2025年信息系统安全专家交互式应用安全测试（IAST）技术与应用专题试卷及解析.pdfVIP

2025年信息系统安全专家交互式应用安全测试（IAST）技术与应用专题试卷及解析1

2025年信息系统安全专家交互式应用安全测试（IAST）技

术与应用专题试卷及解析

2025年信息系统安全专家交互式应用安全测试（IAST）技术与应用专题试卷及解

析

第一部分：单项选择题（共10题，每题2分）

1、IAST技术主要通过哪种方式实现对应用程序安全漏洞的检测？

A、静态代码分析

B、动态运行时监控

C、网络流量抓包

D、人工渗透测试

【答案】B

【解析】正确答案是B。IAST（交互式应用安全测试）通过在应用程序运行时插桩，

实时监控代码执行路径和数据流来检测漏洞。A选项SAST是静态分析，不运行代码；

C选项DAST侧重外部行为检测；D选项完全依赖人工。知识点：IAST工作原理。易

错点：混淆IAST与DAST的运行时检测方式。

2、IAST工具通常通过什么技术手段获取应用程序内部状态？

A、JVM探针

B、浏览器插件

C、防火墙日志

D、数据库审计

【答案】A

【解析】正确答案是A。IAST通过在JVM（Java虚拟机）或类似运行时环境部署探

针来获取内部状态。B选项是前端工具；C、D选项属于外部监控手段。知识点：IAST

数据采集机制。易错点：误认为IAST依赖外部监控而非内部插桩。

3、在DevSecOps流程中，IAST最适合集成在哪个阶段？

A、需求分析

B、编码阶段

C、测试阶段

D、部署阶段

【答案】C

【解析】正确答案是C。IAST需要运行环境，最适合集成在功能测试或QA阶段。

A、B阶段代码未运行；D阶段已上线。知识点：IAST应用场景。易错点：混淆SAST

（编码阶段）与IAST的适用阶段。

4、IAST相比DAST的主要优势是什么？

2025年信息系统安全专家交互式应用安全测试（IAST）技术与应用专题试卷及解析2

A、检测速度更快

B、能定位漏洞具体代码行

C、支持更多编程语言

D、不需要访问源代码

【答案】B

【解析】正确答案是B。IAST结合了SAST和DAST优势，能精确到代码行。A、

C、D选项并非其核心优势。知识点：IAST技术优势。易错点：误认为IAST与DAST

在定位能力上无差异。

5、IAST检测SQL注入漏洞时，主要监控的是？

A、HTTP请求头

B、数据库连接池

C、用户输入与SQL执行的关联

D、日志文件内容

【答案】C

【解析】正确答案是C。IAST通过跟踪用户输入到SQL执行的完整数据流来检测

注入。A、B、D选项属于局部监控。知识点：IAST漏洞检测机制。易错点：混淆输入

监控与完整数据流分析。

6、IAST工具的插桩技术对应用性能的影响通常？

A、无影响

B、可忽略（20%）

D、导致应用崩溃

【答案】B

【解析】正确答案是B。现代IAST工具优化后性能影响通常控制在5%以内。A不

现实；C、D属于早期工具问题。知识点：IAST性能特性。易错点：夸大插桩对性能的

影响。

7、IAST在微服务架构中的主要挑战是？

A、跨服务漏洞追踪

B、容器兼容性

C、日志收集

D、配置管理

【答案】A

【解析】正确答案是A。微服务中漏洞可能跨多个服务，IAST需要分布式追踪能

力。B、C、D属于通用问题。知识点：IAST架构适配性。易错点：忽视分布式系统带

来的追踪复杂性。

8、IAST报告中的”污点数据”指的是？

2025年信息系统安全专家交互式应用安全测试（IAST）技术与应用专题试卷及解析3

A、加密数据

B、未经验证的用户输入

C、系统日志

D、缓存数据

【答案】B

【解析】正确答案是B。污点数据特指可能引发安全问题的未验证输入。A、C、D

属于安全数据类型。知识点：IAST污点分析。易错点：混淆污点数据与普通敏感数据。

9、IAST与RASP（运行时应用自我保护