2025年信息系统安全专家Web应用防火墙与访问控制专题试卷及解析.pdfVIP

2025年信息系统安全专家WEB应用防火墙与访问控制专题试卷及解析1

2025年信息系统安全专家Web应用防火墙与访问控制专

题试卷及解析

2025年信息系统安全专家Web应用防火墙与访问控制专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、Web应用防火墙（WAF）主要防护的是哪种类型的攻击？

A、网络层DDoS攻击

B、操作系统漏洞利用

C、应用层SQL注入

D、物理设备入侵

【答案】C

【解析】正确答案是C。WAF专注于应用层安全防护，SQL注入是典型的应用层

攻击。A选项属于网络层防护范畴，B选项属于主机安全范畴，D选项属于物理安全范

畴。知识点：WAF防护层级。易错点：混淆WAF与传统防火墙的防护范围。

2、以下哪种访问控制模型基于用户角色分配权限？

A、DAC

B、MAC

C、RBAC

D、ABAC

【答案】C

【解析】正确答案是C。RBAC（基于角色的访问控制）通过角色分配权限。A选

项DAC（自主访问控制）由资源所有者决定权限，B选项MAC（强制访问控制）由系

统标签决定，D选项ABAC（基于属性的访问控制）更复杂。知识点：访问控制模型分

类。易错点：混淆RBAC与ABAC的权限分配逻辑。

3、WAF的”正向安全模型”是指？

A、默认允许所有流量

B、仅允许已知合法流量

C、基于黑名单过滤

D、不检查加密流量

【答案】B

【解析】正确答案是B。正向安全模型采用白名单机制，仅允许已知合法流量。A选

项是负向模型，C选项是黑名单机制，D选项与安全模型无关。知识点：WAF安全模

型原理。易错点：混淆正向/负向模型的判断逻辑。

4、在OAuth2.0中，用于获取访问令牌的端点是？

A、/authorize

2025年信息系统安全专家WEB应用防火墙与访问控制专题试卷及解析2

B、/token

C、/userinfo

D、/revoke

【答案】B

【解析】正确答案是B。/token端点专门用于交换访问令牌。A选项用于授权请求，

C选项用于获取用户信息，D选项用于撤销令牌。知识点：OAuth2.0协议流程。易错

点：混淆授权端点与令牌端点的功能。

5、以下哪项不是WAF的典型部署模式？

A、透明代理

B、反向代理

C、路由模式

D、桥接模式

【答案】D

【解析】正确答案是D。桥接模式是网络设备部署方式，WAF通常采用A、B、C

三种模式。知识点：WAF部署架构。易错点：将网络设备部署模式与WAF部署模式

混淆。

6、CAPTCHA验证码主要用于防护哪种攻击？

A、XSS

B、CSRF

C、暴力破解

D、文件包含

【答案】C

【解析】正确答案是C。CAPTCHA通过人机验证防护自动化攻击如暴力破解。A、

B、D选项需要其他防护手段。知识点：应用层攻击防护技术。易错点：混淆不同攻击

的防护手段。

7、在API安全中，速率限制（RateLimiting）的主要目的是？

A、加密数据传输

B、防止API滥用

C、验证用户身份

D、过滤恶意输入

【答案】B

【解析】正确答案是B。速率限制通过控制请求频率防止API滥用。A选项是SSL

功能，C选项是认证功能，D选项是输入验证功能。知识点：API安全防护机制。易错

点：混淆不同安全机制的功能定位。

8、以下哪种协议最适合WAF进行深度包检测？

2025年信息系统安全专家WEB应用防火墙与访问控制专题试卷及解析3

A、HTTP/HTTPS

B、SSH

C、FTP

D、SMTP

【答案】A

【解析】