2025年移动安全工程师考试题库（附答案和详细解析）（0906）.docxVIP

2025年移动安全工程师考试题库（附答案和详细解析）（0906）

移动安全工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

在Android系统中，阻止应用通过运行时权限获取敏感数据的核心机制是？

A.Manifest文件声明

B.Linux用户组隔离

C.AppSandbox沙盒机制

D.Dex文件加密

答案：C

解析：

Android沙盒通过为每个应用分配唯一UID和文件系统隔离实现权限控制。A是权限声明方式但非隔离机制；B是沙盒底层实现基础而非核心名称；D涉及代码保护与权限无关。

移动端HTTPS通信中，证书绑定（CertificatePinning）的主要作用是？

A.加速SSL握手过程

B.防止中间人攻击伪造证书

C.减少服务器资源消耗

D.自动更新服务器证书

答案：B

解析：

证书绑定将特定证书指纹硬编码至客户端，避免信任伪造CA签发的证书。A/D与绑定无关；C是HTTPS优化的次要影响而非主要目的。

二、多项选择题（共10题，每题2分，共20分）

下列哪些属于移动设备双因素认证的合法要素？（多选）

A.用户预设的6位数字PIN码

B.设备内置指纹传感器扫描

C.SIM卡的ICCID序列号

D.用户行为画像分析结果

答案：ABD

解析：

双因素需包含知识因子（A）、拥有因子（B）、生物特征/行为因子（D）。C属于设备标识而非认证因子，若未绑定用户信息则不构成认证要素。

Android组件安全配置错误的是？（多选）

A.activityandroid:exported=false

B.对ContentProvider设置URI权限

C.BroadcastReceiver接收敏感命令无权限校验

D.私有Service未设置Intent过滤器

答案：CD

解析：

C未校验发送方权限会导致未授权命令执行；D未设intent-filter时默认exported=false，但显式声明更安全。A配置正确阻止外部访问；B是标准安全实践。

三、判断题（共10题，每题1分，共10分）

iOS应用在非越狱设备上无法进行动态调试。

答案：错误

解析：

通过开发者证书签名的应用可在Xcode附加LLDB调试器，动态调试不依赖越狱状态。

WebView启用JavaScriptInterface可能导致远程代码执行漏洞。

答案：正确

解析：

当JS桥接方法暴露敏感功能且未校验调用来源时，恶意网页可通过反射调用Java方法触发RCE。

四、简答题（共5题，每题6分，共30分）

简述移动应用数据存储的三大风险点及对应防护措施。

答案：

第一，敏感数据明文存储（如SharedPreferences），采用密钥库加密；第二，日志泄露敏感信息（如AccountID），关闭调试日志输出；第三，剪贴板缓存密码，使用专用输入控件并自动清除剪贴板。

解析：

风险点覆盖存储介质、日志、运行时环境三层面，对应措施需具体到技术方案（如KeyStore），并强调自动清除等工程实践。

五、论述题（共3题，每题10分，共30分）

结合实例论述移动应用安全架构设计的核心原则及实现路径。

答案：

论点一：纵深防御

前端防逆向（ProGuard+VMP加固）、传输层双向证书校验（如OkHttp证书锁定）、服务端鉴权（OAuth2.0+RBAC）。以银行APP为例，关键交易需叠加设备绑定+生物认证。

论点二：最小权限原则

Android运行时权限动态申请（如仅在使用时请求位置权限），后台服务按需启动。网约车APP仅在行程中访问位置。

结论：

多层级防护需结合技术工具（如WAF）与架构设计（微服务API网关），并通过自动化扫描持续验证。

解析：

原则需对应具体技术栈（VMP/OAuth等），实例需体现行业特性（银行/网约车），路径需包含持续验证机制。

（其余论述题同理展开）…

试卷特点说明

1.知识覆盖：涵盖系统安全（沙盒/越狱）、密码学（HTTPS/加密）、开发安全（组件/API设计）、攻防技术（调试/逆向）等移动安全核心领域

2.难度梯度：单选判断侧重基础概念，多选简答考察技术细节，论述题聚焦架构设计与威胁应对

3.干扰项设计：如多选题将”SIM卡序列号”与合法认证因子混合，既符合常识迷惑性又明确区分认证要素属性

4.解析深度：判断题解析揭示iOS动态调试与越狱的解耦关系；论述题解析要求实例匹配技术方案（如网约车的位置权限动态管理）