应用安全工程师考试题集.docxVIP

第PAGE页共NUMPAGES页

2026年应用安全工程师考试题集

一、单选题（每题2分，共20题）

1.在Web应用中，以下哪种攻击方式最常利用跨站脚本（XSS）漏洞进行数据窃取？

A.SQL注入

B.跨站请求伪造（CSRF）

C.跨站脚本（XSS）

D.敏感信息泄露

2.某企业采用OAuth2.0协议实现第三方应用授权，以下哪种场景最适合使用“授权码模式”？

A.客户端应用需要访问用户敏感数据

B.嵌入式应用需要快速登录

C.单页应用（SPA）需要匿名访问资源

D.服务器端应用需要批量授权

3.在容器化应用中，以下哪种技术最适合用于实现微服务间的安全通信？

A.VPN加密隧道

B.服务网格（ServiceMesh）

C.跨域资源共享（CORS）

D.负载均衡器

4.某电商平台发现用户订单数据在传输过程中被截获，以下哪种加密算法最适合用于HTTPS协议？

A.DES

B.AES-256

C.RSA

D.RC4

5.在API安全测试中，以下哪种工具最适合用于检测API的注入漏洞？

A.Nmap

B.BurpSuite

C.Wireshark

D.Nessus

6.某企业采用JWT（JSONWebToken）进行用户身份验证，以下哪种场景最适合使用“刷新令牌”（RefreshToken）？

A.用户首次登录

B.用户注销操作

C.实时身份验证

D.长时间无状态认证

7.在移动应用安全中，以下哪种技术最适合用于保护本地敏感数据？

A.SSL/TLS

B.暗号存储（EncryptedStorage）

C.防火墙

D.WAF

8.某企业采用IAM（身份与访问管理）系统，以下哪种策略最适合用于最小权限原则？

A.账户共享

B.角色分离

C.越级授权

D.全权限开放

9.在代码审计中，以下哪种工具最适合用于检测Python应用的逻辑漏洞？

A.AppScan

B.SonarQube

C.Metasploit

D.Metastar

10.某企业采用零信任架构（ZeroTrustArchitecture），以下哪种原则最符合其核心思想？

A.信任内部，防范外部

B.信任外部，防范内部

C.不信任任何用户，始终验证

D.依赖传统防火墙

二、多选题（每题3分，共10题）

1.在Web应用中，以下哪些属于常见的OWASPTop10漏洞？

A.SQL注入

B.跨站脚本（XSS）

C.跨站请求伪造（CSRF）

D.敏感信息泄露

E.文件上传漏洞

2.在容器化应用中，以下哪些技术最适合用于提升容器安全？

A.容器运行时监控（CRI-O）

B.容器镜像扫描（Trivy）

C.网络隔离（cgroups）

D.沙箱技术（gVisor）

E.SELinux

3.在API安全测试中，以下哪些属于常见的API攻击方式？

A.参数篡改

B.认证绕过

C.数据泄露

D.负载拒绝

E.权限提升

4.在移动应用安全中，以下哪些属于常见的移动漏洞类型？

A.本地存储未加密

B.证书篡改

C.逆向工程

D.恶意代码注入

E.跨应用数据泄露

5.在代码审计中，以下哪些属于常见的代码逻辑漏洞？

A.权限绕过

B.输入验证缺陷

C.会话固定

D.重放攻击

E.敏感数据硬编码

6.在IAM（身份与访问管理）系统中，以下哪些属于常见的认证方式？

A.密码认证

B.多因素认证（MFA）

C.生物识别

D.API密钥

E.证书认证

7.在零信任架构（ZeroTrustArchitecture）中，以下哪些属于核心原则？

A.无状态访问

B.多重身份验证

C.威胁检测

D.最小权限

E.实时监控

8.在数据安全中，以下哪些属于常见的加密方式？

A.对称加密（AES）

B.非对称加密（RSA）

C.哈希加密（SHA-256）

D.基于证书的加密

E.量子加密

9.在云安全中，以下哪些属于常见的云原生安全工具？

A.AWSIAM

B.AzureSentinel

C.GCPSecurityCommandCenter

D.CloudTrail

E.OpenTelemetry

10.在应用安全测试中，以下哪些属于常见的测试方法？

A.静态应用安全测试（SAST）

B.动态应用安全测试（DAST）

C.交互式应用安全测试（IAST）

D.代码审计

E.渗透测试

三、判断题（每题1分，共10题）

1.XSS攻击可以通过SQL注入进行数据篡改。

（正确/错误）

2.OAuth2.0协议可以完全替代传统的用户名密码认证方式。

（正确/错误）