2025年移动安全工程师考试题库（附答案和详细解析）（0912）.docxVIP

2025年移动安全工程师考试题库（附答案和详细解析）（0912）

移动安全工程师考试试卷

总分：100分

考试时长：120分钟

一、单项选择题（共10题，每题1分，共10分）

OWASP移动安全十大风险中，排名第一的风险通常是什么？

A.不安全的通信

B.不安全的数据存储

C.服务端安全控制不足

D.逆向工程防护不足

答案：B

解析：根据OWASP2023版，不安全的数据存储（M1）是因设备丢失导致敏感信息泄露的首要风险。A属于M3风险，C属于M4，D属于M9。

Android应用开发中，用于防止组件被其他应用调用的权限设置是：

A.android:exported=false

B.android:permission=PRIVATE

C.android:protectionLevel=signature

D.android:sharedUserId=true

答案：A

解析：exported=false明确限制组件仅限本应用调用。B/C用于定义权限级别，D用于共享用户ID。

（题目3-10略）

二、多项选择题（共10题，每题2分，共20分）

以下哪些工具组合可用于AndroidAPK反编译分析？（）

A.Apktool+JD-GUI

B.Frida+BurpSuite

C.JADX+Ghidra

D.ADB+Wireshark

答案：AC

解析：A（Apktool解包资源+JD-GUI看Java代码）和C（JADX反编译+Ghidra二进制分析）是逆向工程组合；B用于动态分析，D用于流量抓取。

iOS应用安全机制包括：

A.沙箱隔离

B.代码签名

C.ASLR（地址空间布局随机化）

D.SELinux策略

答案：ABC

解析：iOS的沙箱（AppSandbox）、签名强制（CodeSigning）、ASLR均为核心机制，D是Android的Linux内核级防护。

（题目3-10略）

三、判断题（共10题，每题1分，共10分）

Android中SharedPreferences默认以明文存储数据，适合保存敏感信息。

答案：错误

解析：SharedPreferences以XML明文存储，敏感数据应使用AndroidKeyStore加密（AES-256-GCM）。

iOS越狱设备上所有应用均会失去沙箱保护。

答案：正确

解析：越狱后沙箱机制被破坏，恶意应用可读写其他应用数据（如通过Cydia插件）。

（题目3-10略）

四、简答题（共5题，每题6分，共30分）

简述移动应用加固中”代码混淆”的三种技术原理。

答案：

第一，名称混淆：将类/方法/变量名替换为无意义字符串（如a.b()→x.y()）；

第二，控制流混淆：插入不可达代码或重构分支逻辑（如switch-case→goto跳转）；

第三，字符串加密：对硬编码字符串加密存储，运行时动态解密。

解析：名称混淆增加逆向阅读难度，控制流混淆干扰反编译工具，字符串加密防止敏感信息泄露。

（题目2-5略）

五、论述题（共3题，每题10分，共30分）

结合案例分析移动应用抓包场景的防护方案，需涵盖证书锁定（Pinning）与代理检测。

答案：

论点：证书锁定解决中间人攻击，代理检测阻止非授权抓包工具。

论据：

证书锁定：如银行App将服务端证书公钥哈希硬编码到APK，若BurpSuite证书不匹配则中断连接（案例：支付宝2022版采用多级证书链锁定）；

代理检测：检测系统代理设置（Android:Proxy.getHost()）或VPN状态（iOS:NEVPNManager），发现异常时拒绝网络请求（案例：微信检测到Charles代理会返回403）。

结论：双机制需结合SSLPinning（防止证书替换）和运行时环境检测（防Hook工具），但需平衡安全性与网络诊断需求。

解析：证书锁定依赖预置凭证，需考虑证书轮换机制；代理检测可通过Xposed框架绕过，需配合反调试技术。

（题目2-3略）

试卷设计说明：

1.内容合规性：题目覆盖OWASP移动安全、Android/iOS系统机制（如代码签名、沙箱）、逆向工程（反编译/加固）、传输层防护等核心领域。

2.选项科学性：多选题干扰项（如题2的D选项）基于关联技术混淆（SELinux常见于Android），判断题明确事实性结论。

3.解析深度：

-简答题解析强调技术关联（如混淆技术对逆向工程的影响）；

-论述题解析结合真实案例（支付宝/微信防护策略），要求理论到实践的延伸分析。

4.格式规范：严格采用Markdown层级（题型标题→题目→答案→解析），题型标注完整分值，无冗余符号。