2025年信息系统安全专家移动应用安全配置管理专题试卷及解析.pdfVIP

2025年信息系统安全专家移动应用安全配置管理专题试卷及解析1

2025年信息系统安全专家移动应用安全配置管理专题试卷

及解析

2025年信息系统安全专家移动应用安全配置管理专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在移动应用安全配置管理中，以下哪项配置最容易被攻击者利用进行中间人攻

击？

A、禁用TLS证书固定

B、启用代码混淆

C、设置应用沙箱

D、启用ProGuard优化

【答案】A

【解析】正确答案是A。禁用TLS证书固定会导致应用无法验证服务器证书的真实

性，攻击者可以轻易伪造证书进行中间人攻击。B选项代码混淆是保护措施，C选项沙

箱是系统级安全机制，D选项ProGuard是代码优化工具，这三项都不会直接导致中间

人攻击风险。知识点：移动应用网络安全配置。易错点：容易混淆代码混淆与网络安全

配置的区别。

2、Android应用中，以下哪种配置会导致应用数据被其他应用非法访问？

A、设置android:exported=“false”

B、使用MODE_PRIVATE存储模式

C、设置android:debuggable=“true”

D、启用网络安全配置

【答案】C

【解析】正确答案是C。设置debuggable为true会暴露应用内部信息，包括敏感数

据。A选项禁止导出组件是安全配置，B选项私有存储模式是正确的数据保护方式，D

选项网络安全配置是安全增强措施。知识点：Android应用安全配置。易错点：容易忽

略debuggable标志的安全影响。

3、iOS应用中，以下哪种配置会违反AppStore审核指南？

A、使用ATS(AppTransportSecurity)

B、禁用任意加载(AllowArbitraryLoads)

C、使用私有API

D、启用代码签名

【答案】C

【解析】正确答案是C。使用私有API违反AppStore审核指南，可能导致应用被

拒绝。A、B、D都是推荐的安全配置。知识点：iOS应用安全规范。易错点：容易混淆

2025年信息系统安全专家移动应用安全配置管理专题试卷及解析2

私有API与公开API的使用限制。

4、移动应用安全配置中，以下哪种方式最有效防止逆向工程？

A、启用ProGuard

B、设置minifyEnabledtrue

C、使用代码混淆+加壳保护

D、禁用日志输出

【答案】C

【解析】正确答案是C。代码混淆+加壳保护是组合防护措施，比单一方法更有效。

A、B都是代码混淆的配置，D只是信息隐藏措施。知识点：移动应用反逆向技术。易

错点：容易低估组合防护的重要性。

5、Android应用中，以下哪种配置会导致WebView安全漏洞？

A、启用JavaScript接口

B、禁用文件域访问

C、设置allowFileAccessfalse

D、使用HTTPS加载内容

【答案】A

【解析】正确答案是A。启用JavaScript接口可能导致JavaScript调用本地代码，

造成安全风险。B、C、D都是安全配置。知识点：WebView安全配置。易错点：容易

忽视JavaScript接口的安全风险。

6、移动应用安全配置中，以下哪种存储方式最不安全？

A、SharedPreferences

B、KeyChain

C、Keystore

D、明文存储在SD卡

【答案】D

【解析】正确答案是D。明文存储在SD卡完全暴露数据，是最不安全的方式。A、

B、C都有一定安全机制。知识点：移动应用数据存储安全。易错点：容易低估SD卡

存储的风险。

7、iOS应用中，以下哪种配置会导致应用被拒绝？

A、使用ATS

B、启用Bitcode

C、获取非必要权限

D、使用Swift语言