2025年信息系统安全专家API安全事件响应与取证专题试卷及解析.pdf

2025年信息系统安全专家API安全事件响应与取证专题试卷及解析1

2025年信息系统安全专家API安全事件响应与取证专题

试卷及解析

2025年信息系统安全专家API安全事件响应与取证专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在API安全事件响应中，以下哪项是containment（遏制）阶段的首要目标？

A、完全修复漏洞

B、防止事件进一步扩散

C、收集完整证据链

D、撰写最终报告

【答案】B

【解析】正确答案是B。遏制阶段的核心是限制事件影响范围，防止攻击者横向移

动或数据持续泄露。A是修复阶段目标，C是取证阶段目标，D是事后总结阶段目标。

知识点：事件响应生命周期（NIST框架）。易错点：容易将遏制与修复混淆，但修复通

常在遏制之后进行。

2、在进行API流量取证时，以下哪种日志类型对重放攻击分析最关键？

A、应用服务器错误日志

B、WAF访问日志

C、数据库审计日志

D、操作系统内核日志

【答案】B

【解析】正确答案是B。WAF访问日志记录了完整的HTTP请求细节（包括时间

戳、参数、响应码等），是分析重放攻击模式的核心证据。A和C缺乏请求上下文，D

与API层无关。知识点：API取证数据源。易错点：可能误选数据库日志，但重放攻

击特征主要体现在请求层面。

3、OWASPAPISecurityTop10中，“BrokenObjectLevelAuthorization”（BOLA）

漏洞的根本原因是？

A、缺乏输入验证

B、未验证用户对资源的访问权限

C、硬编码的API密钥

D、不安全的直接对象引用

【答案】B

【解析】正确答案是B。BOLA本质是访问控制缺陷，系统未校验用户是否有权访问

特定对象ID对应的资源。A是注入类问题，C是认证问题，D是BOLA的旧称（已整

2025年信息系统安全专家API安全事件响应与取证专题试卷及解析2

合到BOLA概念中）。知识点：API安全漏洞分类。易错点：容易混淆BOLA和IDOR，

但BOLA更强调业务逻辑层面的授权缺陷。

4、在API安全事件中，以下哪种行为最符合”数据外泄”的取证特征？

A、大量404错误响应

B、异常高频的GET请求

C、响应数据量远超正常业务范围

D、认证失败率突增

【答案】C

【解析】正确答案是C。数据外泄的直接证据是异常的数据传输量，如单次请求返

回过多记录或涉及敏感字段。A是探测行为，B可能是爬虫，D是暴力破解。知识点：

数据泄露取证指标。易错点：可能误选高频请求，但高频不等于数据泄露。

5、API安全事件响应中，“Eradication”（根除）阶段的关键任务是？

A、隔离受影响系统

B、部署临时补丁

C、永久修复漏洞并清理后门

D、恢复业务服务

【答案】C

【解析】正确答案是C。根除阶段要求彻底消除攻击痕迹（如后门、恶意账户）并

修复根本漏洞。A是遏制阶段，B是临时措施，D是恢复阶段。知识点：事件响应阶段

划分。易错点：容易将根除与恢复混淆，但根除是恢复的前提。

6、在API取证中，以下哪种技术最能有效识别”逻辑漏洞”利用？

A、静态代码分析

B、网络流量基线对比

C、蜜罐诱捕分析

D、内存镜像取证

【答案】B

【解析】正确答案是B。逻辑漏洞（如越权）通常表现为异常的流量模式（如普通

用户访问管理员接口），通过基线对比可快速发现。A适合发现代码缺陷，C针对定向

攻击，D与业务逻辑无关。知识点：逻辑漏洞取证方法。易错点：可能误选静态分析，

但逻辑漏洞往往需要运行时数据验证。

7、根据GDPR，API安全事件发生后，向监管机构报告的时限是？

A、24小时内

B、48小时内

C、72小时内

D、7天内

202