1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年移动安全工程师考试题库(附答案和详细解析)(1114).docxVIP

2025年移动安全工程师考试题库(附答案和详细解析)(1114).docx

此“教育”领域文档为创作者个人分享资料,不作为权威性指导和指引,仅供参考
    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    移动安全工程师考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    以下哪种攻击方式是移动应用最常见的安全威胁?

    A.数据泄露攻击

    B.SQL注入攻击

    C.钓鱼攻击

    D.DDoS攻击

    答案:B

    解析:移动应用由于广泛使用本地数据库(如SQLite)和网络接口,输入验证不严格时易触发SQL注入攻击,是OWASP移动安全十大风险中排名靠前的威胁;数据泄露多为结果而非直接攻击方式;钓鱼攻击主要针对用户端;DDoS在移动场景中较少见。

    Android应用中,若未对Activity的android:exported属性进行限制,最可能引发的安全风险是?

    A.敏感数据被其他应用读取

    B.远程代码执行

    C.跨应用组件劫持

    D.应用崩溃

    答案:C

    解析:android:exported控制Activity是否可被其他应用调用,未限制时攻击者可通过构造Intent启动该Activity,实施界面劫持(如伪造登录页面);敏感数据读取主要与ContentProvider权限相关;远程代码执行需结合其他漏洞;应用崩溃多由空指针等编码错误导致。

    iOS应用沙盒机制的核心作用是?

    A.限制应用间数据共享

    B.加速应用运行

    C.防止应用被反编译

    D.提升用户界面流畅度

    答案:A

    解析:iOS沙盒通过文件系统权限隔离,限制应用仅能访问自身目录下的文件和系统分配的资源,防止应用间非法数据共享;加速运行和界面流畅度与沙盒无关;防止反编译需依赖代码混淆等加固技术。

    移动应用使用HTTPS通信时,若仅验证服务器证书的颁发机构(CA),未校验证书域名,可能导致?

    A.中间人攻击

    B.重放攻击

    C.拒绝服务攻击

    D.跨站脚本攻击

    答案:A

    解析:未校验证书域名时,攻击者可伪造与服务器同CA但不同域名的证书,实施中间人攻击(MITM);重放攻击需截获并重复请求;拒绝服务攻击通过流量洪泛实现;跨站脚本攻击针对Web应用前端。

    以下哪种技术不属于移动应用代码加固范畴?

    A.代码混淆

    B.字符串加密

    C.应用多dex拆分

    D.反调试检测

    答案:C

    解析:代码加固的核心是增加逆向难度(混淆、加密)和对抗调试(反调试检测);多dex拆分是为解决Android方法数限制,与安全加固无关。

    移动终端设备的GPS定位数据若未加密存储,可能导致的最直接风险是?

    A.用户位置隐私泄露

    B.设备被远程控制

    C.电池快速耗尽

    D.应用功能异常

    答案:A

    解析:GPS数据直接关联用户位置信息,未加密存储时可能被恶意应用读取,导致隐私泄露;远程控制需结合其他漏洞;电池耗尽与定位功能使用频率相关;功能异常多因代码逻辑错误。

    Android的SignatureSchemeV2(APK签名方案v2)主要解决的问题是?

    A.提升APK安装速度

    B.防止APK被篡改

    C.支持更大的APK文件

    D.兼容旧版本系统

    答案:B

    解析:v2签名在APK归档层面验证完整性,相比v1(仅验证文件哈希)能更严格防止APK被篡改(如插入恶意代码);安装速度和文件大小与签名方案无关;兼容旧版本由v1+v2双签名实现。

    iOS应用若未关闭NSAllowsArbitraryLoads开关(允许HTTP请求),主要违反以下哪项安全要求?

    A.数据传输加密

    B.代码完整性

    C.权限最小化原则

    D.抗逆向能力

    答案:A

    解析:NSAllowsArbitraryLoads控制是否允许非HTTPS连接,未关闭时敏感数据可能通过明文传输,违反数据传输加密要求;代码完整性由签名保证;权限最小化涉及功能权限申请;抗逆向与代码保护相关。

    移动应用使用第三方SDK时,最需关注的安全风险是?

    A.SDK版本过旧

    B.SDK请求额外权限

    C.SDK内置广告

    D.SDK数据传输路径

    答案:B

    解析:第三方SDK可能申请与功能无关的权限(如定位SDK申请通讯录权限),导致用户隐私泄露;版本过旧可能存在已知漏洞,但需结合具体场景;内置广告属于体验问题;数据传输路径可通过HTTPS规范控制。

    以下哪种工具常用于Android应用的静态安全检测?

    A.Frida

    B.Xposed

    C.AndroBugs

    D.Charles

    答案:C

    解析:AndroBugs是静态分析工具,通过扫描APK文件检测代码级漏洞(如硬编码密钥、组件暴露);Frida/Xposed用于动态调试;Charles是抓包工具。

    二、多项选择题(共10题,每题2分,共20分)

    Android四大组件中,可能因配置不当导致安全风险的有?

    A.Activity

    B.Service

    C.BroadcastReceiver

    D.ContentProvider

    答案:ABCD

    解析:Activity未限制ex

    您可能关注的文档

    最近下载

    文档评论(0)

    eureka + 关注
    实名认证
    文档贡献者

    中国证券投资基金业从业证书、计算机二级持证人

    好好学习,天天向上

    咨询Ta 进入空间
    领域认证该用户于2025年03月25日上传了中国证券投资基金业从业证书、计算机二级

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >