2025年移动安全工程师考试题库（附答案和详细解析）（1022）.docxVIP

移动安全工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

以下哪种攻击方式属于移动应用典型的客户端安全威胁？

A.DDoS攻击

B.SQL注入

C.DNS劫持

D.基站伪冒

答案：B

解析：移动应用客户端安全威胁主要针对应用本身的漏洞，如SQL注入（客户端本地数据库操作未做参数化导致）；DDoS（网络层攻击）、DNS劫持（网络流量篡改）、基站伪冒（网络接入层攻击）均属于网络侧威胁，因此选B。

Android应用中，用于防止APK被反编译的核心技术是？

A.代码混淆（ProGuard/R8）

B.动态权限申请

C.沙盒机制

D.组件导出控制

答案：A

解析：代码混淆通过重命名类/方法/变量、移除无用代码等方式增加反编译后代码的可读性难度，是反编译防护的核心技术；动态权限申请（安全权限管理）、沙盒机制（数据隔离）、组件导出控制（防止组件被外部调用）均与反编译无关，故选A。

iOS应用的“沙盒机制”主要限制的是？

A.应用间的网络通信速率

B.应用对系统资源的访问范围

C.应用的后台运行时长

D.应用的广告展示频率

答案：B

解析：沙盒机制通过文件系统隔离，限制应用仅能访问自身目录下的文件和系统分配的资源（如相机、定位），防止越权访问其他应用或系统核心数据；网络速率、后台时长、广告频率由系统策略或开发者配置控制，与沙盒无关，故选B。

移动应用使用HTTPS传输数据时，若仅验证服务器证书而未校验证书链，可能导致的风险是？

A.中间人攻击（MITM）

B.重放攻击

C.缓冲区溢出

D.跨站脚本攻击（XSS）

答案：A

解析：未校验证书链可能导致攻击者使用伪造的中间证书（如自签名证书）欺骗客户端，实现中间人攻击；重放攻击（重复发送请求）、缓冲区溢出（内存操作漏洞）、XSS（前端代码注入）与证书校验无关，故选A。

以下哪种加密算法属于非对称加密？

A.AES-256

B.RSA

C.SHA-256

D.DES

答案：B

解析：非对称加密使用公钥-私钥对（如RSA），对称加密（AES、DES）使用相同密钥，SHA-256是哈希算法，故选B。

Android的“意图（Intent）”机制可能引发的安全风险是？

A.敏感数据通过隐式Intent被恶意应用截获

B.应用启动速度变慢

C.应用耗电量增加

D.应用界面布局错乱

答案：A

解析：隐式Intent（未指定目标组件）可能被恶意应用注册相同Action的组件截获，导致敏感数据泄露；启动速度、耗电量、布局错乱与Intent机制设计无关，故选A。

移动应用进行漏洞扫描时，“动态分析（DAST）”的主要特点是？

A.分析应用源代码或二进制文件

B.在真实运行环境中测试

C.无需安装应用即可检测

D.仅能发现代码逻辑漏洞

答案：B

解析：动态分析（DAST）通过运行应用并模拟用户操作，在真实环境中检测运行时漏洞（如SQL注入、命令注入）；静态分析（SAST）分析代码或二进制，无需运行；动态分析需安装应用，可发现运行时漏洞，故选B。

iOS应用若未开启“ATS（AppTransportSecurity）”，默认允许的网络协议是？

A.HTTPS1.2

B.HTTP

C.WebSocket

D.FTP

答案：B

解析：ATS默认强制使用HTTPS，若关闭则允许HTTP明文传输；HTTPS1.2是ATS支持的安全协议，WebSocket和FTP与ATS无关，故选B。

移动设备丢失后，防止敏感数据泄露的最有效措施是？

A.开启设备找回功能（如“查找我的iPhone”）

B.设置屏幕锁（图案/密码/指纹）

C.定期备份数据

D.安装第三方杀毒软件

答案：B

解析：屏幕锁直接限制未授权用户访问设备数据，是防止物理丢失后数据泄露的核心措施；设备找回（远程抹除）是补救措施，备份（数据恢复）、杀毒软件（防恶意软件）不直接解决丢失问题，故选B。

以下哪项不属于移动应用的“运行时保护”技术？

A.反调试（Anti-Debug）

B.反模拟器检测

C.代码混淆

D.内存完整性校验

答案：C

解析：运行时保护针对应用运行状态（如调试、模拟器环境、内存篡改）进行检测；代码混淆是编译阶段的防护，属于静态保护技术，故选C。

二、多项选择题（共10题，每题2分，共20分）

以下属于Android四大组件安全风险的有？（）

A.Activity导出未限制导致任意启动

B.Service未绑定权限导致被恶意调用

C.BroadcastReceiver静态注册后被广播风暴攻击

D.ContentProvider未设置读/写权限导致数据泄露

答案：ABCD

解析：四大组件（Activity/Service/BroadcastRece