原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
移动安全工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
Android系统中,以下哪个组件因默认导出属性最易引发跨应用调用风险?
A.Activity
B.Service
C.BroadcastReceiver
D.ContentProvider
答案:A
解析:Android组件的默认导出属性(android:exported)中,Activity默认值为true(当声明了intent-filter时),而Service、BroadcastReceiver默认值为false(无intent-filter时),ContentProvider默认需显式授权。因此Activity更易因未关闭导出导致外部调用攻击(如Activity劫持)。
iOS应用沙盒机制的核心目的是?
A.限制应用间数据共享
B.提升应用运行效率
C.简化应用开发流程
D.支持多任务处理
答案:A
解析:iOS沙盒(Sandbox)通过文件系统权限隔离,限制应用仅能访问自身目录下的文件,防止应用间非法数据窃取,是iOS系统级数据安全的核心机制。其他选项与沙盒设计目标无关。
以下哪种移动应用数据存储方式安全性最低?
A.使用AndroidKeystore存储密钥
B.加密后存储到SQLite数据库
C.将token明文写入SharedPreferences
D.通过iOSKeychain存储敏感信息
答案:C
解析:SharedPreferences以XML文件存储在应用私有目录,虽外部应用默认无法访问,但root或越狱设备可直接读取明文数据,安全性最低。其他选项均采用加密或系统级安全存储(Keystore/Keychain)。
移动应用逆向分析中,IDAPro主要用于分析哪种类型的文件?
A.APK资源文件(如图片、布局)
B.DEX/ELF可执行文件
C.应用配置文件(如AndroidManifest.xml)
D.日志文件(如logcat输出)
答案:B
解析:IDAPro是专业反汇编工具,主要用于分析DEX(AndroidDalvik/ART字节码)、ELF(Androidnative库)等可执行文件的二进制代码结构,反编译出伪代码。其他文件类型可用Apktool等工具处理。
以下哪项不属于移动应用安全测试中的“静态测试”方法?
A.使用AndroBugs扫描APK代码
B.手动审查Java/Objective-C源码
C.通过Charles抓包分析网络请求
D.利用QARK进行自动化漏洞检测
答案:C
解析:静态测试是不运行应用的代码分析,抓包(Charles)属于动态测试(运行时监控网络流量)。其他选项均为静态分析工具或方法。
移动支付应用中,以下哪种身份认证方式风险最高?
A.指纹识别+动态短信验证码
B.图形密码(手势锁)
C.面部识别+设备唯一标识校验
D.数字证书+双因素认证
答案:B
解析:图形密码(手势锁)存在轨迹残留(屏幕油污)、暴力破解(记录手势次数)等风险,且复杂度低(通常9点选4-6点),安全性低于多因素认证或生物识别+动态验证。
Android应用中,若未对Intent传递的Extra数据做类型校验,可能引发哪种攻击?
A.代码注入攻击
B.越权访问攻击
C.拒绝服务攻击(DoS)
D.中间人攻击(MITM)
答案:C
解析:恶意应用可通过传递错误类型或超大体积的Extra数据(如将int传为String),导致目标应用解析时崩溃(如ClassCastException),属于DoS攻击。代码注入需利用代码执行漏洞,越权访问与组件导出相关,MITM是网络层攻击。
iOS应用使用非官方渠道(如TestFlight)分发时,最长测试有效期为?
A.7天
B.30天
C.60天
D.90天
答案:D
解析:根据Apple官方规则,TestFlight测试版应用的有效期为90天,过期后用户无法继续使用。7天是企业证书签名的临时应用有效期。
移动应用使用HTTP协议传输敏感数据时,最直接的安全风险是?
A.数据被篡改
B.数据被截获明文
C.域名被劫持
D.连接被重置
答案:B
解析:HTTP未加密,网络传输中的数据(如账号密码)会被中间人工具(如Charles、Wireshark)直接捕获明文,是最直接风险。数据篡改需结合重放攻击,域名劫持属于DNS层问题,连接重置是网络稳定性问题。
以下哪种移动设备安全防护技术属于“硬件级安全”?
A.应用锁(软件加密)
B.可信执行环境(TEE)
C.应用沙盒(系统级隔离)
D.数据加密存储(软件算法)
答案:B
解析:TEE(TrustedExecutionEnvironment)是芯片
您可能关注的文档
- 2025年心理健康指导师考试题库(附答案和详细解析)(1028).docx
- 2025年安全开发生命周期专家考试题库(附答案和详细解析)(1101).docx
- 2025年智慧城市设计师考试题库(附答案和详细解析)(1030).docx
- 2025年量化金融证书(CQF)考试题库(附答案和详细解析)(1010).docx
- 2025年注册安全工程师考试题库(附答案和详细解析)(1031).docx
- 2025年增强现实设计师考试题库(附答案和详细解析)(1028).docx
- 2025年会计专业技术资格考试题库(附答案和详细解析)(1030).docx
- 2025年ESG分析师认证(CESGA)考试题库(附答案和详细解析)(1015).docx
- 2025年游戏引擎开发师考试题库(附答案和详细解析)(1021).docx
- 2025年摄影师职业资格考试题库(附答案和详细解析)(1026).docx
最近下载
- 多模态数据融合与检索技术教学课件(共4章)第三章多模态数据融合.ppt VIP
- 人教版小学四年级上册数学综合练习题及答案(共八套) .pdf VIP
- 次课对称故障计算仿验.pdf VIP
- 2025及未来5-10年瑶族排毒药浴项目投资价值市场数据分析报告.docx
- 浙江省温州市瓯海中学2025提前招生选拔考试数学试卷 含解析.docx VIP
- (风险管理)商业银行房地产贷款风险管理指引.pdf VIP
- 基于STM32的智能手环设计.docx VIP
- 机修班长年终工作总结.pptx
- (高清版)DB41∕T 1354-2016 人民防空工程标识.pdf VIP
- 湘潭大学会关于发展党员工作的实施细则( .doc VIP
文档评论(0)