2026年软件开发安全编码面试题与实践

2026年软件开发安全编码面试题与实践一、选择题（共5题，每题2分，共10分）1.以下哪种注入攻击最常用于Web应用程序的SQL查询中？A.跨站脚本攻击（XSS）B.SQL注入C.服务器端请求伪造（SSRF）D.敏感信息泄露答案：B解析：SQL注入是利用应用程序对用户输入验证不足，在SQL查询中插入恶意SQL代码，从而窃取或篡改数据库数据。XSS主要影响前端，SSRF用于攻击内部网络，敏感信息泄露是广义的漏洞类型。2.以下哪个HTTP头可以防止浏览器缓存敏感内容？A.Cache-Control:no-cacheB.Pragma:no-cacheC.X-Frame-Options:DENYD.Content-Security-Policy:default-src'self'答案：A解析：`Cache-Control:no-cache`和`Pragma:no-cache`都禁止浏览器缓存，但`Cache-Control`是现代标准。`X-Frame-Options`防止点击劫持，`Content-Security-Policy`控制脚本加载源。3.以下哪种加密算法属于对称加密？A.RSAB.ECCC.AESD.SHA-256答案：C解析：AES（高级加密标准）是常用的对称加密算法，加密和解密使用相同密钥。RSA、ECC是非对称加密，SHA-256是哈希算法。4.以下哪个工具常用于检测Web应用的OWASPTop10漏洞？A.NmapB.NessusC.BurpSuiteD.Wireshark答案：C解析：BurpSuite是专业的Web安全测试工具，支持扫描OWASPTop10漏洞。Nmap是端口扫描工具，Nessus是综合扫描器，Wireshark是网络抓包工具。5.以下哪种认证方式最适用于分布式系统中的单点登录（SSO）？A.基本身份验证（BasicAuth）B.OAuth2.0C.LDAP认证D.Kerberos答案：B解析：OAuth2.0支持授权框架，适用于SSO场景。BasicAuth仅适用于简单认证，LDAP和Kerberos多用于内部企业认证。二、填空题（共5题，每题2分，共10分）6.在RESTAPI设计中，使用_________方法来保护资源免受未授权访问。答案：HTTP头（如Authorization）解析：通过在请求头添加`Authorization`字段（如BearerToken）实现认证。7.以下代码片段存在_________漏洞，应使用参数化查询修复。pythonconn=sqlite3.connect('db.sqlite3')cmd="SELECTFROMusersWHEREusername='"+username+"'"result=conn.execute(cmd)答案：SQL注入解析：用户输入未过滤，可注入恶意SQL代码。8.以下代码片段存在_________风险，应使用HTTPS传输数据。plaintextPOST/api/loginHTTP/1.1Host:Content-Type:application/x-www-form-urlencodedusername=admin&password=123456答案：明文传输（或中间人攻击风险）解析：未使用HTTPS，密码可能被窃取。9.以下代码片段缺少_________，可能导致敏感信息泄露。javaSystem.out.println("Userloggedin:"+userId);答案：输入验证解析：`userId`可能包含恶意输入，应过滤或使用更安全的日志记录方式。10.以下代码片段存在_________漏洞，应使用CSRF令牌验证。html<formaction="/api/logout"method="POST"><inputtype="submit"value="Logout"></form>答案：CSRF（跨站请求伪造）解析：无需用户交互即可触发POST请求。三、简答题（共5题，每题4分，共20分）11.简述SQL注入的三种常见类型（SQL盲注、联合查询、报错注入）。答案：1.SQL盲注：攻击者通过提交查询，观察数据库响应（如页面变化）来判断数据库结构。2.联合查询：利用`UNIONSELECT`技术拼接查询，读取数据库其他表数据。3.报错注入：通过注入恶意SQL代码，触发数据库错误，泄露数据库信息。12.解释什么是“最小权限原则”，并举例说明。答案：最小权限原则要求程序仅获取完成任务所需的最小权限。例如，文件读取工具不应同时拥有写入权限。13.如何防止跨站脚本攻击（XSS）？答案：-对用户输入进行HTML转义。-使用CSP（内容安全策略）限制脚本加载。-启用HTTP头`X-XSS-Protection`（旧版浏览器）。14.简述JWT（JSONWebToken）的三个核心组件及其作用。答案：1.Header：载荷类型（JWT）和签名算法。2.Payload：用户信息和自定义字段。3.Signature：使用密钥对Payload签名，验证完整性。15.解释什么是“双因素认证（2FA）”，并说明其优势。答案：2FA结合“你知道的”（密码）和“你拥有的”（如验证码）认证。优势是即使密码泄露，攻击者仍需第二因素。四、代码审计题（共2题，每题10分，共20分）16.审查以下Python代码，指出安全漏洞并提出修复建议。pythonfromflaskimportFlask,request,jsonifyapp=Flask(__name__)@app.route('/upload',methods=['POST'])defupload_file():file=request.files['file']file.save('/tmp/'+file.filename)returnjsonify({"status":"success"})答案：漏洞：1.路径遍历：文件保存路径直接使用`file.filename`，攻击者可上传`../etc/passwd`窃取文件。2.文件类型未校验：可上传任意文件（如WebShell）。修复建议：-限制文件上传类型（如`file.filename.endswith('.txt')`）。-使用绝对路径或安全库（如`os.path.join`）处理路径。17.审查以下Java代码，指出SQL注入风险并提出修复建议。javaStringusername=request.getParameter("user");Stringquery="SELECTFROMusersWHEREusername='"+username+"'";ResultSetrs=stmt.executeQuery(query);答案：漏洞：用户输入未校验，可注入`admin'--`等恶意SQL。修复建议：-使用预编译语句（`PreparedStatement`）。-示例：javaStringquery="SELECTFROMusersWHEREusername=?";PreparedStatementstmt=conn.prepareStatement(query);stmt.setString(1,username);ResultSetrs=stmt.executeQuery();五、综合应用题（共1题，10分）18.设计一个RESTAPI的认证流程，要求：1.支持2FA（短信验证码或邮箱验证）。2.限制失败登录次数（如3次锁定IP）。3.使用HTTPS和JWT保护传输与存储。答案：流程：1.用户名密码登录：-验证密码，失败则增加IP失败计数。-若连续失败3次，锁定IP1小时。2.2FA验证：-发送短信/邮件验