网络安全代码审计工程师岗位招聘考试试卷及答案

网络安全代码审计工程师岗位招聘考试试卷及答案一、填空题（每题1分，共10分）1.SQL注入漏洞的本质是______与用户输入的拼接未做有效过滤。2.代码审计常用静态分析工具包括______（举1个即可）。3.OWASPTop102021排名第一的漏洞是______。4.XSS漏洞分为存储型、反射型和______三种。5.易引发命令注入的危险函数（举1个）：______。6.密码哈希存储推荐算法（加盐）：______（举1个）。7.CSRF通常通过______标签触发。8.动态分析需结合______模拟用户输入。9.输入验证遵循______原则（拒绝不明确输入）。10.缓冲区溢出本质是向固定缓冲区写入______数据。二、单项选择题（每题2分，共20分）1.以下不属于注入类漏洞的是？A.SQL注入B.命令注入C.路径遍历D.LDAP注入2.静态代码分析（SAST）的特点是？A.无需运行代码B.必须运行代码C.仅分析编译后代码D.仅检测运行时漏洞3.PHP中易引发文件包含漏洞的函数是？A.includeB.echoC.strlenD.md54.OWASPTop10中“不安全的设计”排名第几位？A.1B.2C.3D.45.检测身份认证漏洞无需关注的是？A.密码复杂度B.会话超时C.日志记录D.前端验证6.用于动态应用安全测试（DAST）的工具是？A.BurpSuiteB.SonarQubeC.FortifyD.Checkmarx7.路径遍历漏洞核心利用的是？A.../B./C.%00D.&8.存储型XSS与反射型XSS的主要区别是？A.是否存储在服务器B.是否需要用户点击C.是否在DOM执行D.是否影响多用户9.代码审计重点关注的是？A.变量命名B.代码注释C.硬编码凭证D.代码行数10.防止CSRF的常用方法是？A.输入过滤B.输出编码C.加入CSRFTokenD.限制请求频率三、多项选择题（每题2分，共20分）1.代码审计需关注的危险函数包括？A.system()B.exec()C.file_get_contents()D.eval()2.OWASPTop102021包含的漏洞类型有？A.注入B.不安全的设计C.敏感数据泄露D.CSRF3.静态分析工具的优势是？A.早期发现漏洞B.自动化高C.覆盖所有代码路径D.无需用户交互4.防止SQL注入的有效方法？A.预编译语句B.输入白名单C.转义特殊字符D.禁用SQL注释5.检测文件上传漏洞需关注？A.文件名验证B.文件内容验证C.文件大小限制D.存储路径6.属于身份认证漏洞的是？A.弱密码B.会话固定C.密码明文存储D.未授权访问7.动态分析常用方法包括？A.Payload注入B.黑盒测试C.白盒测试D.模糊测试8.防止XSS的方法包括？A.输出编码B.CSP策略C.输入过滤D.禁用JavaScript9.需关注的硬编码问题包括？A.硬编码密码B.硬编码API密钥C.硬编码IPD.硬编码端口10.属于命令注入场景的是？A.拼接输入到system()B.用escapeshellarg处理输入C.拼接输入到exec()D.拼接输入到passthru()四、判断题（每题2分，共20分）1.静态分析可检测所有运行时漏洞。（×）2.反射型XSS需存储恶意脚本在服务器。（×）3.预编译语句可完全防止SQL注入。（√）4.CSRF不需要获取用户Cookie。（×）5.硬编码凭证属于高风险问题。（√）6.路径遍历仅能通过../绕过。（×）7.存储型XSS影响所有访问页面的用户。（√）8.动态分析不需要了解代码逻辑。（×）9.输出编码可防止所有XSS。（×）10.应避免使用eval函数。（√）五、简答题（每题5分，共20分）1.简述SAST与DAST的区别。答案：SAST（静态分析）在代码未运行时扫描源代码/字节码，优点是早期发现漏洞、自动化高，缺点是误报率高、无法检测运行时漏洞；DAST（动态分析）在代码运行时注入Payload模拟攻击，优点是检测真实运行时漏洞、误报率低，缺点是需部署环境、无法覆盖所有代码路径。两者互补，需结合使用。2.如何防止SQL注入？答案：①用预编译语句（如JDBCPreparedStatement）分离SQL结构与参数；②输入白名单验证（仅允许合法字符）；③转义特殊字符（补充手段）；④数据库最小权限；⑤避免动态SQL，若用则严格验证输入；⑥定期扫描危险SQL拼接。3.检测文件上传漏洞的关键点？答案：①文件名：白名单限制后缀，过滤特殊字符；②文件内容：检查魔数（如JPG的FFD8FF）；③存储路径：随机路径/文件名，避免路径遍历；④权限：上传文件最小权限，无执行权限；⑤大小限制：防止DoS；⑥过滤可执行文件（注意绕过后缀如.php3）。4.什么是CSRF？如何防御？答案：CSRF是攻击者利用用户已登录会话，诱导执行非本意操作（如转账）。防御：①加入CSRFToken（表单/请求头验证）；②Referer验证合法域名；③SameSiteCookie（限制跨站携带）；④敏感操作加验证码；⑤优先用POST而非GET。六、讨论题（每题5分，共10分）1.如何平衡代码审计的准确性与效率？答案：①工具选择：用成熟工具（如Fortify），配置合理规则减少误报；②人工聚焦：优先审计高风险区域（输入处理、数据库操作）；③规则定制：根据项目语言/框架优化规则；④分阶段审计：需求/编码/上线前分阶段，避免全代码逐行扫；⑤漏洞分级：先处理高危漏洞，低危后续修复；⑥自动化+人工：工具发现疑似漏洞后人工验证，提升效率与准确性。2.代码审计在DevSecOps中的作用及实施要点？答案：作用