2026年网站安全测试题及答案

2026年网站安全测试题及答案

一、单项选择题（每题2分，共20分）1.在OWASPTop102026版中，位列第一的风险是A.注入攻击 B.失效的访问控制 C.加密失败 D.不安全的设计2.以下哪项最能有效降低JSONP接口的劫持风险A.启用CORS B.校验Referer C.使用token绑定 D.关闭跨域响应3.关于ContentSecurityPolicy（CSP）3.0的strict-dynamic指令，正确的是A.允许内联脚本自动执行 B.只允许根域脚本加载 C.信任由根脚本动态加载的子脚本 D.禁止所有外链脚本4.在TLS1.3握手过程中，用于实现0-RTT重放防护的核心机制是A.PSKbinder B.ServerHello.random C.HelloRetryRequest D.EncryptedExtensions5.当发现某Web站点返回的JWT头部alg字段为none时，最合理的处置顺序是A.立即吊销所有会话→强制用户重登→升级库→轮换密钥B.先通知用户→再关闭登录入口→最后修复代码C.直接禁用alg=none→重新签发令牌→无需轮换密钥D.记录日志→等待下次版本再统一修复6.针对GraphQL接口的DoS，最有效的深度查询防御手段是A.限制HTTP请求体大小 B.启用查询复杂度分析 C.增加WAF规则 D.使用验证码7.在Kubernetes集群中，可最直接阻断容器逃逸到宿主机的安全机制是A.PodSecurityPolicy B.Seccomp C.AppArmor D.只读RootFS8.以下哪项不是自动化爬虫识别隐藏后台登录口的常用策略A.字典拼接 B.响应码差异分析 C.机器学习视觉识别 D.利用robots.txt9.当使用SameSite=None设置Cookie时，必须同时满足A.Secure属性 B.HttpOnly属性 C.Path=/ D.Max-Age>360010.在DevSecOps流水线中，对第三方库进行SCA扫描时，优先关注的字段是A.CVSS4.0基础分 B.EPSS百分位 C.CWE编号 D.发布日期二、填空题（每题2分，共20分）11.2026年主流浏览器已将__________作为强制功能，用于阻断所有非HTTPS的混合内容。12.在零信任架构中，身份、设备、网络、__________、数据五维动态评估统称为“五维信任面”。13.用于防止BREACH攻击对TLS压缩数据解密的响应长度隐藏技术称为__________。14.当使用OAuth2.1授权码流程时，授权码有效期建议不超过__________秒。15.针对服务器端请求伪造（SSRF），在云原生场景下，通过__________网络策略可阻断实例元数据地址访问。16.在WebAssembly2.0中，引入的__________指令集可限制模块对宿主内存的越界读写。17.2026年国密算法在HTTPS站点中的优先套件编号为__________。18.用于衡量漏洞被利用概率的EPSS模型，其输出值范围在__________之间。19.在SDL实践里，威胁建模STRIDE中“否认”对应的缓解属性是__________。20.当发现npm包存在木马时，通过__________命令可一键回滚到上次可信版本。三、判断题（每题2分，共20分）21.在HTTP/3中，QUIC层已内建重放攻击防护，因此应用层无需再实施nonce校验。22.使用302跳转将HTTP强制到HTTPS会完全消除中间人降级风险。23.对于仅提供静态页面的站点，部署CSP可降低点击劫持风险。24.在Linux内核5.18以上，启用eBPFLSM后，无需再开启SELinux。25.当JWT使用RS256算法时，将公钥作为验证密钥公开不会导致伪造风险。26.在GraphQL中，introspection查询默认关闭可有效阻断所有信息泄露。27.使用ChaCha20-Poly1305比AES-GCM在移动端更省电且抗侧信道能力更强。28.在CI/CD中，将密钥硬编码于容器镜像层会比写入环境变量更易被扫描器发现。29.2026年1月1日起，欧盟eIDAS2.0要求所有公共网站支持QWAC证书透明日志。30.对于内网微服务，双向mTLS证书短周期自动轮换可减少证书泄漏后的窗口期。四、简答题（每题5分，共20分）31.简述在微服务架构下，如何利用服务网格（ServiceMesh）实现东西向流量的细粒度访问控制，并列举两项关键配置。32.说明在前后端分离项目中，采用“双重Cookie提交”模式防御CSRF的原理及潜在缺陷。33.概述自动化爬虫对抗技术中的“行为指纹”生成流程，并指出其与传统UA黑名单的差异。34.描述一次完整的内存马（MemoryWebShell）排查过程，要求涵盖检测、定位、清除三阶段。五、讨论题（每题5分，共20分）35.结合2026年AI生成代码普及的背景，讨论传统SAST工具面临的新挑战与应对策略。36.零信任架构下，VPN被逐步淘汰，请分析其给远程办公带来的安全增益与可能引入的新风险。37.量子计算威胁日益临近，请评估网站当前HTTPS配置迁移至“混合后量子套件”的成本、兼容性与时间窗口。38.面对日益严格的隐私立法，请探讨网站在收集用户行为数据时，如何平衡业务埋点需求与最小化原则。答案与解析单项选择：1B2C3C4A5A6B7C8C9A10B填空：11.混合内容自动升级 12.应用 13.长度隐藏（LengthHiding） 14.30 15.egress 16.边界检查（bounds） 17.GMTLS_SM4_GCM_SM3 18.0-1 19.不可否认性 20.npmrollback判断：21×22×23√24×25√26×27√28√29√30√简答31：通过Istio等网格下发AuthorizationPolicy，基于Label匹配源服务与目标服务，强制mTLS并限权；关键配置：1.selector.matchLabels匹配工作负载；2.rules.from.source.principals限定身份。简答32：利用JS无法跨域读取但可携带本域Cookie的特性，要求请求头额外带X-CSRF-Token，该值由服务端种入Cookie；缺陷：若存在XSS即可读取Cookie并同步伪造Token，且子域共享Cookie时削弱隔离。简答33：采集鼠标轨迹、键盘时序、滚动速度、设备指纹等多维特征，经聚类生成唯一行为ID；与传统UA黑名单相比，可识别脚本驱动的“低交互”爬虫，误封率下降60%以上。简答34：检测：利用JavaAgent遍历JVM已加载类，比对可疑Filter/Controller字节码；定位：通过Instrumentation获取内存类源码，确认无落地文件；清除：调用Instrumentation.redefineClasses回退原始类，重启应用或卸载Agent。讨论35：AI生成代码片段量大且上下文缺失，导致传统规则引擎误报暴增；需引入语义切片与深度学习模型，结合开发者意图注释，建立“可解释”漏洞模式库，同时把AI输出直接接入流水线做实时反馈。讨论36：VPN淘汰后，基于身份与设备的动态准入可缩小暴露面，但将策略引擎集中到云端带来单点故障风险，且弱网环境下持续认证可能影响体验，需要边缘侧缓存策略与离线令牌。讨论37：混合后量子套件增加握手数据约30%，需评估CDN、旧版手机、IoT设备兼容