2025年信息系统安全专家Web应用安全策略专题试卷及解析.pdfVIP

2025年信息系统安全专家WEB应用安全策略专题试卷及解析1

2025年信息系统安全专家Web应用安全策略专题试卷及

解析

2025年信息系统安全专家Web应用安全策略专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在Web应用安全中，以下哪种攻击方式通过在输入字段中插入恶意SQL代码

来操纵数据库？

A、跨站脚本攻击（XSS）

B、SQL注入攻击

C、跨站请求伪造（CSRF）

D、文件包含漏洞

【答案】B

【解析】正确答案是B。SQL注入攻击是通过在输入字段中插入恶意SQL代码来

操纵数据库的攻击方式。A选项XSS是向网页注入恶意脚本，C选项CSRF是伪造用

户请求，D选项文件包含漏洞是通过包含文件执行恶意代码。知识点：SQL注入原理

及防护。易错点：容易混淆SQL注入和XSS，前者针对数据库，后者针对客户端脚本。

2、以下哪种HTTP头部设置可以有效防止点击劫持攻击？

A、XFrameOptions

B、ContentSecurityPolicy

C、XXSSProtection

D、StrictTransportSecurity

【答案】A

【解析】正确答案是A。XFrameOptions头部用于控制页面是否可以被嵌入iframe，

是防止点击劫持的主要手段。B选项CSP是内容安全策略，C选项是XSS保护，D选

项是强制HTTPS。知识点：HTTP安全头部配置。易错点：容易混淆XFrameOptions

和CSP，前者专门针对点击劫持。

3、在OAuth2.0授权流程中，以下哪个角色负责访问受保护资源？

A、资源所有者

B、客户端

C、授权服务器

D、资源服务器

【答案】D

【解析】正确答案是D。资源服务器负责托管受保护资源并处理访问令牌验证。A

是用户，B是应用，C是颁发令牌的服务器。知识点：OAuth2.0架构。易错点：容易

混淆授权服务器和资源服务器的职责。

2025年信息系统安全专家WEB应用安全策略专题试卷及解析2

4、以下哪种加密算法最适合用于Web应用中的密码存储？

A、MD5

B、SHA1

C、bcrypt

D、AES

【答案】C

【解析】正确答案是C。bcrypt是专门为密码存储设计的哈希算法，具有加盐和可

配置的计算成本。A和B已被证明不安全，D是对称加密算法不适合密码存储。知识

点：密码存储安全。易错点：容易误用普通哈希算法存储密码。

5、在Web应用防火墙（WAF）中，以下哪种检测模式误报率最高？

A、签名匹配

B、行为分析

C、协议验证

D、白名单验证

【答案】B

【解析】正确答案是B。行为分析基于异常检测，容易产生误报。A是已知攻击特

征，C是协议合规性检查，D是仅允许已知安全行为。知识点：WAF检测模式。易错

点：认为行为分析最安全，但实际误报率较高。

6、以下哪种CSRF防护措施需要用户交互？

A、SameSiteCookie

B、双重提交Cookie

C、CSRFToken

D、验证码

【答案】D

【解析】正确答案是D。验证码需要用户主动输入，是最可靠的CSRF防护但影响

用户体验。A、B、C都是自动验证机制。知识点：CSRF防护技术。易错点：容易忽略

验证码的CSRF防护作用。

7、在RESTfulAPI设计中，以下哪个HTTP方法应该用于幂等操作？

A、POST

B、PUT

C、PATCH

D、DELETE

【答案】B

【解析】正确答案是B。PUT方法设计为幂等操作，多次执行结果相同。A不是幂

等的，C不是幂等的，D是幂等的但题目问”应该”用于幂等操作。知识点：HTTP方法

2025年信息系统安全专家WEB应用安全策略专题