2026年下半年信息安全工程师第二期模考试卷（案例分析）.docxVIP

2026年下半年信息安全工程师第二期模考试卷（案例分析）

一、案例分析题

某大型企业为提升业务系统的安全防护水平，计划对其核心的“订单处理与支付系统”（以下简称“系统”）进行全面的安全加固。该系统采用典型的B/S架构，前端为Web应用，后端为Java服务，数据库使用Oracle。近期安全团队进行了一次渗透测试与代码审计，发现了若干安全问题。请根据以下发现的问题和场景描述，回答问题1至问题4。

场景1：身份认证与会话管理

渗透测试人员发现，系统登录接口`/api/v1/login`存在安全问题。通过拦截登录请求，发现即使密码错误，服务器返回的HTTP状态码依然是200，但响应体内容不同。进一步分析，发现系统使用自实现的会话管理机制，会话令牌（Token）生成算法伪代码如下：

```

functiongenerateToken(userId){

Stringtimestamp=System.currentTimeMillis();

StringrawToken=userId+|+timestamp;

Stringtoken=MD5(rawToken);

returnbase64Encode(token);

}

```

该Token通过Cookie`SESSIONID`返回给客户端，并在服务端内存中存储`userId`与`Token`的映射关系用于验证。此