应用安全测试与评估规范.docxVIP

第PAGE页共NUMPAGES页

2026年应用安全测试与评估规范

一、单选题（每题2分，共20题）

1.在进行应用安全测试时，以下哪项是静态应用安全测试（SAST）的主要特点？

A.在应用程序运行时进行测试

B.主要关注代码层面的漏洞

C.需要大量手动干预

D.主要用于测试数据库安全性

2.以下哪项不属于常见的Web应用防火墙（WAF）防护的功能？

A.SQL注入防护

B.跨站脚本（XSS）防护

C.网络层攻击防护

D.跨站请求伪造（CSRF）防护

3.在进行渗透测试时，以下哪种方法属于被动侦察？

A.扫描目标系统的开放端口

B.分析目标公司的公开信息

C.使用暴力破解密码

D.进行网络流量分析

4.以下哪项是动态应用安全测试（DAST）的主要应用场景？

A.在开发阶段进行代码审查

B.在应用程序部署后进行测试

C.主要用于测试操作系统安全性

D.主要用于测试网络设备安全性

5.在进行安全代码审查时，以下哪项是代码异味的主要表现形式？

A.代码中存在语法错误

B.代码中存在安全漏洞

C.代码结构不合理，难以维护

D.代码中存在冗余代码

6.以下哪项是交互式应用安全测试（IAST）的主要优势？

A.可以在应用程序开发过程中进行测试

B.可以提供详细的漏洞报告

C.主要用于测试前端代码

D.主要用于测试后端代码