2026年自考电子商务安全专项试题及答案

2026年自考电子商务安全专项试题及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项的字母填在括号内）1.在电子商务交易中，SSL协议主要工作在OSI七层模型的哪一层？A.网络层  B.传输层  C.会话层  D.应用层（  ）2.下列哪一项最能有效抵御重放攻击？A.数字签名  B.时间戳+随机数  C.对称加密  D.哈希校验（  ）3.某电商平台采用RSA-2048实现订单数据的加密传输，若平台私钥泄露，最合理的应急措施是：A.立即更换服务器IP  B.吊销原证书并重新签发  C.升级至RSA-4096  D.启用二次验证码（  ）4.在SET协议中，双重签名技术主要解决：A.商户无法看到持卡人账户信息  B.持卡人无法否认交易  C.银行无法验证商户身份  D.网关无法解密订单（  ）5.下列关于电商数据库脱敏的描述，错误的是：A.动态脱敏适用于生产环境  B.静态脱敏后的数据可用于测试  C.掩码规则必须可逆  D.脱敏需保留数据关联性（  ）6.若攻击者通过伪造相似域名实施钓鱼，该攻击属于：A.DNS劫持  B.同源策略绕过  C.域名仿冒  D.CSRF（  ）7.在PCI-DSSv4.0中，对于存储持卡人敏感数据的环境，强制要求：A.每季度漏洞扫描  B.每年渗透测试  C.双因素认证  D.全盘AES-256加密（  ）8.下列哪项不是电商API网关的常见安全策略？A.流量限速  B.JWT令牌校验  C.开放所有接口便于调试  D.IP白名单（  ）9.使用HMAC-SHA256进行消息认证时，密钥长度应：A.等于摘要长度  B.小于摘要长度  C.大于摘要长度  D.与摘要长度无关（  ）10.在电商秒杀场景中，为防止“超卖”漏洞，最安全的库存扣减方案是：A.先扣库存后支付  B.先支付后扣库存  C.利用分布式锁原子扣减  D.消息队列异步扣减（  ）11.电商网站启用HSTS后，客户端首次访问仍可能遭受：A.SSL剥离  B.中间人攻击  C.会话固定  D.点击劫持（  ）12.下列关于同态加密的描述，正确的是：A.可无限次数进行密文乘法  B.目前可高效支持浮点运算  C.可在加密态完成订单金额求和  D.已大规模用于电商实时推荐（  ）13.在OAuth2.0授权码模式下，若授权服务器未验证client_secret，可能导致：A.授权码泄露  B.访问令牌被恶意换取  C.用户密码泄露  D.刷新令牌失效（  ）14.电商App采用证书pinning技术，主要目的是：A.防止用户卸载  B.防止中间人伪造证书  C.减少证书链验证耗时  D.兼容旧版安卓（  ）15.下列哪项最能降低羊毛党风险？A.提高短信验证码费用  B.设备指纹+行为建模  C.限制注册邮箱域名  D.增加图形验证码复杂度（  ）16.在区块链电商溯源中，若写入链上的商品哈希被篡改，将导致：A.链分叉  B.溯源信息失效  C.智能合约崩溃  D.共识算法重启（  ）17.电商系统使用WAF防护，其规则集“SQLi-Union”主要拦截的是：A.布尔盲注  B.联合查询注入  C.时间盲注  D.二次注入（  ）18.下列关于零信任架构的描述，错误的是：A.默认不信任任何网络位置  B.需持续评估身份与设备状态  C.可完全替代VPN  D.无需任何加密传输（  ）19.在电商日志审计中，若发现大量HTTP422状态码，最可能遭受：A.参数篡改  B.DDoS  C.目录遍历  D.会话劫持（  ）20.电商后台使用SpringSecurity，若未启用CSRF防护，攻击者可：A.伪造用户发起转账  B.直接获取数据库密码  C.绕过登录  D.上传WebShell（  ）二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，请将所有正确选项的字母填在括号内，漏选、错选均不得分）21.以下哪些属于电商支付环节常见的“四要素”认证？A.姓名  B.身份证号  C.银行卡号  D.银行预留手机号  E.短信验证码（  ）22.关于电商HTTPS最佳实践，正确的有：A.启用TLS1.3  B.关闭TLS压缩  C.使用CBC模式密码套件  D.部署OCSPStapling  E.证书签名算法采用SHA-1（  ）23.电商微服务架构中，服务间通信可采用的安全机制包括：A.mTLS  B.JWT+JWE  C.网络层IPSec  D.裸HTTP+Base64  E.gRPC+ALTS（  ）24.以下哪些行为可能导致电商云平台VM被植入挖矿木马？A.开放SSH22端口且使用弱口令  B.未及时修复WebLogic反序列化漏洞  C.将AccessKey硬编码在前端JS  D.关闭云监控Agent  E.启用虚拟化加密内存（  ）25.电商App反编译防护可采取：A.代码混淆  B.DEX加固  C.So文件动态加载  D.根检测  E.日志本地明文存储（  ）26.关于电商隐私计算平台，正确的有：A.可用联邦学习联合建模  B.可用安全多方求交  C.可用差分隐私保护用户标签  D.可用明文汇聚原始订单  E.可用TEE执行敏感算法（  ）27.电商业务风控引擎常用的数据维度包括：A.设备指纹  B.收货地址聚合  C.用户浏览时长  D.商品库存量  E.夜间登录占比（  ）28.以下哪些漏洞可导致电商平台用户订单被越权查看？A.垂直越权  B.水平越权  C.未授权访问  D.JSONP劫持  E.CORS通配A.垂直越权  B.水平越权  C.未授权访问  D.JSONP劫持  E.CORS通配（  ）29.电商直播带货场景下，防止“录播冒充直播”可采用：A.云端实时水印  B.区块链时间戳  C.边缘节点截图比对  D.增加弹幕点赞数  E.延迟5分钟播出（  ）30.电商网站使用CDN后，仍可能遭受的攻击包括：A.源站IP暴露被直接DDoS  B.缓存投毒  C.域名劫持  D.HTTPS密钥泄露  E.边缘节点SQL注入（  ）三、判断题（每题1分，共10分。正确打“√”，错误打“×”）31.电商系统采用AES-128-CBC加密，IV固定为16个0x00，仍能保证语义安全。  （  ）32.在OAuth2隐式授权模式下，访问令牌通过URLFragment传递，易被日志记录泄露。  （  ）33.电商数据库字段级加密可防止DBA明文查看用户手机号。  （  ）34.电商小程序调用wx.request时，如url使用http://localhost，可被微信审核通过。  （  ）35.同态加密可直接对密文进行排序而不泄露明文顺序。  （  ）36.电商邮件营销中，若未启用SPF、DKIM，攻击者可伪造发件人域名。  （  ）37.电商Kubernetes集群启用RBAC后，默认ServiceAccount拥有集群管理员权限。  （  ）38.电商App使用FaceID登录，若仅本地校验，存在绕过风险。  （  ）39.电商秒杀采用令牌桶限速，可完全杜绝黄牛脚本。  （  ）40.电商日志中记录用户明文密码便于客服核实身份。  （  ）四、填空题（每空2分，共20分）41.在电商HTTPS握手阶段，服务器发送的Certificate消息中，默认携带的证书链顺序是：________、中间CA、根CA。42.若电商平台采用SAML2.0单点登录，身份断言由________方签发。43.电商系统使用SHA-256+Salt存储密码，Salt长度建议不低于________位。44.电商Docker镜像漏洞扫描工具Clair基于________数据库进行CVE匹配。45.电商iOSApp若启用________，可在越狱设备上直接闪退。46.电商直播推流采用RTMPS，即在RTMP基础上增加________传输。47.电商推荐系统使用差分隐私，隐私预算ε越小，加入的噪声________。48.电商域名配置________记录，可防止子域名劫持。49.电商系统使用Kafka，若未启用________，可遭消息中间人篡改。50.电商跨境支付需遵守欧盟________条例，方可处理欧盟用户数据。五、简答题（每题10分，共30分）51.简述电商平台如何基于“零信任”原则设计远程办公接入方案，需涵盖身份、设备、网络、数据四个维度。52.某电商App发现疑似“刷券”团伙，短时间内大量注册新用户并领取新人券，请给出完整的风控识别与处置流程，要求包含数据埋点、特征工程、模型策略、人工审核、处置动作。53.说明电商直播带货中，如何利用区块链+物联网技术实现“源头防伪+物流防篡改”，并给出系统架构图关键模块（文字描述即可）。六、综合应用题（共50分）54.某垂直电商计划上线“先享后付”业务，用户0元下单，7天后自动代扣。技术团队需确保代扣接口安全，要求：（1）代扣请求需具备不可否认性；（2）代扣金额不可被篡改；（3）代扣接口需防重放；（4）用户可撤销授权，但撤销前已发起代扣仍有效。请完成：①设计接口请求报文关键字段（含签名算法、签名位置、时间戳、Nonce等），给出JSON示例。（10分）②给出服务端验签与防重放完整流程图（文字描述节点与判断）。（10分）③若采用数字信封技术保护代扣请求，给出加解密过程，要求使用LaTeX公式表示对称密钥封装步骤。（10分）④设计用户授权撤销机制，说明如何确保“撤销前已发起代扣仍有效”，需引入状态机，给出状态转换表。（10分）⑤评估该业务可能面临的合规风险，并提出对应整改措施。（10分）——答案与解析——一、单项选择题1.B 2.B 3.B 4.A 5.C 6.C 7.B 8.C 9.A 10.C 11.A 12.C 13.B 14.B 15.B 16.B 17.B 18.D 19.A 20.A解析示例：第10题，秒杀超卖本质是并发读写不一致，分布式锁可保证原子性，故选C。第18题，零信任仍需加密传输，D错误。二、多项选择题21.ABCD 22.ABD 23.ABCE 24.ABCD 25.ABCD 26.ABCE 27.ABCE 28.ABCE 29.ABC 30.ABCD解析示例：第22题，TLS1.3、关闭压缩、OCSPStapling均为最佳实践；CBC模式已不安全；SHA-1已废弃。第29题，延迟播出无法区分录播，故不选E。三、判断题31.× IV固定导致CBC重放攻击。32.√ Fragment不进入HTTP日志，但代理日志可记录。33.√ 字段级加密使DBA仅见密文。34.× 微信强制HTTPS，localhost非合法。35.× 全同态排序仍属研究难题。36.√ 无SPF/DKIM易伪造。37.× 默认ServiceAccount权限受限。38.√ 本地校验可Hook绕过。39.× 令牌桶仅限速，无法识别真人。40.× 记录明文密码严重违规。四、填空题41.服务器实体证书42.IdP（身份提供者）43.12844.NVD45.JailbreakDetection46.TLS47.越大48.CAA49.SSL/SASL50.GDPR五、简答题（答案要点）51.身份：统一IdP+多因素+持续信任评估；设备：MDM+健康度打分；网络：微分段+SDP隧道；数据：分类分级+动态加密+DLP。52.埋点：注册来源、IP、设备指纹、通讯录、陀螺仪；特征：聚集度、相似度、社交图谱；模型：孤立森林+规则引擎；审核：高危人工复核；处置：券冻结、账号标黑、下单拦截。53.架构：源头IoT传感器→边缘网关哈希→区块链存证→物流RFID/温度/震动上链→消费者扫码验证；关键：智能合约校验哈希、时间戳、GPS，异常则告警。六、综合应用题参考答案①请求示例```jsonPOST/autoDebit{"userId":"12345","orderId":"ORD2026","amount":999,"currency":"CNY","timestamp":1710000000,"nonce":"wxyz123","revokeKey":"rk_abc","sign":"RSA-SHA256(base64)"}```签名串：按字典序拼接字段+私钥签名。②验签流程接收→验timestamp±60s→查n