2025年信息系统安全专家威胁建模与跨站脚本防护专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁建模与跨站脚本防护专题试卷及解析1

2025年信息系统安全专家威胁建模与跨站脚本防护专题试

卷及解析

2025年信息系统安全专家威胁建模与跨站脚本防护专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁建模过程中，STRIDE模型中的“T”代表什么威胁类型？

A、欺骗

B、篡改

C、信息泄露

D、拒绝服务

【答案】B

【解析】正确答案是B。STRIDE模型中T代表Tampering（篡改），指未经授权

修改数据或代码。A选项Spoofing是欺骗，C选项InformationDisclosure是信息泄露，

D选项DenialofService是拒绝服务。知识点：STRIDE威胁分类法。易错点：容易混

淆T和I的含义，需注意Tampering强调数据完整性破坏。

2、以下哪种XSS攻击类型需要用户点击恶意链接才能触发？

A、存储型XSS

B、反射型XSS

C、DOM型XSS

D、通用型XSS

【答案】B

【解析】正确答案是B。反射型XSS需要用户点击包含恶意脚本的URL才能触发，

恶意代码不会存储在服务器上。存储型XSS会永久存储在服务器，DOM型XSS通过

修改DOM节点触发。知识点：XSS攻击分类。易错点：反射型和存储型的区别在于是

否持久化存储。

3、威胁建模中，DREAD模型中的“D”代表什么评估维度？

A、潜在损失

B、可复现性

C、发现难度

D、受影响用户

【答案】C

【解析】正确答案是C。DREAD模型中D代表Discoverability（发现难度），评估

攻击者发现该漏洞的难易程度。A是Damage（潜在损失），B是Reproducibility（可复

现性），D是Affectedusers（受影响用户）。知识点：DREAD风险评估模型。易错点：

容易与Damage混淆，需注意D开头有两个维度。

2025年信息系统安全专家威胁建模与跨站脚本防护专题试卷及解析2

4、以下哪项措施对DOM型XSS防护最有效？

A、输入验证

B、输出编码

C、设置CSP头

D、使用HttpOnly

【答案】C

【解析】正确答案是C。内容安全策略(CSP)能有效防止DOM型XSS，因为它

限制脚本执行来源。输入验证和输出编码对反射型和存储型更有效，HttpOnly主要防

Cookie窃取。知识点：XSS防护技术。易错点：DOM型XSS发生在客户端，传统服

务器端防护效果有限。

5、威胁建模中，攻击树分析法的根节点通常表示什么？

A、攻击成本

B、攻击目标

C、攻击路径

D、攻击工具

【答案】B

【解析】正确答案是B。攻击树的根节点代表攻击者的最终目标，子节点表示实现

该目标的不同方法。知识点：攻击树建模方法。易错点：容易混淆根节点和叶节点的含

义，根节点是目标而非具体攻击手段。

6、以下哪种编码方式最适合防止HTML上下文中的XSS？

A、URL编码

B、Base64编码

C、HTML实体编码

D、十六进制编码

【答案】C

【解析】正确答案是C。HTML实体编码能将特殊字符转换为安全形式，如转换

为，有效防止脚本注入。URL编码用于URL参数，Base64不改变字符含义，十六

进制编码不适用于HTML上下文。知识点：上下文相关编码。易错点：不同上下文需

要不同编码方式。

7、威胁建模应在软件开发生命周期的哪个阶段进行？

A、需求分析阶段

B、设计阶段

C、编码阶段

D、测试阶段

【答案】B

2025年信息系统安全专家威胁建模与跨站脚本防护专题试卷及解析