原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
移动安全工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
以下哪项不属于移动应用常见的安全威胁类型?
A.跨站脚本攻击(XSS)
B.意图劫持(IntentHijacking)
C.重放攻击(ReplayAttack)
D.设备越狱/ROOT
答案:A
解析:XSS主要针对Web应用,通过注入恶意脚本攻击浏览器;移动应用的典型威胁包括意图劫持(利用Android组件间通信漏洞)、重放攻击(篡改或重复发送请求)、设备越狱/ROOT(破坏系统权限隔离)。因此选A。
以下哪种加密算法最适合用于移动应用本地敏感数据存储?
A.MD5(摘要算法)
B.AES-256(对称加密)
C.RSA(非对称加密)
D.SHA-256(哈希算法)
答案:B
解析:本地数据存储需高效加解密,AES-256对称加密速度快且安全性高(密钥需安全存储);MD5和SHA-256是摘要算法,无法解密;RSA非对称加密计算开销大,不适合频繁加解密场景。因此选B。
Android应用中,若未对Activity的exported属性进行限制,最可能导致以下哪种安全风险?
A.敏感数据被其他应用读取
B.恶意应用启动该Activity并窃取输入内容
C.应用崩溃(Crash)
D.网络请求被中间人攻击
答案:B
解析:exported属性控制组件是否可被其他应用调用,未限制时恶意应用可通过Intent启动该Activity,获取用户输入(如登录信息);敏感数据读取需结合ContentProvider权限问题;崩溃通常由代码缺陷导致;中间人攻击与网络传输安全相关。因此选B。
iOS应用沙盒机制的核心作用是?
A.限制应用访问系统关键资源
B.加速应用运行效率
C.支持应用多任务处理
D.提升应用图形渲染性能
答案:A
解析:沙盒机制通过文件系统隔离限制应用访问其他应用或系统目录(如照片、通讯录需用户授权),是iOS核心安全机制;其他选项与沙盒无关。因此选A。
移动支付场景中,以下哪项措施无法有效防范中间人攻击(MITM)?
A.启用HTTPS双向认证
B.固定服务端证书公钥(CertificatePinning)
C.使用随机token替代固定会话ID
D.仅允许Wi-Fi环境下支付
答案:D
解析:MITM攻击通过劫持网络通信窃取数据,HTTPS双向认证、证书固定可验证服务端身份;随机token防止会话劫持;仅限制Wi-Fi环境无法阻止蜂窝网络或公共Wi-Fi中的劫持行为。因此选D。
以下哪种行为最可能导致移动应用被植入恶意代码?
A.从官方应用商店下载应用
B.使用第三方工具对应用进行逆向分析
C.开启应用的“调试模式(Debug)”
D.定期更新应用到最新版本
答案:B
解析:第三方逆向工具(如Apktool)可反编译应用,攻击者可能修改代码后重新打包(二次打包)植入恶意功能;官方商店有安全审核;调试模式可能泄露日志但非直接植入;定期更新可修复漏洞。因此选B。
移动设备管理(MDM)的核心功能不包括?
A.远程锁定/擦除设备
B.强制应用安装与卸载
C.监控设备位置信息
D.提升设备硬件性能
答案:D
解析:MDM用于企业移动设备管控,包括远程操作、应用管理、位置监控;硬件性能由设备配置决定,非MDM功能。因此选D。
以下哪项是移动应用进行证书校验时的正确做法?
A.直接信任系统根证书
B.校验证书链但不验证证书有效期
C.自定义证书校验逻辑(如公钥固定)
D.忽略证书域名不匹配的警告
答案:C
解析:系统根证书可能被篡改(如设备被植入恶意CA),自定义公钥固定可避免信任链被攻击;需验证证书有效期和域名匹配;忽略警告会导致MITM风险。因此选C。
以下哪种移动恶意软件的主要目的是窃取用户隐私?
A.勒索软件(Ransomware)
B.间谍软件(Spyware)
C.广告软件(Adware)
D.蠕虫(Worm)
答案:B
解析:间谍软件通过记录键盘输入、截取屏幕等方式窃取隐私;勒索软件加密数据勒索赎金;广告软件强制推送广告;蠕虫通过网络自我复制传播。因此选B。
移动安全规范(如OWASPMASVS)中,“V3数据存储与隐私”主要关注?
A.网络传输加密
B.本地数据安全存储与隐私保护
C.组件间通信安全
D.代码完整性保护
答案:B
解析:OWASPMASVSV3明确要求敏感数据(如密码、支付信息)需安全存储(加密、最小化存储),并限制不必要的隐私数据收集;网络传输对应V2,组件通信对应V4,代码完整性对应V5。因此选B。
二、多项选择题(共10题,每题2分,共20分)
Android四大组件中,可能存在安全风险的有?
A.Activity
B.Serv
您可能关注的文档
- 2025年心理健康指导师考试题库(附答案和详细解析)(1028).docx
- 2025年安全开发生命周期专家考试题库(附答案和详细解析)(1101).docx
- 2025年智慧城市设计师考试题库(附答案和详细解析)(1030).docx
- 2025年量化金融证书(CQF)考试题库(附答案和详细解析)(1010).docx
- 2025年注册安全工程师考试题库(附答案和详细解析)(1031).docx
- 2025年增强现实设计师考试题库(附答案和详细解析)(1028).docx
- 2025年会计专业技术资格考试题库(附答案和详细解析)(1030).docx
- 2025年ESG分析师认证(CESGA)考试题库(附答案和详细解析)(1015).docx
- 2025年游戏引擎开发师考试题库(附答案和详细解析)(1021).docx
- 2025年摄影师职业资格考试题库(附答案和详细解析)(1026).docx
- 初中英语人教版七年级上册第四单元Where is my schoolbag ! Section A .ppt
- 初中英语人教版七年级上册第四单元Where is my schoolbag Section B 2.ppt
- 初中英语人教版七年级下册 Unit 6 I'm watching TV. Section A 11a.pptx
- 注册土木工程师培训课件.ppt
- 初中生物济南版七年级上册第一章奇妙的生命现象 第三节生物学的探究方法.ppt
- 初中英语人教版七年级上册第四单元Where is my schoolbag Section B 2.pptx
- 注册安全工程师案例课件.ppt
- 初中物理人教版八年级上册第二章第4节噪声的危害和控制课件(共19张PPT).pptx
- 注册安全工程师王阳课件.ppt
- 初中数学青岛版八年级上2.4《线段的垂直平分线》课件(16张PPT).ppt
文档评论(0)