编码

C、使用AntiCSRFToken

D、设置HttpOnlyCookie

【答案】C

【解析】正确答案是C。AntiCSRFToken通过在请求中添加随机令牌并验证其有效

性，能有效防止CSRF攻击。A、B、D分别针对注入、XSS和Cookie劫持，对CSRF

无效。知识点：CSRF防护。易错点：容易将CSRF与其他攻击（如XSS）的防护措施

混淆。

7、在Web应用安全风险评估中，以下哪项指标用于衡量漏洞