2025年信息系统安全专家应用安全测试策略与类型专题试卷及解析.pdfVIP

2025年信息系统安全专家应用安全测试策略与类型专题试卷及解析1

2025年信息系统安全专家应用安全测试策略与类型专题试

卷及解析

2025年信息系统安全专家应用安全测试策略与类型专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在应用安全测试中，哪种测试方法主要模拟黑客的攻击手法，对系统进行非授

权访问尝试？

A、静态应用安全测试（SAST）

B、动态应用安全测试（DAST）

C、交互式应用安全测试（IAST）

D、软件成分分析（SCA）

【答案】B

【解析】正确答案是B。动态应用安全测试（DAST）在应用运行时进行测试，模拟

外部攻击者的行为，检测运行时漏洞。A选项SAST是静态代码分析，不运行程序；C

选项IAST结合了SAST和DAST的特点，但更侧重于内部监控；D选项SCA用于检

测开源组件漏洞。知识点：应用安全测试类型。易错点：混淆DAST和IAST的测试视

角。

2、以下哪种漏洞最容易被静态应用安全测试（SAST）发现？

A、运行时内存泄漏

B、SQL注入

C、硬编码密码

D、会话劫持

【答案】C

【解析】正确答案是C。SAST通过分析源代码或字节码，能直接发现硬编码密码

等静态配置问题。A选项内存泄漏需要运行时检测；B选项SQL注入虽可通过SAST

发现，但不如动态测试准确；D选项会话劫持属于运行时攻击。知识点：SAST适用场

景。易错点：误认为SAST能检测所有漏洞类型。

3、在DevSecOps流程中，软件成分分析（SCA）最适合在哪个阶段实施？

A、需求分析

B、编码阶段

C、部署阶段

D、运维阶段

【答案】B

【解析】正确答案是B。SCA应在编码阶段集成，及时发现第三方组件漏洞。A阶

段无代码；C阶段修复成本高；D阶段风险已暴露。知识点：DevSecOps安全左移。易

2025年信息系统安全专家应用安全测试策略与类型专题试卷及解析2

错点：忽视SCA的早期介入价值。

4、以下哪种测试方法需要部署探针（Agent）？

A、黑盒测试

B、白盒测试

C、灰盒测试

D、IAST

【答案】D

【解析】正确答案是D。IAST通过在应用内部署探针实时监控数据流。A黑盒无内

部访问权限；B白盒直接分析代码；C灰盒结合两者但无需探针。知识点：IAST技术

特点。易错点：混淆灰盒测试与IAST的实现方式。

5、OWASPTop10中，“不安全的反序列化”属于哪类漏洞？

A、注入类

B、认证与授权

C、数据验证

D、安全配置错误

【答案】C

【解析】正确答案是C。不安全的反序列化本质是数据验证缺失导致的对象注入。

A选项特指SQL/命令注入；B选项涉及身份管理；D选项指系统配置缺陷。知识点：

OWASP漏洞分类。易错点：误将反序列化归为注入类。

6、模糊测试（Fuzzing）最适合发现哪种类型的漏洞？

A、业务逻辑缺陷

B、缓冲区溢出

C、权限绕过

D、加密算法弱点

【答案】B

【解析】正确答案是B。模糊测试通过随机输入触发内存错误，如缓冲区溢出。A选

项需业务场景理解；C选项需权限模型分析；D选项需密码学知识。知识点：模糊测试

适用场景。易错点：高估模糊测试对逻辑漏洞的检测能力。

7、在移动应用安全测试中，以下哪项不属于静态分析的范畴？

A、代码混淆检测

B、证书绑定验证

C、本地存储加密

D、网络通信协议

【答案】D

2025年信息系统安全专家应用安全测试策略与类型专题试卷及解析3

【解析】正确答案是D。网络协议分析需动态抓包，属于动态测试。A、B、C均可

通过反编译静态分析。知识点：移动应用测试类型。易错点：混淆静态分析