2025年信息系统安全专家OWASPAPISecurityTop10风险专题试卷及解析.pdfVIP

2025年信息系统安全专家OWASPAPISECURITYTOP10风险专题试卷及解析1

2025年信息系统安全专家OWASPAPISecurityTop10

风险专题试卷及解析

2025年信息系统安全专家OWASPAPISecurityTop10风险专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在OWASPAPISecurityTop10中，“BrokenObjectLevelAuthorization（”BOLA）

风险主要指的是什么？

A、API未对输入数据进行有效验证

B、API未正确实施对象级别的访问控制

C、API暴露了过多的敏感信息

D、API缺乏足够的速率限制

【答案】B

【解析】正确答案是B。BOLA是指API未能正确验证用户是否有权访问特定对象，

导致未授权访问。A描述的是输入验证问题，C是信息暴露问题，D是资源消耗问题。

知识点：API访问控制机制。易错点：容易与一般授权问题混淆。

2、下列哪项是”BrokenUserAuthentication”风险的典型表现？

A、API允许弱密码策略

B、API未实施HTTPS加密

C、API会话令牌可预测

D、API未记录安全事件

【答案】C

【解析】正确答案是C。可预测的会话令牌是认证机制缺陷的典型表现。A是密码

策略问题，B是传输安全问题，D是日志审计问题。知识点：认证机制设计。易错点：

容易将认证与授权混淆。

3、“ExcessiveDataExposure”风险的核心问题是？

A、API返回了过多不必要的数据

B、API未实施访问控制

C、API未加密敏感数据

D、API允许批量数据导出

【答案】A

【解析】正确答案是A。该风险指API返回了超出客户端合理需求的数据。B是授

权问题，C是加密问题，D是功能滥用问题。知识点：API响应数据最小化原则。易错

点：容易与信息泄露混淆。

4、下列哪项措施最能有效缓解”BrokenFunctionLevelAuthorization”风险？

A、实施输入验证

2025年信息系统安全专家OWASPAPISECURITYTOP10风险专题试卷及解析2

B、使用强加密算法

C、实施细粒度的功能级访问控制

D、增加日志记录

【答案】C

【解析】正确答案是C。功能级授权需要精确控制用户对特定功能的访问权限。A

是输入问题，B是加密问题，D是审计问题。知识点：基于角色的访问控制(RBAC)。

易错点：容易与对象级授权混淆。

5、“MassAssignment”风险通常发生在什么场景？

A、API接受任意参数并直接绑定到对象

B、API未验证输入数据类型

C、API允许批量操作

D、API未实施速率限制

【答案】A

【解析】正确答案是A。该风险指API将客户端提供的任意参数绑定到内部对象，

导致未授权修改。B是类型验证问题，C是功能设计问题，D是资源保护问题。知识点：

参数绑定安全。易错点：容易与一般输入验证混淆。

6、下列哪项是”SecurityMisconfiguration”的典型表现？

A、API默认启用调试模式

B、API使用弱加密算法

C、API未实施认证

D、API未记录错误信息

【答案】A

【解析】正确答案是A。默认启用调试模式是典型的安全配置错误。B是加密问题，

C是认证问题，D是日志问题。知识点：安全配置最佳实践。易错点：容易将配置错误

与设计缺陷混淆。

7、“Injection”风险在API中最常见的形式是？

A、SQL注入

B、XSS攻击

C、CSRF攻击

D、DDoS攻击

【答案】A

【解析】正确答案是A。SQL注入是API中最常见的注入攻击形式。B是前端问题，

C是会话问题，D是资源消耗问题。知识