2025年信息系统安全专家API安全API安全与对抗样本攻击专题试卷及解析.pdf

2025年信息系统安全专家API安全API安全与对抗样本攻击专题试卷及解析1

2025年信息系统安全专家API安全API安全与对抗样本

攻击专题试卷及解析

2025年信息系统安全专家API安全API安全与对抗样本攻击专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在API安全中，以下哪种攻击方式通过构造恶意的API请求参数，导致后端

服务器执行非预期的操作？

A、DDoS攻击

B、参数污染

C、SQL注入

D、XSS攻击

【答案】B

【解析】正确答案是B。参数污染（ParameterPollution）攻击通过在API请求中

提交重复或恶意构造的参数，干扰后端逻辑处理，可能导致绕过安全检查或执行非预期

操作。A选项DDoS攻击是拒绝服务攻击，与参数无关；C选项SQL注入是数据库层

面的攻击，虽然可能通过API触发，但题目描述更贴近参数污染；D选项XSS攻击是

客户端脚本注入，与API参数污染不同。知识点：API参数处理安全。易错点：容易

将参数污染与SQL注入混淆，前者关注参数解析逻辑，后者关注数据库查询。

2、在对抗样本攻击中，以下哪种技术通过微小扰动输入数据，导致机器学习模型

误分类？

A、数据投毒

B、对抗样本生成

C、模型窃取

D、成员推理

【答案】B

【解析】正确答案是B。对抗样本生成技术通过对输入数据添加微小扰动，使机器

学习模型产生错误分类。A选项数据投毒是通过污染训练数据影响模型；C选项模型窃

取是窃取模型参数；D选项成员推理是判断特定数据是否在训练集中。知识点：对抗样

本攻击原理。易错点：对抗样本生成与数据投毒的区别在于前者针对推理阶段，后者针

对训练阶段。

3、以下哪种API安全机制主要用于防止未授权访问？

A、输入验证

B、速率限制

C、身份认证

D、日志审计

2025年信息系统安全专家API安全API安全与对抗样本攻击专题试卷及解析2

【答案】C

【解析】正确答案是C。身份认证是API安全的核心机制，用于确认请求方的合法

性，防止未授权访问。A选项输入验证防止恶意输入；B选项速率限制防止滥用；D选

项日志审计用于事后分析。知识点：API访问控制。易错点：容易将身份认证与授权混

淆，前者确认身份，后者控制权限。

4、在对抗样本攻击中，以下哪种方法属于白盒攻击？

A、FGSM

B、JSMA

C、CW攻击

D、DeepFool

【答案】A

【解析】正确答案是A。FGSM（FastGradientSignMethod）是一种典型的白盒攻

击方法，需要知道模型梯度信息。B、C、D选项虽然也是对抗样本攻击方法，但题目

问的是白盒攻击的典型代表。知识点：对抗样本攻击分类。易错点：白盒攻击与黑盒攻

击的区别在于是否了解模型内部信息。

5、以下哪种API漏洞可能导致敏感信息泄露？

A、越权访问

B、硬编码密钥

C、CORS配置错误

D、以上都是

【答案】D

【解析】正确答案是D。越权访问、硬编码密钥和CORS配置错误都可能导致敏感

信息泄露。A选项越权访问可获取未授权数据；B选项硬编码密钥可能被逆向破解；C

选项CORS配置错误允许跨域访问敏感资源。知识点：API信息泄露漏洞。易错点：容

易忽视CORS配置错误这一常见问题。

6、在对抗样本防御中，以下哪种技术通过添加随机性提高模型鲁棒性？

A、对抗训练

B、输入预处理

C、梯度掩码

D、随机化

【答案】D

【解析】正确答案是D。随机化技术通过在输入或模型中添加随机性，使对抗样本

难以稳定生效。A选项对抗训练通过加入对抗样本训练模型；B选项输入预处理通过净

化输入数据；C选项梯度掩码通过隐藏梯度信息。知识点：对抗样本防御方法。易错点：

随机化与对抗训练的区别在于前者增加不确定性，后者提升模型泛化能力。

2025年信息系统安全专家API安