2025年信息系统安全专家API安全API安全与开源组件管理专题试卷及解析.pdfVIP

2025年信息系统安全专家API安全API安全与开源组件管理专题试卷及解析1

2025年信息系统安全专家API安全API安全与开源组件

管理专题试卷及解析

2025年信息系统安全专家API安全API安全与开源组件管理专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在API安全中，以下哪种攻击方式主要利用了API未对输入参数进行严格验

证的漏洞？

A、DDoS攻击

B、SQL注入

C、中间人攻击

D、跨站脚本攻击（XSS）

【答案】B

【解析】正确答案是B。SQL注入攻击通过在API输入参数中插入恶意SQL代码，

利用后端数据库的漏洞执行非授权操作。A选项DDoS攻击主要针对服务可用性；C选

项中间人攻击侧重通信拦截；D选项XSS攻击虽然也涉及输入验证，但主要针对前端

脚本执行。知识点：输入验证漏洞类型。易错点：混淆XSS与SQL注入的攻击目标差

异。

2、以下哪项是开源组件管理中”供应链攻击”的典型特征？

A、攻击者直接入侵目标服务器

B、通过污染官方软件仓库传播恶意代码

C、利用社会工程学获取管理员密码

D、对API进行暴力破解

【答案】B

【解析】正确答案是B。供应链攻击的核心是污染合法的开源组件分发渠道，如npm

仓库被植入恶意包。A、C属于传统攻击手段；D是API安全范畴。知识点：开源供应

链攻击机制。易错点：误将供应链攻击等同于直接入侵。

3、OAuth2.0协议中，用于获取访问令牌（AccessToken）的端点通常是？

A、/authorize

B、/token

C、/userinfo

D、/logout

【答案】B

【解析】正确答案是B。/token端点专门处理令牌交换请求，而/authorize用于授

权流程，/userinfo获取用户信息，/logout用于注销。知识点：OAuth2.0端点功能。易

错点：混淆授权端点与令牌端点的用途。

2025年信息系统安全专家API安全API安全与开源组件管理专题试卷及解析2

4、在开源组件漏洞扫描中，CVE数据库的主要作用是？

A、存储组件版本历史

B、提供标准化漏洞编号和描述

C、自动修复漏洞

D、生成依赖关系图

【答案】B

【解析】正确答案是B。CVE（CommonVulnerabilitiesandExposures）为每个漏

洞分配唯一标识符，便于漏洞管理。A是版本控制系统功能；C需要依赖修复工具；D

属于软件成分分析（SCA）工具功能。知识点：漏洞数据库作用。易错点：误认为CVE

数据库包含修复方案。

5、以下哪种API认证方式最容易受到重放攻击？

A、BearerToken

B、HMAC签名

C、双向TLS

D、APIKey+时间戳

【答案】A

【解析】正确答案是A。BearerToken无状态特性使其易被截获重放，而B、C、D

均包含防重放机制（如签名验证、证书校验、时间戳）。知识点：API认证机制安全性。

易错点：忽略时间戳对APIKey的增强作用。

6、开源组件许可证合规性管理中，“GPL传染性”指的是？

A、许可证会自动复制到其他项目

B、衍生代码必须开源

C、禁止商业使用

D、强制署名要求

【答案】B

【解析】正确答案是B。GPL许可证要求衍生作品必须以相同许可证开源，即”传染

性”。A是错误描述；C是某些非商业许可证特性；D是MIT/BSD等许可证的要求。知

识点：开源许可证特性。易错点：混淆”传染性”与”禁止商业使用”。

7、API网关实现速率限制（RateLimiting）的主要目的是？

A、加密传输数据

B、防止资源滥用

C、验证请求签名

D、路由请求到后端服务

【答案】B

2025年信息系统安全专家API安全API安全与