2025年信息系统安全专家移动应用安全漏洞利用与防御专题试卷及解析.pdfVIP

2025年信息系统安全专家移动应用安全漏洞利用与防御专题试卷及解析1

2025年信息系统安全专家移动应用安全漏洞利用与防御专

题试卷及解析

2025年信息系统安全专家移动应用安全漏洞利用与防御专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在Android应用安全中，以下哪种漏洞最可能导致应用数据被恶意应用非法读

取？

A、SQL注入

B、组件暴露

C、不安全的数据存储

D、硬编码敏感信息

【答案】C

【解析】正确答案是C。不安全的数据存储（如使用SharedPreferences存储敏感信

息未加密）会导致数据被root用户或恶意应用直接读取。A选项SQL注入主要针对数

据库查询；B选项组件暴露可能导致应用被恶意调用但不直接导致数据泄露；D选项硬

编码信息虽危险但需逆向工程才能获取。知识点：Android数据存储安全。易错点：混

淆数据存储与组件暴露的危害。

2、iOS应用中，以下哪种机制主要用于防止动态库注入攻击？

A、代码签名

B、ASLR

C、沙盒机制

D、KASLR

【答案】A

【解析】正确答案是A。代码签名确保只有经过苹果认证的动态库才能加载，是防

止注入的核心机制。B选项ASLR（地址空间布局随机化）主要防止内存溢出攻击；C

选项沙盒限制应用访问权限但不直接防止注入；D选项KASLR是内核级的ASLR。知

识点：iOS安全机制。易错点：混淆ASLR与代码签名的作用。

3、移动应用中，以下哪种加密方式最不安全？

A、AES256

B、MD5

C、RSA2048

D、SHA256

【答案】B

【解析】正确答案是B。MD5是已被证明不安全的哈希算法，易被碰撞攻击。A和

C是强加密算法；D是安全的哈希算法。知识点：加密算法安全性。易错点：混淆哈希

2025年信息系统安全专家移动应用安全漏洞利用与防御专题试卷及解析2

与加密算法的安全性。

4、Android应用的”Manifest.xml”文件中，以下哪种配置可能导致组件暴露？

A、android:exported=“true”

B、android:permission=“custom”

C、android:enabled=“false”

D、android:label=“App”

【答案】A

【解析】正确答案是A。exported=“true”会暴露组件给其他应用。B选项设置权限

可限制访问；C选项禁用组件；D选项仅设置显示名称。知识点：Android组件安全。

易错点：忽略exported属性的重要性。

5、以下哪种攻击方式主要针对移动应用的通信安全？

A、Hook攻击

B、中间人攻击

C、内存dump

D、重打包攻击

【答案】B

【解析】正确答案是B。中间人攻击窃听或篡改应用通信数据。A选项Hook攻击

用于运行时修改行为；C选项内存dump获取运行时数据；D选项重打包修改应用代

码。知识点：移动通信安全。易错点：混淆攻击目标（通信vs代码）。

6、iOS应用的Keychain存储中，以下哪种数据最不适合存储？

A、用户密码

B、设备唯一标识

C、会话令牌

D、应用配置信息

【答案】B

【解析】正确答案是B。设备唯一标识（如UDID）存储违反苹果隐私政策。A和C

是Keychain的典型用途；D选项配置信息更适合普通存储。知识点：iOS数据存储规

范。易错点：忽视隐私政策限制。

7、Android应用的ProGuard工具主要用于？

A、代码混淆

B、资源加密

C、权限管理

D、漏洞扫描

【答案】A

2025年信息系统安全专家移动应用安全漏洞利用与防御专题试卷及解析3