1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年移动安全工程师考试题库(附答案和详细解析)(1106).docxVIP

2025年移动安全工程师考试题库(附答案和详细解析)(1106).docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    移动安全工程师考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    以下Android组件中,因默认导出属性(android:exported)配置不当最易引发越权访问的是?

    A.Service

    B.Activity

    C.BroadcastReceiver

    D.ContentProvider

    答案:B

    解析:Activity是用户与应用交互的入口,若未显式设置android:exported=“false”且未配置intent-filter,可能被其他应用通过Intent启动,导致界面劫持或数据泄露;Service和BroadcastReceiver的越权访问需特定触发条件,ContentProvider的越权通常涉及URI权限控制,因此Activity的风险最直接。

    移动应用使用HTTP协议传输敏感数据时,最核心的安全风险是?

    A.DNS劫持导致跳转到钓鱼页面

    B.中间人攻击(MITM)获取明文数据

    C.运营商劫持插入广告

    D.超时重传导致数据重复

    答案:B

    解析:HTTP协议未加密,传输过程中数据以明文形式存在,攻击者可通过ARP欺骗等方式实施中间人攻击,直接截获用户名、密码等敏感信息;其他选项虽为风险,但核心威胁是数据泄露。

    以下哪项是Android应用签名的主要目的?

    A.防止应用被反编译

    B.验证应用来源的真实性

    C.提高应用运行效率

    D.增强代码混淆效果

    答案:B

    解析:Android系统通过签名验证APK是否由开发者本人发布,确保应用未被篡改;反编译防护依赖代码加固,运行效率与签名无关,代码混淆是独立的安全措施。

    iOS应用沙盒机制的核心作用是?

    A.限制应用间的数据共享

    B.加速应用启动速度

    C.提升图形渲染性能

    D.降低应用内存占用

    答案:A

    解析:沙盒(Sandbox)为每个iOS应用分配独立存储空间,禁止应用直接访问其他应用或系统目录,防止恶意应用窃取数据;其他选项属于性能优化范畴,与安全无关。

    移动安全测试中,用于拦截和修改HTTP/HTTPS请求的常用工具是?

    A.AndroBugs

    B.Frida

    C.BurpSuite

    D.Apktool

    答案:C

    解析:BurpSuite是专业的Web安全测试工具,支持代理拦截、修改请求/响应,适用于移动应用网络层安全检测;AndroBugs是静态分析工具,Frida用于动态调试,Apktool用于反编译APK。

    以下哪种加密算法最适合移动应用本地存储敏感数据?

    A.MD5(消息摘要算法)

    B.SHA-1(安全哈希算法)

    C.AES(高级加密标准)

    D.RSA(非对称加密算法)

    答案:C

    解析:AES是对称加密算法,适合对大量数据(如用户信息、配置文件)进行加密存储,加解密效率高;MD5/SHA-1是哈希算法,用于校验数据完整性而非加密;RSA非对称加密计算开销大,不适合本地存储场景。

    Android应用的“高危权限”(如READ_CONTACTS)在API23(Android6.0)后采用的授权机制是?

    A.安装时一次性授权

    B.运行时动态授权

    C.系统自动静默授权

    D.需用户手动到设置中开启

    答案:B

    解析:Android6.0(API23)引入运行时权限机制,高危权限需在应用使用时由用户主动授权,避免安装时过度获取权限;低风险权限仍在安装时授权。

    移动应用使用WebView加载第三方网页时,最需防范的安全漏洞是?

    A.SQL注入

    B.XSS(跨站脚本攻击)

    C.CSRF(跨站请求伪造)

    D.路径遍历

    答案:B

    解析:WebView允许应用内加载HTML页面,若未禁用JavaScript或未对输入内容做安全过滤,第三方网页可通过XSS攻击获取应用上下文(如Cookies、本地存储);SQL注入针对后端数据库,CSRF需用户身份验证,路径遍历与文件系统相关,均非WebView核心风险。

    以下哪项不属于移动应用代码加固的常见手段?

    A.字符串加密

    B.代码混淆

    C.反调试检测

    D.应用多渠道打包

    答案:D

    解析:代码加固通过混淆、加密、反调试等技术提高逆向难度;多渠道打包是为不同应用市场生成差异化APK,与安全加固无关。

    iOS应用的“企业证书签名”与“AppStore签名”的主要区别是?

    A.企业证书签名的应用无需经过苹果审核

    B.企业证书签名的应用性能更优

    C.AppStore签名支持更多设备

    D.企业证书签名的应用支持调试

    答案:A

    解析:企业证书(AppleDeveloperEnterpriseProgram)允许企业内部分发应用,无需提交AppStore审核;AppStore签名的应用需通过苹果严格审核;两者在性能、设备支持、调试功能上无本质差

    您可能关注的文档

    最近下载

    文档评论(0)

    杜家小钰 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >