2025年信息系统安全专家移动应用安全威胁建模专题试卷及解析.pdfVIP

2025年信息系统安全专家移动应用安全威胁建模专题试卷及解析1

2025年信息系统安全专家移动应用安全威胁建模专题试卷

及解析

2025年信息系统安全专家移动应用安全威胁建模专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在移动应用威胁建模中，STRIDE模型中的“T”代表什么？

A、欺骗（Spoofing）

B、篡改（Tampering）

C、抵赖（Repudiation）

D、威胁（Threat）

【答案】D

【解析】正确答案是D。STRIDE是微软提出的威胁建模分类方法，其中T代表

Threat（威胁），其他字母分别代表Spoofing（欺骗）、Tampering（篡改）、Repudiation

（抵赖）、InformationDisclosure（信息泄露）和DenialofService（拒绝服务）。知识点：

威胁建模基础概念。易错点：容易将STRIDE中的字母与具体威胁类型混淆。

2、移动应用中，哪种攻击方式最可能导致用户敏感信息泄露？

A、SQL注入

B、中间人攻击

C、跨站脚本攻击

D、缓冲区溢出

【答案】B

【解析】正确答案是B。中间人攻击在移动应用场景下尤其危险，攻击者可以拦截

和篡改应用与服务器之间的通信，直接获取用户敏感信息。SQL注入和XSS主要针对

Web应用，缓冲区溢出在移动端相对较少见。知识点：移动应用安全威胁类型。易错点：

容易忽略移动应用特有的网络通信风险。

3、在Android应用安全中，下列哪项不是有效的数据存储加密方式？

A、使用AndroidKeystore系统

B、直接硬编码密钥在代码中

C、使用SQLCipher加密数据库

D、使用AES加密算法加密文件

【答案】B

【解析】正确答案是B。硬编码密钥是极其危险的做法，容易被反编译获取。Android

Keystore、SQLCipher和AES加密都是推荐的安全存储方式。知识点：移动应用数据

安全。易错点：开发者可能图方便而采用不安全的硬编码方式。

4、移动应用威胁建模中，攻击面分析主要关注什么？

2025年信息系统安全专家移动应用安全威胁建模专题试卷及解析2

A、应用的功能模块划分

B、应用与外部系统交互的所有入口点

C、应用的性能指标

D、应用的用户界面设计

【答案】B

【解析】正确答案是B。攻击面分析是威胁建模的关键步骤，需要识别所有可能被

攻击者利用的入口点，包括API接口、数据存储、网络通信等。功能模块和UI设计属

于架构设计范畴，性能指标与安全无关。知识点：威胁建模方法论。易错点：容易混淆

攻击面分析与功能分析。

5、iOS应用中，下列哪种机制最有效防止动态调试？

A、代码混淆

B、使用LLVM的反调试技术

C、禁用USB调试模式

D、设置应用为发布模式

【答案】B

【解析】正确答案是B。LLVM提供的反调试技术可以直接检测和阻止调试器附加。

代码混淆只能增加逆向难度，禁用USB调试主要针对Android，发布模式虽然会优化

代码但不能防止调试。知识点：移动应用反逆向技术。易错点：容易混淆不同平台的安

全机制。

6、移动应用威胁建模中，DREAD风险评估模型中的“D”代表什么？

A、损害潜力（DamagePotential）

B、可发现性（Discoverability）

C、可利用性（Exploitability）

D、受影响用户（AffectedUsers）

【答案】A

【解析】正确答案是D。DREAD模型中D代表Damage（损害潜力），其他字母分

别代表Reproducibility（可复现性）、Exploitability（可利用性）、AffectedUsers（受影

响用户）和Discoverability（可发现性）。知识点：威胁风