2025年信息系统安全专家威胁建模与API安全设计专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁建模与API安全设计专题试卷及解析1

2025年信息系统安全专家威胁建模与API安全设计专题

试卷及解析

2025年信息系统安全专家威胁建模与API安全设计专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁建模过程中，STRIDE模型中的“T”代表什么威胁类型？

A、欺骗

B、篡改

C、拒绝服务

D、威胁

【答案】D

【解析】正确答案是D。STRIDE是微软提出的威胁建模方法，其中T代表Threat

（威胁），S代表Spoofing（欺骗），R代表Repudiation（抵赖），I代表Information

Disclosure（信息泄露），D代表DenialofService（拒绝服务），E代表Elevationof

Privilege（权限提升）。知识点：威胁建模基础概念。易错点：容易将STRIDE的每个

字母与具体威胁类型混淆，特别是T和S。

2、以下哪项不是API安全设计的核心原则？

A、最小权限原则

B、深度防御

C、开放所有端口

D、零信任架构

【答案】C

【解析】正确答案是C。API安全设计应遵循最小权限、深度防御和零信任等原则，

而开放所有端口会极大增加攻击面，违反安全设计原则。知识点：API安全设计原则。

易错点：可能误认为开放端口有利于API调用，忽略了安全风险。

3、在RESTfulAPI设计中，哪种HTTP方法通常用于获取资源？

A、POST

B、GET

C、DELETE

D、PUT

【答案】B

【解析】正确答案是B。GET方法用于获取资源，POST用于创建资源，PUT用

于更新资源，DELETE用于删除资源。知识点：HTTP方法与RESTful设计。易错点：

容易混淆GET和POST的用途。

4、威胁建模中，攻击树的主要作用是什么？

2025年信息系统安全专家威胁建模与API安全设计专题试卷及解析2

A、绘制网络拓扑

B、分析攻击路径和可能性

C、加密数据传输

D、监控API调用

【答案】B

【解析】正确答案是B。攻击树用于系统化分析攻击者可能采取的攻击路径和方法，

帮助识别潜在威胁。知识点：威胁建模工具。易错点：可能误认为攻击树是实际攻击工

具。

5、以下哪项是API网关的主要功能？

A、数据库存储

B、身份验证和授权

C、代码编译

D、用户界面设计

【答案】B

【解析】正确答案是B。API网关的核心功能包括身份验证、授权、流量控制、监

控等，而数据库存储、代码编译和UI设计不属于其职责。知识点：API网关功能。易

错点：可能混淆API网关与应用服务器的功能。

6、在威胁建模中，DREAD模型中的“D”代表什么？

A、损害潜力

B、可发现性

C、可利用性

D、受影响用户

【答案】A

【解析】正确答案是A。DREAD模型中D代表DamagePotential（损害潜力），R

代表Reproducibility（可复现性），E代表Exploitability（可利用性），A代表Affected

Users（受影响用户），D代表Discoverability（可发现性）。知识点：威胁评估模型。易

错点：容易混淆DREAD各字母的含义。

7、以下哪项不是OAuth2.0的授权模式？

A、授权码模式

B、客户端凭证模式

C、密码模式

D、单点登录模式

【答案】D

【解析】正确答案是D。OAuth2.0的授权模式包括授权码、隐式、密码和客户端凭

证模式，单点登录（SSO）是另一种认证机制。知识点：OAuth2.0协议。易错点：可

2025年信息系统安全专家威胁建模与API安全设计专题试卷及