2025年信息系统安全专家API安全API安全与AI模型混沌工程专题试卷及解析.pdfVIP

2025年信息系统安全专家API安全API安全与AI模型混沌工程专题试卷及解析1

2025年信息系统安全专家API安全API安全与AI模型

混沌工程专题试卷及解析

2025年信息系统安全专家API安全API安全与AI模型混沌工程专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在API安全中，以下哪种攻击方式通过向目标API发送大量恶意请求，导致

服务资源耗尽而无法正常响应？

A、SQL注入

B、DDoS攻击

C、XSS攻击

D、CSRF攻击

【答案】B

【解析】正确答案是B。DDoS攻击（分布式拒绝服务攻击）通过大量请求耗尽API

服务器资源，是API安全中的常见威胁。A选项SQL注入主要针对数据库，C选项

XSS攻击针对前端脚本，D选项CSRF攻击利用用户身份伪造请求。知识点：API安

全威胁类型。易错点：容易混淆DDoS与CC攻击（属于DDoS的一种）。

2、AI模型混沌工程中，以下哪项是验证模型鲁棒性的核心指标？

A、模型训练速度

B、对抗样本攻击下的准确率

C、模型参数数量

D、数据预处理时间

【答案】B

【解析】正确答案是B。对抗样本攻击下的准确率直接反映模型面对恶意输入时的

稳定性，是混沌工程验证的重点。A、C、D选项属于模型性能或效率指标，与鲁棒性

无关。知识点：AI模型安全评估。易错点：可能误选A，认为速度越快越安全。

3、在API网关设计中，以下哪种机制最适合防止未授权访问？

A、IP白名单

B、OAuth2.0令牌验证

C、请求限流

D、日志审计

【答案】B

【解析】正确答案是B。OAuth2.0提供标准化的授权框架，能有效控制API访问

权限。A选项IP白名单过于静态，C选项限流防滥用而非未授权访问，D选项审计属

于事后措施。知识点：API认证授权机制。易错点：可能忽略OAuth与JWT的区别。

4、AI模型混沌工程实验中，以下哪种注入方式最可能触发模型逻辑漏洞？

2025年信息系统安全专家API安全API安全与AI模型混沌工程专题试卷及解析2

A、随机噪声注入

B、梯度掩码

C、对抗性补丁

D、数据增强

【答案】C

【解析】正确答案是C。对抗性补丁通过特定模式干扰模型决策，易暴露逻辑漏洞。

A选项随机噪声测试泛化性，B选项梯度掩码属于防御技术，D选项数据增强用于训

练。知识点：AI对抗攻击技术。易错点：可能混淆对抗性补丁与FGSM攻击。

5、API安全中，以下哪种漏洞可能导致敏感数据泄露？

A、CORS配置错误

B、HTTP方法误用

C、分页参数未校验

D、以上都是

【答案】D

【解析】正确答案是D。CORS错误可跨域窃取数据，HTTP方法误用（如GET修

改数据）可能暴露接口，分页未校验导致越权访问。知识点：API常见漏洞类型。易错

点：可能低估分页参数的风险。

6、在AI模型混沌工程中，以下哪项不属于故障注入类型？

A、输入数据污染

B、模型权重扰动

C、硬件时钟偏移

D、训练数据增强

【答案】D

【解析】正确答案是D。数据增强属于训练优化手段，非故障注入。A、B、C分别

对应输入、模型、环境层面的故障模拟。知识点：混沌工程故障分类。易错点：可能误

选C，认为硬件与AI无关。

7、API安全测试中，以下哪种工具最适合自动化扫描RESTAPI漏洞？

A、BurpSuite

B、OWASPZAP

C、Nmap

D、Wireshark

【答案】B

【解析】正确答案是B。OWASPZAP专门支持API自动化扫描，而BurpSuite

需手动配置，Nmap用于端口扫描，Wireshark抓包分析。知识点：API安全工具选型。

易错点：可能因Burp知名度高而误选。

2025年信息系统安全专家API安全API安全与AI模型混沌工程专题试卷及解析3