应用安全工程师考试试卷及答案

应用安全工程师考试试卷及答案一、填空题（共10题，每题1分）1.OWASPTop102021中，注入漏洞属于第______类。2.非对称加密算法RSA建议的最小密钥长度是______位。3.跨站脚本攻击的英文缩写是______。4.缓冲区溢出属于______安全漏洞。5.动态应用安全测试的英文缩写是______。6.多因素认证的英文缩写是______。7.MySQL中常用的SQL注释符是______（写一个即可）。8.HTTPS基于______协议加密传输。9.路径遍历漏洞会导致攻击者访问______以外的文件。10.数据脱敏的核心目的是保护______数据。答案：1.1；2.2048；3.XSS；4.内存；5.DAST；6.MFA；7.（或--）；8.TLS；9.应用目录；10.敏感二、单项选择题（共10题，每题2分）1.以下不属于OWASPTop102021类别的是？A.注入B.不安全的设计C.缓冲区溢出D.暴露敏感数据2.以下哪种是对称加密算法？A.RSAB.AESC.ECCD.SHA-2563.跨站请求伪造的英文缩写是？A.XSSB.CSRFC.SQLiD.DDoS4.静态应用安全测试（SAST）的特点是？A.分析运行中的代码B.依赖运行环境C.不执行代码D.仅测试API5.防止会话劫持的有效方法不包括？A.HTTPS加密B.会话ID定期更换C.绑定IPD.公开会话ID6.以下属于权限提升的是？A.普通用户获取管理员权限B.登录成功获取用户权限C.访问公开页面D.读取自身数据7.内容安全策略（CSP）的作用是？A.防止SQL注入B.防止XSSC.防止CSRFD.防止DDoS8.以下哪种测试属于交互式应用安全测试？A.SASTB.DASTC.IASTD.PT9.路径遍历漏洞的典型payload是？A.../B.'OR1=1--C.<script>alert(1)</script>D.admin=110.数据加密存储中，密码应使用______处理？A.明文存储B.简单哈希C.加盐哈希D.对称加密答案：1.C；2.B；3.B；4.C；5.D；6.A；7.B；8.C；9.A；10.C三、多项选择题（共10题，每题2分，多选/少选/错选不得分）1.OWASPTop102021中的常见漏洞包括？A.注入B.不安全的设计C.缓冲区溢出D.暴露敏感数据2.身份认证的常见因素有？A.知识因素（密码）B.拥有因素（令牌）C.生物因素（指纹）D.环境因素（天气）3.防止SQL注入的方法包括？A.参数化查询B.输入验证C.拼接SQL语句D.存储过程（安全实现）4.静态应用安全测试（SAST）的优势是？A.早期发现漏洞B.覆盖所有代码路径C.误报率低D.无需运行环境5.敏感数据包括？A.身份证号B.银行卡号C.公开网址D.密码6.XSS攻击的类型有？A.存储型B.反射型C.DOM型D.传输型7.防止CSRF的措施包括？A.令牌验证B.Referer检查C.SameSiteCookieD.公开会话ID8.应用安全测试方法包括？A.SASTB.DASTC.IASTD.渗透测试9.权限控制原则包括？A.最小权限B.职责分离C.权限最大化D.按需授权10.数据保护措施包括？A.加密B.脱敏C.访问控制D.审计答案：1.ABD；2.ABC；3.ABD；4.AD；5.ABD；6.ABC；7.ABC；8.ABCD；9.ABD；10.ABCD四、判断题（共10题，每题2分，对√错×）1.缓冲区溢出属于内存安全漏洞。（）2.RSA是对称加密算法。（）3.XSS攻击只能通过存储型实现。（）4.SAST需要运行应用程序。（）5.MFA能降低身份盗用风险。（）6.SQL注入仅能攻击MySQL数据库。（）7.CSP能有效防止XSS攻击。（）8.路径遍历漏洞不会泄露服务器文件。（）9.OWASPTop10每年更新一次。（）10.数据脱敏是替换敏感数据为无意义数据。（）答案：1.√；2.×；3.×；4.×；5.√；6.×；7.√；8.×；9.×；10.√五、简答题（共4题，每题5分）1.简述参数化查询防止SQL注入的原理。答案：参数化查询将SQL语句与用户输入分离，用占位符（如?、@param）替代输入。数据库执行时，将用户输入视为纯数据而非可执行代码，避免攻击者通过输入特殊字符（如'OR1=1--）构造恶意SQL。例如，原拼接语句易被注入，参数化后输入会被自动转义，无法篡改查询逻辑，从根源阻断SQL注入。2.简述MFA的作用及常见类型。答案：MFA要求用户提供两种及以上认证因素，提升身份验证安全性。常见类型：①知识因素（密码、PIN）；②拥有因素（手机令牌、U盾）；③生物因素（指纹、面部识别）。例如，登录需密码+手机验证码，即使密码泄露，攻击者无验证码也无法登录，有效降低账户被盗风险。3.简述CSP的核心配置原则。答案：CSP通过限制资源来源防止XSS，核心原则：①最小权限：仅允许必要来源（如本域名、可信CDN）；②禁用不安全选项：避免unsafe-inline（内联脚本）和unsafe-eval（动态代码）；③测试优先：先启用report-only模式收集违规报告，再切换enforce模式；④明确资源类型：指定script-src、style-src等，增强控制granularity。4.简述SAST与DAST的区别。答案：①测试时机：SAST在开发阶段（代码未运行），DAST在应用运行时；②测试对象：SAST分析源代码/二进制，DAST模拟用户请求；③误报率：SAST误报高（不了解运行环境），DAST误报低（实际验证）；④适用场景：SAST适合早期发现设计缺陷，DAST适合发现运行时漏洞（如SQL注入、XSS）。六、讨论题（共2题，每题5分）1.讨论敏捷开发中如何整合应用安全测试。答案：敏捷需将安全嵌入迭代流程：①需求阶段：明确安全需求（如数据保护）；②开发阶段：集成SAST工具（如SonarQube）到CI/CD，每次提交自动扫描；③测试阶段：结合DAST/IAST，迭代中发现运行时漏洞；④上线前：渗透测试+安全审计；⑤持续反馈：将缺陷纳入迭代修复，避免遗留风险。通过自动化减少人工干预，平衡速度与安全，确保每个迭代包含安全验证。2.讨论应用中敏感数据（如密码）的存储安全措施。答案：敏感数据存储需遵循“加密不存明文”：①密码：用加盐哈希（bcrypt/Ar