2025年信息系统安全专家威胁建模与输入验证安全专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁建模与输入验证安全专题试卷及解析1

2025年信息系统安全专家威胁建模与输入验证安全专题试

卷及解析

2025年信息系统安全专家威胁建模与输入验证安全专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁建模过程中，STRIDE模型中的“T”代表哪种威胁类型？

A、欺骗

B、篡改

C、信息泄露

D、拒绝服务

【答案】B

【解析】正确答案是B。STRIDE模型中，T代表Tampering（篡改），指对数据或代

码进行未经授权的修改。A选项Spoofing（欺骗）是S，C选项InformationDisclosure

（信息泄露）是I，D选项DenialofService（拒绝服务）是D。知识点：STRIDE威胁

分类法。易错点：容易混淆STRIDE各字母对应的威胁类型，特别是T和I。

2、以下哪种输入验证技术最适合防止SQL注入攻击？

A、黑名单过滤

B、白名单验证

C、URL编码

D、Base64编码

【答案】B

【解析】正确答案是B。白名单验证只允许已知安全的输入通过，是最严格的验证

方式。A选项黑名单容易被绕过，C和D是编码技术而非验证技术。知识点：输入验

证策略。易错点：误认为黑名单过滤足够安全，实际上攻击者总能找到绕过方法。

3、在威胁建模中，攻击面分析主要关注什么？

A、系统内部组件交互

B、可能被攻击的入口点

C、代码质量评估

D、性能瓶颈识别

【答案】B

【解析】正确答案是B。攻击面分析识别所有可能被恶意利用的入口点。A是架构

分析，C是代码审计，D是性能测试。知识点：攻击面分析概念。易错点：容易将攻击

面与漏洞混淆，前者是入口点，后者是具体缺陷。

4、以下哪种验证方法最适合处理文件上传功能？

A、检查文件扩展名

2025年信息系统安全专家威胁建模与输入验证安全专题试卷及解析2

B、验证MIME类型

C、内容嗅探+文件类型白名单

D、仅检查文件大小

【答案】C

【解析】正确答案是C。结合内容嗅探和白名单验证是最安全的方式。A和B容易

被伪造，D不完整。知识点：文件上传安全。易错点：仅依赖单一验证方法容易被绕过。

5、威胁建模中的DREAD模型用于评估什么？

A、威胁可能性

B、攻击技术复杂度

C、风险等级

D、漏洞修复优先级

【答案】C

【解析】正确答案是C。DREAD通过五个维度评估风险等级。A是STRIDE，B是

CVSS，D是风险矩阵。知识点：风险评估模型。易错点：混淆不同评估模型的用途。

6、以下哪种情况最适合使用规范化输入验证？

A、处理用户提供的URL

B、验证电子邮件格式

C、过滤HTML标签

D、处理多语言文本输入

【答案】D

【解析】正确答案是D。规范化处理适合复杂输入如多语言文本。A适合白名单，B

适合正则表达式，C适合输出编码。知识点：输入验证技术选择。易错点：滥用规范化

导致性能问题。

7、在威胁建模中，数据流图（DFD）主要用于什么？

A、展示系统架构

B、标识信任边界

C、记录测试用例

D、分析性能指标

【答案】B

【解析】正确答案是B。DFD帮助识别数据跨越信任边界的位置。A是架构图，C

是测试文档，D是性能报告。知识点：威胁建模工具。易错点：误认为DFD等同于系

统架构图。

8、以下哪种输入验证缺陷最可能导致XSS攻击？

A、未验证数字范围

B、未过滤特殊字符

2025年信息系统安全专家威胁建模与输入验证安全专题试卷及解析3

C、未检查字符串长度

D、未验证日期格式

【答案】B