2026年web安全 测试题及答案

2026年web安全测试题及答案

一、单项选择题（每题2分，共10题）1.以下哪项攻击利用了Web应用程序对用户输入未充分过滤的漏洞？A.DDoS攻击B.SQL注入C.ARP欺骗D.端口扫描2.CSP（内容安全策略）的主要作用是：A.加速网页加载B.防止XSS攻击C.加密数据传输D.管理Cookie3.同源策略（Same-OriginPolicy）限制的是：A.不同域名间的JavaScript资源交互B.服务器带宽C.数据库查询频率D.HTTPS证书有效性4.以下哪种认证方式最易受会话劫持攻击？A.多因素认证B.OAuth2.0C.基于Cookie的会话管理D.生物识别认证5.HTTP响应头`X-Frame-Options`用于防御：A.CSRF攻击B.点击劫持（Clickjacking）C.目录遍历D.文件上传漏洞6.在HTTPS协议中，TLS握手阶段的核心目标是：A.压缩传输数据B.协商加密密钥C.验证客户端身份D.缓存静态资源7.WebSocket协议的安全风险主要体现在：A.降低服务器性能B.缺乏加密机制C.绕过同源策略D.增加带宽消耗8.OWASPTop10中"BrokenAccessControl"的典型表现是：A.用户可越权访问他人数据B.密码明文存储C.未验证重定向D.SQL语句拼接9.使用`Secure`和`HttpOnly`属性设置Cookie的目的是：A.防止XSS窃取CookieB.提升Cookie传输速度C.允许跨域共享CookieD.自动更新Cookie有效期10.针对API接口的常见攻击是：A.暴力破解图形验证码B.不安全的直接对象引用（IDOR）C.邮件伪造D.物理渗透测试---二、填空题（每题2分，共10题）1.用于防御CSRF攻击的令牌机制称为__________。2.在Web安全中，"SSRF"的全称是__________。3.浏览器中存储敏感数据（如令牌）的更安全替代方案是__________。4.当Web服务器返回包含敏感信息的错误详情时，可能导致__________漏洞。5.HSTS响应头的功能是强制客户端使用__________连接。6.对用户密码进行哈希存储时，必须使用__________函数（如bcrypt）。7.Web应用防火墙（WAF）的核心防御层位于OSI模型的__________层。8.通过修改URL参数实现未授权访问的攻击属于__________漏洞。9.CSP指令`default-src'self'`的含义是__________。10.用于检测XSS漏洞的经典测试输入是__________。---三、判断题（每题2分，共10题）1.HTTPS协议可完全防止中间人攻击。（）2.验证码（CAPTCHA）能彻底防御暴力破解攻击。（）3.同源策略允许跨域发送带认证信息的AJAX请求。（）4.JWT（JSONWebToken）默认具备加密功能。（）5.文件上传漏洞可通过检查文件扩展名彻底避免。（）6.DNS劫持属于应用层攻击。（）7.使用预编译语句（PreparedStatement）可根治SQL注入。（）8.XXE（XML外部实体注入）仅影响XML解析器。（）9.CORS（跨域资源共享）机制会放宽同源策略限制。（）10.禁用JavaScript可完全避免所有XSS攻击。（）---四、简答题（每题5分，共4题）1.简述XSS攻击的分类及各自特点。2.说明CSRF攻击原理，并列举两种防御策略。3.解释"同源策略"的限制范围及其安全意义。4.为何推荐使用bcrypt而非MD5存储密码？---五、讨论题（每题5分，共4题）1.云原生环境下，Web安全面临哪些新型挑战？如何应对？2.人工智能在自动化Web攻击中的应用可能带来哪些威胁？3.零信任架构（ZeroTrust）如何重构Web应用的安全边界？4.量子计算发展对现有Web加密体系（如TLS）的潜在冲击及应对策略。---答案与解析一、单项选择题1.B2.B3.A4.C5.B6.B7.C8.A9.A10.B二、填空题1.CSRFToken2.ServerSideRequestForgery3.WebStorageAPI/SessionStorage4.信息泄露5.HTTPS6.自适应哈希7.应用层（第7层）8.越权访问9.仅允许加载同源资源10.`<script>alert(1)</script>`三、判断题1.×（证书校验失败时仍可能被攻击）2.×（高级OCR或AI可破解）3.×（需CORS显式允许）4.×（默认仅签名，需额外配置加密）5.×（需检查内容类型及重命名文件）6.×（属于网络层）7.√8.×（可影响后端系统）9.√10.×（存储型XSS仍有效）四、简答题1.XSS分类：-反射型：恶意脚本随请求注入响应中，需用户触发链接。-存储型：脚本持久化到数据库，页面加载时自动执行。-DOM型：前端JavaScript解析数据时动态执行恶意代码。2.CSRF防御：-原理：诱骗用户发起非意愿请求（如转账）。-策略：-CSRFToken：请求需携带服务端生成的随机令牌。-同源检测：验证`Origin`或`Referer`头部合法性。3.同源策略限制：-限制范围：不同源的DOM访问、Cookie读取、AJAX请求发送。-安全意义：隔离恶意网站，防止数据窃取与未授权操作。4.bcrypt优势：-内置盐值（Salt）防御彩虹表攻击。-自适应计算成本延缓暴力破解。-MD5等哈希算法易碰撞且无盐值保护。五、讨论题1.云原生安全挑战：-挑战：容器逃逸、微服务API暴露、动态IP导致日志溯源困难。-应对：服务网格（如Istio）实现零信任通信，镜像漏洞扫描，KubernetesRBAC精细化管控。2.AI威胁：-自动化漏洞挖掘：强化学习生成高效攻击载荷。-钓鱼攻击升级：AI生成逼真伪装网站/邮件。-防御方案：部署AI驱动的异常行为检测系统（如UEBA）。3.零信任架构：-核心原则："永不信任，始终验证"。-重构边界：-基于身份的访问控制替代IP白名单。-微隔离（Microsegmentation）限制横向移动。