2025年信息系统安全专家Web应用安全体系架构与纵深防御专题试卷及解析.pdfVIP

2025年信息系统安全专家WEB应用安全体系架构与纵深防御专题试卷及解析1

2025年信息系统安全专家Web应用安全体系架构与纵深

防御专题试卷及解析

2025年信息系统安全专家Web应用安全体系架构与纵深防御专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在Web应用安全架构中，以下哪项技术最适合用于防止客户端存储的敏感信息

被窃取？

A、使用HTTPOnlyCookie

B、启用HTTPS传输加密

C、实施CSP内容安全策略

D、设置SameSiteCookie属性

【答案】A

【解析】正确答案是A。HTTPOnlyCookie可以防止JavaScript访问Cookie，有效

减少XSS攻击导致的敏感信息泄露。B选项HTTPS主要保护传输过程，C选项CSP

防止代码注入，D选项SameSite防止CSRF攻击，均不直接解决客户端存储安全问题。

知识点：客户端安全防护机制。易错点：混淆传输层安全与客户端存储安全的区别。

2、纵深防御模型中，以下哪个层次不属于Web应用安全防护的典型分层？

A、网络层防护

B、主机层防护

C、应用层防护

D、物理层防护

【答案】D

【解析】正确答案是D。Web应用纵深防御通常包括网络层（如防火墙）、主机层

（如主机IDS）和应用层（如WAF），物理层属于基础设施安全范畴。知识点：纵深防

御架构分层。易错点：将物理安全纳入应用安全防护体系。

3、以下哪种漏洞最可能导致OAuth2.0授权流程被绕过？

A、CSRF漏洞

B、开放重定向

C、SQL注入

D、XSS漏洞

【答案】B

【解析】正确答案是B。开放重定向可被攻击者利用伪造授权回调URL，窃取授权

码。A选项CSRF可能影响状态参数，C选项SQL注入主要针对数据库，D选项XSS

可窃取token但不会直接绕过授权流程。知识点：OAuth安全机制。易错点：忽视重定

向在授权流程中的关键作用。

2025年信息系统安全专家WEB应用安全体系架构与纵深防御专题试卷及解析2

4、在微服务架构中，以下哪种认证方案最适合服务间通信？

A、Session认证

B、JWT令牌

C、OAuth2.0

D、表单认证

【答案】B

【解析】正确答案是B。JWT的无状态特性使其适合微服务间认证，A选项Session

需要中心化存储，C选项OAuth更适合用户授权，D选项表单认证仅适用于用户登录

场景。知识点：微服务认证机制。易错点：混淆用户认证与服务认证的区别。

5、以下哪项措施不能有效防范HTTP请求走私攻击？

A、标准化请求头解析

B、启用严格传输安全

C、使用前端代理规范化

D、禁用HTTP/0.9

【答案】B

【解析】正确答案是B。HSTS仅强制HTTPS，与请求走私无关。A、C、D选项都

能直接或间接解决请求走私的根源问题。知识点：HTTP协议层攻击。易错点：将传输

层安全与应用层攻击混淆。

6、在API安全设计中，以下哪种方法最适合防止暴力破解？

A、实施速率限制

B、使用HTTPS

C、输入参数验证

D、返回通用错误信息

【答案】A

【解析】正确答案是A。速率限制直接控制请求频率，B选项保护传输，C选项防

止注入，D选项可辅助但非主要手段。知识点：API安全防护。易错点：忽视速率限制

在暴力破解中的核心作用。

7、以下哪种存储方式最不适合保存数据库连接字符串？

A、环境变量

B、配置文件

C、密钥管理服务

D、硬编码在代码中

【答案】D

【解析】正确答案是D。硬编码导致密钥泄露风险最高，A、B、C选项都有相应的

安全保护机制。知识点：敏感信息存储。易错点：低估硬编码的安全风险。

2025年信息系统安全专家WEB应用安全体系架构与纵深防御专题试卷及