原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
移动安全工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
以下哪项是Android应用中最易导致敏感数据泄露的组件?
A.Activity(活动)
B.Service(服务)
C.BroadcastReceiver(广播接收器)
D.ContentProvider(内容提供者)
答案:D
解析:ContentProvider用于跨应用数据共享,若未正确配置权限(如android:exported设置为true且未限制访问权限),其他应用可直接读取其暴露的数据库或文件,是敏感数据泄露的高风险组件。Activity和Service通常需显式调用或绑定,BroadcastReceiver虽可能接收外部广播,但数据泄露风险低于ContentProvider。
iOS应用沙盒机制的核心作用是?
A.限制应用间的网络通信
B.隔离应用的文件系统访问权限
C.强制应用使用HTTPS通信
D.防止应用被逆向工程分析
答案:B
解析:iOS沙盒机制通过文件系统隔离,每个应用仅能访问自身沙盒目录内的文件,无法直接访问其他应用或系统关键目录,是iOS应用安全的基础防护措施。网络通信限制由ATS(AppTransportSecurity)等机制管理,逆向防护依赖代码混淆等技术,因此ACD错误。
以下哪种工具主要用于移动应用的动态安全测试?
A.AndroBugs(静态分析工具)
B.Frida(动态插桩工具)
C.JD-GUI(Java反编译工具)
D.IDAPro(二进制分析工具)
答案:B
解析:Frida通过动态插桩技术监控应用运行时行为(如函数调用、内存数据),属于动态测试工具。AndroBugs和JD-GUI用于静态代码分析,IDAPro用于二进制逆向,因此ACD错误。
移动应用中“点击劫持”攻击主要针对以下哪种场景?
A.输入框数据窃取
B.界面元素覆盖诱导用户操作
C.网络请求重放
D.数据库SQL注入
答案:B
解析:点击劫持(Clickjacking)通过透明浮层覆盖目标按钮(如支付确认按钮),诱导用户点击非预期功能。输入框窃取多为键盘记录攻击,网络重放是中间人攻击的一种,SQL注入属于代码漏洞,因此ACD错误。
Android应用中,若未对Intent传递的数据做校验,可能导致哪种漏洞?
A.任意文件读取
B.跨站脚本攻击(XSS)
C.组件劫持(IntentHijacking)
D.拒绝服务(DoS)
答案:C
解析:未校验的Intent可能被恶意应用截获(如注册相同Action的BroadcastReceiver),导致敏感操作被劫持执行(如发送短信)。任意文件读取多因文件权限配置不当,XSS常见于WebView场景,DoS通常由资源耗尽引起,因此ABD错误。
iOS应用签名机制的主要目的是?
A.防止应用被反编译
B.验证应用开发者身份及完整性
C.加密应用安装包
D.限制应用的网络访问范围
答案:B
解析:苹果通过开发者证书对应用进行数字签名,设备在安装时校验签名以确认应用来源可信且未被篡改。反编译防护需代码混淆,加密由应用自身实现,网络限制由ATS管理,因此ACD错误。
移动应用使用HTTP通信时,最基础的安全增强措施是?
A.启用HTTPS并校验证书
B.对请求参数进行Base64编码
C.限制请求频率
D.使用随机token代替明文密码
答案:A
解析:HTTP是明文传输,最基础的防护是升级HTTPS并严格校验服务器证书(防止中间人攻击)。Base64是编码非加密,频率限制防刷,token代替密码属于身份验证优化,均非最基础措施,因此BCD错误。
以下哪种行为不属于移动应用的“过度权限申请”?
A.天气应用申请读取通讯录权限
B.相机应用申请访问位置权限
C.购物应用申请发送短信权限
D.地图应用申请访问位置权限
答案:D
解析:地图应用的核心功能依赖位置服务,申请位置权限属于合理需求。其他选项中,天气应用无需通讯录、相机应用无需位置(除非需要地理标记)、购物应用无需短信权限,均属于过度权限。
Android的“意图过滤(IntentFilter)”配置不当最可能导致?
A.应用崩溃
B.敏感数据被其他应用获取
C.应用启动速度变慢
D.无法接收系统广播
答案:B
解析:IntentFilter用于声明组件可响应的Intent类型,若配置过宽松(如允许任意Action或数据类型),恶意应用可构造特定Intent触发组件执行敏感操作(如调用ContentProvider读取数据),因此选B。其他选项与配置不当无直接关联。
移动应用加固的主要目的是?
A.提升应用运行效率
B.防止代码被逆向分析和篡改
C.减少应用安
您可能关注的文档
- 2025年灾难应对心理师考试题库(附答案和详细解析)(1121).docx
- 2025年专利代理师资格考试考试题库(附答案和详细解析)(1117).docx
- 2025年注册人力资源管理师考试题库(附答案和详细解析)(1118).docx
- 2025年移动安全工程师考试题库(附答案和详细解析)(1112).docx
- 2025年注册安全工程师考试题库(附答案和详细解析)(1118).docx
- 2025年思科认证网络专家(CCIE)考试题库(附答案和详细解析)(1118).docx
- 2025年美国注册会计师(AICPA)考试题库(附答案和详细解析)(1117).docx
- 2025年国际金融市场从业资格(ICMA)考试题库(附答案和详细解析)(1114).docx
- 2025年思科认证网络专家(CCIE)考试题库(附答案和详细解析)(1119).docx
- 2025年影视编导职业资格考试题库(附答案和详细解析)(1107).docx
- Unit 6 My family第4课时 I love my family(教学课件)英语冀教版三起三年级上册2025.pptx
- 第10课 采集土壤湿度 课件 教科版信息科技八年级上册.pptx
- Unit 2 My School(复习课件)英语冀教版三起三年级上册2025.pptx
- Unit 9 Yes,I can第1课时 Song time(教学课件)英语沪教版五四制一年级上册2025.pptx
- 琼教版劳动技术 三年级上册 第四单元 第2课《擦拭公共设施》课件.pptx
- Unit 2 My school第3课时In the library(教学课件)英语冀教版三起三年级上册2025.pptx
- Unit 5 Drinks and fruitsFun time & Story time(教学课件)英语人教精通版三年级上册2025.pptx
- 第12课 警报采集结果 课件 教科版信息科技八年级上册.pptx
- 2025陕旅版英语三年级上册Unit 5 Lesson 1 Part A Let’s talk 课件.pptx
- Unit 5 About me第4课时This is me!(教学课件)英语冀教版三起三年级上册2025.pptx
文档评论(0)