原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
移动安全工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
Android系统中,应用权限管理的核心原则是?
A.最大权限原则
B.最小权限原则
C.默认全开放原则
D.用户无感知授权原则
答案:B
解析:Android权限管理遵循“最小权限原则”(PrincipleofLeastPrivilege),即应用仅能获取完成功能所需的最小权限集合,避免过度授权。其他选项错误:A选项与最小权限原则相反;C选项不符合Android安全设计(默认拒绝未授权权限);D选项违背用户知情权(关键权限需用户主动授权)。
以下哪种攻击方式主要针对iOS应用的代码混淆防护?
A.SSLPinning绕过
B.动态调试(GDB/LLDB)
C.静态反编译(HopperDisassembler)
D.重放攻击(ReplayAttack)
答案:C
解析:静态反编译工具(如Hopper)可将混淆后的二进制代码还原为伪代码,是破解代码混淆的主要手段。A选项针对证书绑定防护;B选项是动态分析手段;D选项属于网络攻击,与代码混淆无关。
移动应用中,敏感数据(如支付密码)存储的最优方案是?
A.明文存储在SharedPreferences
B.使用AES-256加密后存储在SQLite
C.存储在外部存储(SD卡)的明文文件
D.硬编码在APK资源文件中
答案:B
解析:敏感数据需加密存储,AES-256是符合国密标准的强加密算法,配合安全密钥管理(如AndroidKeystore)可有效防护。其他选项错误:A/C选项明文存储易被root工具提取;D选项硬编码可通过反编译直接获取。
以下哪项是Android应用沙盒机制的核心隔离范围?
A.网络访问权限
B.应用进程与系统内核
C.应用私有存储空间
D.设备硬件调用(如摄像头)
答案:C
解析:Android沙盒通过Linux用户权限隔离应用私有目录(/data/data/包名),防止其他应用直接访问。A/D属于权限管理范畴;B错误(应用进程运行在用户空间,内核由系统统一管理)。
iOS应用的代码签名机制主要用于防范?
A.代码注入攻击
B.恶意篡改APK文件
C.钓鱼WiFi截获数据
D.应用间敏感数据泄露
答案:B
解析:iOS通过代码签名(使用Apple颁发的证书)确保应用二进制文件未被篡改,未签名或篡改的应用无法安装。A是运行时防护问题;C是网络安全问题;D是数据隔离问题。
移动应用中,HTTPS通信的“证书绑定(SSLPinning)”主要解决?
A.中间人攻击(MITM)
B.重放攻击
C.拒绝服务攻击(DoS)
D.SQL注入攻击
答案:A
解析:证书绑定强制应用仅信任预定义的证书公钥,防止攻击者通过伪造证书实施MITM。B需时间戳/随机数解决;C需流量控制解决;D需输入过滤解决。
以下哪种工具常用于Android应用的动态调试?
A.JD-GUI
B.Frida
C.Ghidra
D.Apktool
答案:B
解析:Frida是动态插桩工具,可在应用运行时修改内存数据或拦截函数调用,用于动态调试。A/D是静态反编译工具;C是逆向分析平台(支持静态+动态,但非专用调试工具)。
移动设备的“设备标识(如IMEI)”滥用的主要风险是?
A.导致设备无法激活
B.侵犯用户隐私(跟踪用户行为)
C.引发系统崩溃
D.增加应用内存占用
答案:B
解析:IMEI等设备标识具有唯一性,滥用可用于长期跟踪用户行为,违反隐私保护法规(如GDPR)。其他选项无直接关联。
以下哪项是移动应用“深度链接(DeepLink)”的典型安全风险?
A.导致应用启动速度变慢
B.未校验调用来源引发任意跳转
C.增加应用安装包大小
D.与系统默认浏览器冲突
答案:B
解析:深度链接若未校验调用来源(如包名、签名),可能被恶意应用调用跳转至敏感页面(如支付界面),引发钓鱼或数据泄露。其他选项非安全风险。
移动恶意软件“勒索软件(Ransomware)”的核心攻击目标是?
A.窃取用户通讯录
B.加密用户文件并索要赎金
C.监听用户通话
D.消耗设备电池
答案:B
解析:勒索软件通过加密用户文件(如照片、文档),威胁支付赎金后解密,是其核心特征。其他选项是其他类型恶意软件(如间谍软件)的行为。
二、多项选择题(共10题,每题2分,共20分)
以下属于移动应用“代码安全”防护措施的有?
A.代码混淆(ProGuard/R8)
B.反调试(Anti-Debug)
C.数据加密存储
D.反注入(Anti-Injection)
答案:ABD
解析:代码安全防护针对代码本身的逆向与篡改风险,A通过混淆标识符增加逆向难度;B通过检测
您可能关注的文档
- 2025年二级建造师考试题库(附答案和详细解析)(0925).docx
- 2025年企业合规师考试题库(附答案和详细解析)(0926).docx
- 2025年企业数字化战略师考试题库(附答案和详细解析)(0926).docx
- 2025年劳动关系协调师考试题库(附答案和详细解析)(0926).docx
- 2025年国际会议口译资格认证(CIIC)考试题库(附答案和详细解析)(0928).docx
- 2025年大数据工程师职业资格认证考试题库(附答案和详细解析)(0925).docx
- 2025年影视编导职业资格考试题库(附答案和详细解析)(0926).docx
- 2025年思科认证网络工程师(CCNP)考试题库(附答案和详细解析)(0927).docx
- 2025年数字营销师(CDMP)考试题库(附答案和详细解析)(0924).docx
- 2025年数据可视化设计师考试题库(附答案和详细解析)(0928).docx
文档评论(0)