第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁微信小程序安全員題庫及答案解析（含答案及解析）姓名：科室/部門/班級：得分：題型單選題多選題判斷題填空題簡答題案例分析題總分得分

一、單選題（共20分）

1.微信小程序中，用于存儲用戶敏感信息（如登錄憑證）的加密存儲功能是？

（）A.LocalStorage

（）B.SessionStorage

（）C.wx.setStorage

（）D.wx.setStorageSync

2.在小程序開發(fā)中，以下哪種行為可能導(dǎo)致用戶賬號被惡意盜用？

（）A.使用HTTPS加密傳輸數(shù)據(jù)

（）B.用戶密碼設(shè)置復(fù)雜度要求

（）C.長時間不退出登錄

（）D.定期清理設(shè)備緩存

3.根據(jù)小程序安全規(guī)范，訪問后端API時，以下哪項驗證方式最優(yōu)先推薦？

（）A.僅依賴前端Session驗證

（）B.結(jié)合Token與用戶行為驗證

（）C.僅依賴用戶IP地址限制

（）D.使用明文密碼傳輸

4.微信小程序中，處理用戶敏感操作（如支付、修改資料）時，以下哪個組件最適用于二次驗證？

（）A.指紋識別

（）B.滑動驗證碼

（）C.隨機驗證碼

（）D.設(shè)備綁定

5.若小程序出現(xiàn)數(shù)據(jù)泄露，根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定，運營者應(yīng)在多少小時內(nèi)響應(yīng)并上報？

（）A.12小時

（）B.24小時

（）C.48小時

（）D.72小時

6.小程序中防范跨站腳本攻擊（XSS）的關(guān)鍵措施是？

（）A.對用戶輸入進行嚴格過濾

（）B.使用Cookie傳輸敏感數(shù)據(jù)

（）C.減少頁面靜態(tài)資源

（）D.禁用開發(fā)者工具

7.小程序登錄過程中，以下哪個環(huán)節(jié)需重點防范重放攻擊？

（）A.密碼傳輸

（）B.Token生成

（）C.Session簽名

（）D.二次驗證

8.根據(jù)小程序官方文檔，以下哪項不屬于安全審計的常規(guī)檢查項？

（）A.代碼中硬編碼的密鑰

（）B.動態(tài)權(quán)限請求邏輯

（）C.用戶數(shù)據(jù)備份頻率

（）D.API接口訪問限制

9.若小程序需調(diào)用敏感權(quán)限（如讀取相冊），以下哪種說法最符合安全規(guī)范？

（）A.直接在首頁請求權(quán)限

（）B.提前告知用戶用途

（）C.使用第三方庫處理權(quán)限

（）D.忽略用戶拒絕請求

10.小程序中使用WebSocket傳輸數(shù)據(jù)時，以下哪個場景需特別注意安全？

（）A.傳輸公開公告

（）B.傳輸用戶行為日志

（）C.傳輸支付驗證信息

（）D.傳輸公開配置

11.根據(jù)小程序組件規(guī)范，以下哪個屬性最適用于防止點擊劫持？

（）A.style="position:fixed"

（）B.style="z-index:1000"

（）C.style="pointer-events:none"

（）D.style="background:transparent"

12.若小程序涉及用戶實名認證，以下哪個環(huán)節(jié)需重點驗證身份真實性？

（）A.驗證碼輸入

（）B.身份證信息校驗

（）C.設(shè)備指紋比對

（）D.手機號驗證

13.微信小程序中，以下哪種存儲方式最適用于加密敏感數(shù)據(jù)？

（）A.localStorage

（）B.wx.setStorageSync("data",encrypt(JSON.stringify(data)))

（）C.cookie

（）D.IndexedDB

14.若小程序存在SQL注入風(fēng)險，以下哪種說法最符合修復(fù)方案？

（）A.使用預(yù)編譯語句

（）B.增加數(shù)據(jù)庫權(quán)限

（）C.使用靜態(tài)代碼分析工具

（）D.忽略低概率攻擊

15.根據(jù)小程序官方安全指引，以下哪個場景需重點防范中間人攻擊？

（）A.使用微信支付

（）B.請求第三方服務(wù)

（）C.傳輸用戶配置

（）D.讀取本地緩存

16.小程序中處理用戶登錄狀態(tài)時，以下哪種做法最符合安全規(guī)范？

（）A.使用明文存儲Token

（）B.Token與設(shè)備綁定

（）C.定期自動刷新Token

（）D.Token傳輸時不加密

17.若小程序需接入第三方服務(wù)（如地圖API），以下哪個環(huán)節(jié)需重點檢查安全？

（）A.API密鑰配置

（）B.用戶位置共享范圍

（）C.接口調(diào)用頻率限制

（）D.數(shù)據(jù)傳輸協(xié)議

18.根據(jù)小程序組件規(guī)范，以下哪個屬性最適用于防止DOMXSS？

（）A.bindtap

（）B.bindinput

（）C.wx:for-item

（）D.wx:if

19.小程序中使用云開發(fā)時，以下哪個場景需特別注意權(quán)限控制？

（）A.讀取公開文檔

（）B.修改用戶信息

（）C.調(diào)用云函數(shù)

（）D.讀取設(shè)備信息

20.根據(jù)小程序安全最佳實踐，以下哪個做法最符合安全要求？

（）A.使用固定密鑰加密數(shù)據(jù)

（）B.定期更換API密鑰

（）C.使用HTTP協(xié)議傳輸數(shù)據(jù)

（）D.忽略用戶設(shè)備安全提示

二、多選題（共15分，多選、錯選均不得分）

21.小程序中常見的攻擊類型包括？

（）A.跨站腳本攻擊（XSS）

（）B.SQL注入

（）C.重放攻擊

（）D.跨站請求偽造（CSRF）

（）E.緩存投毒

22.根據(jù)小程序開發(fā)規(guī)范，以下哪些環(huán)節(jié)需進行安全審計？

（）A.代碼邏輯

（）B.API接口

（）C.第三方依賴

（）D.數(shù)據(jù)傳輸協(xié)議

（）E.用戶權(quán)限配置

23.小程序中防范數(shù)據(jù)泄露的常見措施包括？

（）A.數(shù)據(jù)加密存儲

（）B.傳輸時使用HTTPS

（）C.限制用戶訪問范圍

（）D.定期清理日志

（）E.使用靜態(tài)代碼掃描工具

24.根據(jù)小程序官方指引，以下哪些場景需使用二次驗證？

（）A.修改密碼

（）B.支付操作

（）C.讀取相冊權(quán)限

（）D.登錄操作

（）E.發(fā)布內(nèi)容

25.小程序中防范惡意調(diào)試的常見做法包括？

（）A.使用obfuscate插件混淆代碼

（）B.隱藏敏感接口

（）C.使用HTTPS傳輸數(shù)據(jù)

（）D.設(shè)置接口頻率限制

（）E.使用Webpack打包

三、判斷題（共15分，每題0.5分）

26.小程序中使用LocalStorage存儲敏感數(shù)據(jù)是安全的。（×）

27.根據(jù)小程序規(guī)范，所有用戶輸入都需要進行轉(zhuǎn)義處理。（√）

28.小程序中，設(shè)備ID可以直接用于用戶身份驗證。（×）

29.微信小程序默認使用HTTPS協(xié)議傳輸數(shù)據(jù)。（√）

30.小程序中使用Cookie可以提高數(shù)據(jù)傳輸效率。（×）

31.若小程序發(fā)生數(shù)據(jù)泄露，運營者需在24小時內(nèi)上報給微信平臺。（√）

32.小程序中，所有敏感接口都需要設(shè)置IP白名單。（×）

33.根據(jù)小程序規(guī)范，用戶登錄時必須使用手機號驗證。（×）

34.小程序中使用WebSocket時，默認傳輸?shù)臄?shù)據(jù)是加密的。（×）

35.小程序中，用戶行為日志可以直接存儲為明文。（×）

36.小程序中使用靜態(tài)資源時，無需考慮跨站腳本攻擊風(fēng)險。（×）

37.根據(jù)小程序規(guī)范，所有敏感操作都需要二次驗證。（×）

38.小程序中，使用第三方庫可以完全替代官方組件的安全功能。（×）

39.小程序中使用云開發(fā)時，默認所有數(shù)據(jù)都是公開的。（×）

40.小程序中，用戶昵稱可以直接用于身份驗證。（×）

四、填空題（共10空，每空1分，共10分）

41.小程序中使用Token驗證時，Token必須與______綁定，以防止重放攻擊。

__________

42.根據(jù)小程序規(guī)范，所有敏感操作都需要使用______進行二次驗證。

__________

43.小程序中使用HTTPS時，傳輸?shù)臄?shù)據(jù)需要經(jīng)過______加密。

__________

44.根據(jù)小程序官方指引，若小程序發(fā)生數(shù)據(jù)泄露，運營者需在______小時內(nèi)上報給微信平臺。

__________

45.小程序中防范跨站腳本攻擊（XSS）的關(guān)鍵措施是______用戶輸入。

__________

46.根據(jù)小程序組件規(guī)范，以下哪個屬性最適用于防止點擊劫持？______

__________

47.小程序中使用云開發(fā)時，所有敏感數(shù)據(jù)都需要使用______進行加密存儲。

__________

48.根據(jù)小程序規(guī)范，所有用戶輸入都需要進行______處理，以防止注入攻擊。

__________

49.小程序中使用WebSocket時，傳輸?shù)臄?shù)據(jù)需要經(jīng)過______驗證，以防止中間人攻擊。

__________

50.根據(jù)小程序官方指引，所有敏感接口都需要設(shè)置______，以防止惡意請求。

__________

五、簡答題（共30分，每題6分）

51.簡述小程序中防范跨站腳本攻擊（XSS）的三個關(guān)鍵措施。

答：__________

52.若小程序發(fā)生數(shù)據(jù)泄露，運營者應(yīng)采取哪些應(yīng)急措施？

答：__________

53.根據(jù)小程序規(guī)范，如何設(shè)計安全的登錄流程？

答：__________

54.小程序中使用第三方服務(wù)時，如何防范API密鑰泄露？

答：__________

55.簡述小程序中防范重放攻擊的兩種常見方法。

答：__________

六、案例分析題（共10分）

案例背景：某電商小程序在用戶支付環(huán)節(jié)發(fā)現(xiàn)存在安全漏洞，部分用戶反映支付信息（如卡號）被泄露。經(jīng)排查，問題源于后端API未正確驗證用戶登錄狀態(tài)，導(dǎo)致惡意用戶可以通過偽造Token訪問支付接口。

問題：

（1）分析該案例中可能存在的安全風(fēng)險。

（2）提出修復(fù)方案及預(yù)防措施。

（3）總結(jié)該案例對小程序安全運營的啟示。

答：__________

參考答案及解析

一、單選題

1.C

解析：wx.setStorage用于加密存儲敏感信息，LocalStorage僅支持明文存儲。

2.C

解析：長時間不退出登錄會導(dǎo)致會話劫持風(fēng)險，其他選項均屬于安全防護措施。

3.B

解析：結(jié)合Token與用戶行為驗證（如設(shè)備指紋、IP限制）最符合安全規(guī)范。

4.B

解析：滑動驗證碼適用于二次驗證，其他選項屬于生物識別或設(shè)備綁定措施。

5.B

根據(jù)《網(wǎng)絡(luò)安全法》第44條，關(guān)鍵信息基礎(chǔ)設(shè)施運營者需在24小時內(nèi)響應(yīng)并上報。

6.A

解析：嚴格過濾用戶輸入可防止XSS，其他選項與防范機制無關(guān)。

7.B

解析：Token生成環(huán)節(jié)需防范重放攻擊，其他環(huán)節(jié)的攻擊方式不同。

8.C

解析：用戶數(shù)據(jù)備份頻率不屬于安全審計范疇，其他選項均需檢查。

9.B

解析：提前告知用戶用途符合小程序權(quán)限規(guī)范，其他選項存在安全隱患。

10.C

解析：用戶行為日志可能包含敏感信息，需加密傳輸。

11.C

解析：pointer-events:none可防止點擊劫持，其他選項與安全無關(guān)。

12.B

解析：身份證信息校驗是實名認證的核心環(huán)節(jié)，其他選項屬于輔助驗證。

13.B

解析：wx.setStorageSync("data",encrypt(JSON.stringify(data)))最符合安全規(guī)范。

14.A

解析：預(yù)編譯語句可防止SQL注入，其他選項與防范機制無關(guān)。

15.B

解析：請求第三方服務(wù)時需防范中間人攻擊，其他場景的攻擊類型不同。

16.B

解析：Token與設(shè)備綁定可防止賬號盜用，其他選項存在安全隱患。

17.A

解析：API密鑰配置錯誤會導(dǎo)致安全風(fēng)險，其他選項屬于防護措施。

18.A

解析：bindtap可防止DOMXSS，其他選項與防范機制無關(guān)。

19.B

解析：修改用戶信息屬于敏感操作，需嚴格權(quán)限控制。

20.B

解析：定期更換API密鑰符合安全最佳實踐，其他選項存在安全隱患。

二、多選題

21.ABCD

解析：小程序常見攻擊類型包括XSS、SQL注入、重放攻擊和CSRF，緩存投毒不屬于小程序常見攻擊。

22.ABCDE

解析：安全審計需覆蓋代碼邏輯、API接口、第三方依賴、數(shù)據(jù)傳輸協(xié)議和用戶權(quán)限配置。

23.ABCDE

解析：數(shù)據(jù)加密存儲、HTTPS傳輸、限制用戶訪問范圍、定期清理日志和靜態(tài)代碼掃描工具均屬于防范數(shù)據(jù)泄露的措施。

24.ABDE

解析：修改密碼、支付操作、登錄操作需使用二次驗證，讀取相冊權(quán)限不屬于敏感操作。

25.ABCD

解析：混淆代碼、隱藏敏感接口、使用HTTPS傳輸數(shù)據(jù)和設(shè)置接口頻率限制可防范惡意調(diào)試，WebSocket傳輸協(xié)議與惡意調(diào)試無關(guān)。

三、判斷題

26.×

解析：LocalStorage僅支持明文存儲，敏感數(shù)據(jù)需加密后存儲。

27.√

解析：所有用戶輸入都需要進行轉(zhuǎn)義處理，以防止注入攻擊。

28.×

解析：設(shè)備ID僅用于識別設(shè)備，不能直接用于身份驗證。

29.√

解析：小程序默認使用HTTPS協(xié)議傳輸數(shù)據(jù)，確保傳輸安全。

30.×

解析：Cookie僅支持HTTP協(xié)議，且易被篡改，不適合傳輸敏感數(shù)據(jù)。

31.√

根據(jù)《網(wǎng)絡(luò)安全法》第44條，關(guān)鍵信息基礎(chǔ)設(shè)施運營者需在24小時內(nèi)上報。

32.×

解析：所有敏感接口都需要設(shè)置IP白名單，以防止惡意請求。

33.×

解析：用戶登錄可使用手機號、郵箱或第三方賬號，無需強制使用手機號驗證。

34.×

解析：WebSocket默認傳輸?shù)臄?shù)據(jù)是明文，需自行加密。

35.×

解析：用戶行為日志需加密存儲，以防止隱私泄露。

36.×

解析：靜態(tài)資源也可能被篡改，需防范跨站腳本攻擊風(fēng)險。

37.×

解析：敏感操作需根據(jù)場景判斷是否需要二次驗證，并非所有操作都需要。

38.×

解析：第三方庫可能存在安全漏洞，不能完全替代官方組件的安全功能。

39.×

解析：云開發(fā)中的數(shù)據(jù)默認是私有的，需手動設(shè)置公開。

40.×

解析：用戶昵稱無法用于身份驗證，需結(jié)合Token或設(shè)備ID驗證。

四、填空題

41.設(shè)備ID

解析：Token必須與設(shè)備ID綁定，以防止重放攻擊。

42.二次驗證

解析：所有敏感操作都需要使用二次驗證，以防止惡意操作。

43.TLS

解析：HTTPS使用TLS協(xié)議加密傳輸數(shù)據(jù)。

44.24

根據(jù)《網(wǎng)絡(luò)安全法》第44條，關(guān)鍵信息基礎(chǔ)設(shè)施運營者需在24小時內(nèi)上報。

45.轉(zhuǎn)義

解析：嚴格轉(zhuǎn)義用戶輸入可防止跨站腳本攻擊。

46.pointer-events:none

解析：該屬性可防止點擊劫持，符合小程序組件規(guī)范。

47.AES

解析：云開發(fā)中的敏感數(shù)據(jù)需使用AES加密存儲。

48.轉(zhuǎn)義

解析：所有用戶輸入都需要進行轉(zhuǎn)義處理，以防止注入攻擊。

49.TLS

解析：WebSocket傳輸?shù)臄?shù)據(jù)需要經(jīng)過