原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
移动安全工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
以下Android组件中,因默认配置最易被外部恶意应用调用的是?
A.Service(服务)
B.Activity(活动)
C.ContentProvider(内容提供者)
D.BroadcastReceiver(广播接收器)
答案:B
解析:Android组件的默认安全配置中,Activity通过Intent机制支持外部调用,若未在清单文件中设置android:exported=false,恶意应用可通过构造特定Intent启动目标Activity,引发敏感操作(如支付界面);Service默认exported为false(除非声明IntentFilter),风险较低;ContentProvider需通过android:readPermission或android:writePermission控制访问;BroadcastReceiver若注册为静态接收(通过清单文件)且未限制android:exported,可能接收外部广播,但Activity的直接交互风险更高。
iOS应用沙盒机制的核心作用是?
A.限制应用间文件共享,防止越权访问
B.加速应用运行效率
C.支持应用多任务处理
D.优化系统内存管理
答案:A
解析:iOS沙盒(Sandbox)是iOS的核心安全机制,每个应用被限制在独立的文件目录中,无法直接访问其他应用或系统根目录的文件,从而防止恶意应用窃取其他应用数据或破坏系统文件;其他选项均与沙盒机制无关,加速运行、多任务处理和内存管理由iOS内核调度实现。
移动应用中使用HTTPS时,若仅验证证书域名而未验证证书颁发机构(CA),可能导致以下哪种攻击?
A.中间人攻击(MITM)
B.SQL注入攻击
C.跨站脚本攻击(XSS)
D.拒绝服务攻击(DoS)
答案:A
解析:HTTPS的安全性依赖于CA的数字签名验证。若仅验证域名而忽略CA有效性(如信任所有CA或自定义CA),攻击者可伪造包含目标域名的证书(通过钓鱼CA或自签名证书),拦截并篡改通信数据,实施中间人攻击;SQL注入针对数据库漏洞,XSS针对前端脚本漏洞,DoS通过流量洪泛攻击,均与证书验证无关。
以下不属于移动应用动态调试防护技术的是?
A.检测调试器(如Android的Debug.isDebuggerConnected())
B.代码混淆(如ProGuard)
C.反注入(如阻止LD_PRELOAD加载恶意SO库)
D.模拟器检测(如判断duct.model是否为模拟器特征值)
答案:B
解析:动态调试防护针对运行时调试行为,包括检测调试器、阻止注入、识别模拟器等;代码混淆(ProGuard/R8)是静态防护技术,通过重命名类/方法/变量增加逆向难度,属于静态代码保护,不属于动态调试防护。
移动支付类应用中,交易签名的最佳实践是?
A.在客户端使用固定密钥签名
B.客户端生成随机密钥并签名
C.客户端调用硬件安全模块(如TEE/SE)生成签名
D.服务端生成签名后发送至客户端
答案:C
解析:交易签名需确保密钥安全存储和使用。客户端固定密钥易被逆向获取(如反编译APK提取);随机密钥无持久化存储无法验证;服务端生成签名会暴露业务逻辑(如订单信息);硬件安全模块(可信执行环境TEE或安全芯片SE)通过隔离区存储密钥,防止物理/软件攻击,是最佳实践。
Android应用中,android:allowBackup=true的潜在风险是?
A.允许通过ADB备份应用数据,可能导致敏感信息泄露
B.降低应用启动速度
C.增加应用内存占用
D.导致应用与旧版本系统不兼容
答案:A
解析:allowBackup为true时,用户可通过adbbackup命令备份应用数据(包括私有目录文件),攻击者获取备份文件后可提取敏感信息(如token、用户隐私);其他选项与该属性无关,启动速度、内存占用由代码逻辑决定,兼容性由minSdkVersion等属性控制。
iOS应用使用NSURLSession发起HTTP请求时,默认的ATS(应用传输安全)策略要求是?
A.仅允许TLS1.2及以上版本,且证书符合苹果安全要求
B.允许所有HTTP请求(明文传输)
C.仅验证证书域名,不验证CA
D.强制使用POST方法传输数据
答案:A
解析:iOS9及以上默认启用ATS,要求HTTP连接必须使用TLS1.2或更高版本,且服务器证书需符合苹果的安全规范(如RSA2048位以上、ECC256位以上、证书链完整等);明文HTTP请求会被阻断(除非在Info.plist中禁用ATS)。
移动应用中,以下哪种数据存储方式安全性最高?
A.Shared
您可能关注的文档
- 2025年灾难应对心理师考试题库(附答案和详细解析)(1121).docx
- 2025年专利代理师资格考试考试题库(附答案和详细解析)(1117).docx
- 2025年注册人力资源管理师考试题库(附答案和详细解析)(1118).docx
- 2025年注册安全工程师考试题库(附答案和详细解析)(1118).docx
- 2025年思科认证网络专家(CCIE)考试题库(附答案和详细解析)(1118).docx
- 2025年美国注册会计师(AICPA)考试题库(附答案和详细解析)(1117).docx
- 2025年国际金融市场从业资格(ICMA)考试题库(附答案和详细解析)(1114).docx
- 2025年思科认证网络专家(CCIE)考试题库(附答案和详细解析)(1119).docx
- 2025年影视编导职业资格考试题库(附答案和详细解析)(1107).docx
- 2025年强化学习工程师考试题库(附答案和详细解析)(1121).docx
文档评论(0)