2025年信息系统安全专家Web应用敏感信息泄露漏洞专题试卷及解析.pdfVIP

2025年信息系统安全专家WEB应用敏感信息泄露漏洞专题试卷及解析1

2025年信息系统安全专家Web应用敏感信息泄露漏洞专

题试卷及解析

2025年信息系统安全专家Web应用敏感信息泄露漏洞专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在Web应用中，以下哪种情况最可能导致敏感信息泄露？

A、使用HTTPS协议传输数据

B、在错误页面中暴露详细的堆栈跟踪信息

C、对用户输入进行严格的参数化查询

D、定期更新服务器操作系统补丁

【答案】B

【解析】正确答案是B。在错误页面中暴露详细的堆栈跟踪信息会泄露应用内部结

构、数据库信息等敏感数据，这是典型的信息泄露漏洞。A选项HTTPS是加密传输，

能防止信息泄露；C选项参数化查询是防止SQL注入的；D选项更新补丁是常规安全

措施。知识点：错误处理与信息泄露。易错点：容易忽略错误页面的信息泄露风险。

2、以下哪种HTTP头设置可以有效防止点击劫持攻击？

A、XFrameOptions

B、ContentSecurityPolicy

C、XXSSProtection

D、StrictTransportSecurity

【答案】A

【解析】正确答案是A。XFrameOptions头用于控制页面是否可以被嵌入iframe，

是防止点击劫持的主要手段。B选项CSP是内容安全策略，主要防止XSS；C选项

XXSSProtection是浏览器XSS过滤；D选项HSTS是强制HTTPS。知识点：HTTP

安全头。易错点：容易混淆不同安全头的功能。

3、在RESTfulAPI设计中，以下哪种做法最可能导致敏感信息泄露？

A、使用JWT进行身份验证

B、在URL中传递用户ID参数

C、对敏感字段进行加密存储

D、实施API访问频率限制

【答案】B

【解析】正确答案是B。在URL中传递用户ID等参数会被记录在服务器日志、浏

览器历史和代理服务器中，造成信息泄露。A选项JWT是安全的认证方式；C选项加

密存储是保护措施；D选项频率限制是防滥用。知识点：API安全设计。易错点：容易

忽视URL参数的可见性。

2025年信息系统安全专家WEB应用敏感信息泄露漏洞专题试卷及解析2

4、以下哪种加密算法最适合用于存储用户密码？

A、MD5

B、SHA1

C、bcrypt

D、AES

【答案】C

【解析】正确答案是C。bcrypt是专门为密码存储设计的哈希算法，具有盐值和可

配置的计算成本。A、B选项是快速哈希算法，容易被暴力破解；D选项AES是对称

加密，不适合单向哈希。知识点：密码存储安全。易错点：容易混淆哈希与加密算法的

适用场景。

5、在Web应用中，以下哪种措施不能有效防止目录遍历攻击？

A、验证用户输入的路径合法性

B、使用chroot限制文件访问范围

C、在错误信息中显示完整路径

D、设置最小权限原则

【答案】C

【解析】正确答案是C。在错误信息中显示完整路径反而会帮助攻击者了解系统结

构，属于信息泄露。A、B、D选项都是有效的防护措施。知识点：目录遍历防护。易

错点：容易忽视错误信息泄露的危害。

6、以下哪种情况最可能导致会话固定攻击？

A、使用随机生成的会话ID

B、登录后不改变会话ID

C、设置会话超时时间

D、使用HTTPS传输会话ID

【答案】B

【解析】正确答案是B。登录后不改变会话ID会让攻击者可以预先设置会话ID，

诱导用户使用该ID登录。A、C、D选项都是安全实践。知识点：会话管理安全。易错

点：容易忽略登录后更新会话ID的重要性。

7、在Web应用中，以下哪种做法最可能导致CSRF攻击？

A、使用SameSiteCookie属性

B、验证Referer头

C、使用GET请求执行敏感操作