2025年信息系统安全专家API安全API安全与供应链风险专题试卷及解析.pdfVIP

2025年信息系统安全专家API安全API安全与供应链风险专题试卷及解析1

2025年信息系统安全专家API安全API安全与供应链风

险专题试卷及解析

2025年信息系统安全专家API安全API安全与供应链风险专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在API安全中，以下哪种攻击方式通过构造恶意请求来利用API的逻辑缺陷？

A、SQL注入

B、中间人攻击

B、业务逻辑漏洞利用

D、DDoS攻击

【答案】C

【解析】正确答案是C。业务逻辑漏洞利用是API安全中常见的攻击方式，攻击者

通过构造恶意请求来利用API的业务逻辑缺陷。A选项SQL注入虽然也是常见攻击，

但更多针对数据库而非API逻辑；B选项中间人攻击侧重于通信拦截；D选项DDoS

攻击是资源耗尽型攻击。知识点：API业务逻辑漏洞。易错点：容易将SQL注入与API

逻辑漏洞混淆。

2、在供应链安全中，以下哪项措施最能有效防止第三方组件引入的漏洞？

A、定期更换密码

B、使用软件成分分析（SCA）工具

C、增加防火墙规则

D、限制员工访问权限

【答案】B

【解析】正确答案是B。软件成分分析（SCA）工具可以扫描第三方组件中的已知

漏洞，是供应链安全的核心措施。A、C、D选项虽然重要，但无法直接解决第三方组

件漏洞问题。知识点：供应链安全管理。易错点：容易忽视SCA工具在供应链安全中

的作用。

3、API网关在API安全中的主要作用是什么？

A、数据加密

B、请求路由与策略执行

C、用户认证

D、日志记录

【答案】B

【解析】正确答案是B。API网关的核心功能是请求路由与策略执行，包括流量控

制、认证授权等。A、C、D选项虽然也是API安全的一部分，但不是网关的主要作用。

知识点：API网关功能。易错点：容易将API网关与单一安全功能混淆。

2025年信息系统安全专家API安全API安全与供应链风险专题试卷及解析2

4、以下哪种认证方式最适合高安全要求的API场景？

A、APIKey

B、OAuth2.0

C、BasicAuth

D、JWT

【答案】B

【解析】正确答案是B。OAuth2.0提供细粒度的授权和令牌管理，适合高安全场

景。A选项APIKey安全性较低；C选项BasicAuth明文传输不安全；D选项JWT

适合无状态认证但授权能力有限。知识点：API认证方式。易错点：容易忽视OAuth

2.0的授权优势。

5、供应链攻击中，以下哪种方式最隐蔽？

A、钓鱼邮件

B、恶意软件植入

C、依赖库污染

D、社会工程学

【答案】C

【解析】正确答案是C。依赖库污染通过合法软件分发渠道传播，隐蔽性极高。A、

B、D选项虽然常见，但更容易被检测。知识点：供应链攻击手段。易错点：容易低估

依赖库污染的隐蔽性。

6、API速率限制的主要目的是什么？

A、防止数据泄露

B、防止资源滥用

C、提高响应速度

D、简化开发流程

【答案】B

【解析】正确答案是B。速率限制的主要目的是防止资源滥用和DDoS攻击。A、C、

D选项虽然重要，但不是速率限制的核心目标。知识点：API安全策略。易错点：容易

将速率限制与性能优化混淆。

7、以下哪种工具最适合检测API中的敏感信息泄露？

A、Wireshark

B、BurpSuite

C、Nmap

D、Metasploit

【答案】B

2025年信息系统安全专家API安全API安全与供应链风险专题试卷及解析3

【解析】正确答案是B。BurpSuite是专业的WebAPI测试工具，可以检测敏感

信息泄露。A选项Wireshark侧重网络抓包；C选项