原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
移动安全工程师考试试卷(总分100分)
一、单项选择题(共10题,每题1分,共10分)
以下Android组件中,默认情况下最易被外部应用调用引发安全风险的是()
A.Service
B.Activity
C.BroadcastReceiver
D.ContentProvider
答案:B
解析:Android组件的android:exported属性默认值为:Activity为true(API31及以上默认false,但实际开发中未显式设置时仍可能被外部调用),其他组件默认多为false。因此Activity更易因未限制导出而被劫持(如界面劫持攻击)。
iOS应用安装时必须经过的签名验证是()
A.开发者自签名
B.Apple根证书签名
C.应用商店签名
D.设备本地证书签名
答案:B
解析:iOS采用严格的代码签名机制,所有应用必须经过Apple根证书签名(通过开发者账号或企业证书),否则无法安装到非越狱设备。应用商店签名(C)是分发渠道的附加验证,非必须。
以下属于移动应用常见注入攻击类型的是()
A.内存溢出攻击
B.SQL注入攻击
C.DLL注入攻击
D.缓冲区溢出攻击
答案:B
解析:移动应用中,由于数据库操作(如SQLite)未严格校验输入,易引发SQL注入;DLL注入(C)常见于Windows系统;内存溢出(A)和缓冲区溢出(D)属于溢出类攻击,非注入类型。
移动应用使用SharedPreferences存储用户密码时,最主要的安全风险是()
A.存储路径被篡改
B.明文存储易泄露
C.跨应用访问
D.容量限制导致数据丢失
答案:B
解析:SharedPreferences默认以XML文件明文存储数据(如未加密),若包含密码等敏感信息,攻击者通过ADB或root权限可直接读取。
移动应用使用HTTPS时,以下哪种情况可能导致中间人攻击(MITM)成功?()
A.服务器使用TLS1.2协议
B.客户端校验证书链完整性
C.客户端未校验证书域名
D.服务器启用HSTS策略
答案:C
解析:HTTPS的安全性依赖证书验证,若客户端未校验证书域名(如忽略证书错误),攻击者可伪造证书实施MITM;HSTS(D)和TLS1.2(A)是增强安全的措施。
移动恶意软件最主要的传播途径是()
A.蓝牙文件传输
B.应用商店审核漏洞
C.短信链接
D.二维码扫描
答案:B
解析:应用商店是用户获取应用的主要渠道,若审核不严(如伪装成正常应用的恶意软件),传播范围最广;其他途径(A/C/D)传播效率较低。
Android6.0(API23)及以上系统中,以下权限需要动态申请的是()
A.网络访问权限
B.读取系统日志权限
C.相机使用权限
D.访问WiFi状态权限
答案:C
解析:Android将权限分为普通权限(自动授予)和危险权限(需动态申请),相机权限(C)属于危险权限;网络访问(A)、WiFi状态(D)是普通权限;读取日志(B)属于签名权限(仅系统应用可用)。
iOS沙盒机制的核心作用是()
A.加速应用运行
B.隔离应用数据
C.提升图形性能
D.增强网络连接稳定性
答案:B
解析:iOS沙盒机制通过文件系统权限限制,确保应用仅能访问自身目录下的数据,防止跨应用数据泄露,是iOS核心安全机制之一。
移动应用加固的主要目的是()
A.提升应用启动速度
B.防止逆向工程分析
C.优化用户界面交互
D.减少内存占用
答案:B
解析:加固技术(如代码混淆、虚拟化保护)主要用于增加逆向难度,防止攻击者反编译获取源码或逻辑;其他选项(A/C/D)是性能优化目标。
根据《个人信息保护法》,移动应用收集用户信息应遵循的核心原则是()
A.尽可能多收集
B.最小必要原则
C.用户无感知收集
D.跨应用共享优先
答案:B
解析:《个人信息保护法》明确要求个人信息收集应遵循“最小必要”原则(仅收集实现功能必需的信息),其他选项违反法规要求。
二、多项选择题(共10题,每题2分,共20分)
移动应用安全测试的常见方法包括()
A.静态代码分析
B.动态行为监控
C.渗透测试
D.黑盒测试
答案:ABCD
解析:静态分析(扫描源码/APK)、动态测试(运行时抓包/日志分析)、渗透测试(模拟攻击)、黑盒测试(无源码验证功能安全)均为移动安全测试的核心方法。
以下属于移动应用敏感数据的是()
A.用户手机号
B.身份证号码
C.设备IMEI
D.银行账户信息
答案:ABCD
解析:敏感数据包括个人身份信息(手机号、身份证)、设备唯一标识(IMEI)、金融信息(银行账户),均需加密存储和传输。
Android组件可能引发的安全
您可能关注的文档
- 2025年公共营养师考试题库(附答案和详细解析)(1125).docx
- 2025年公关策划师考试题库(附答案和详细解析)(1124).docx
- 2025年执业药师资格考试考试题库(附答案和详细解析)(1127).docx
- 2025年摄影师职业资格考试题库(附答案和详细解析)(1106).docx
- 2025年数据科学专业认证(CDSP)考试题库(附答案和详细解析)(1107).docx
- 2025年无人机驾驶员执照考试题库(附答案和详细解析)(1122).docx
- 2025年注册会计师(CPA)考试题库(附答案和详细解析)(1127).docx
- 2025年注册振动工程师考试题库(附答案和详细解析)(1126).docx
- 2025年注册策划师考试题库(附答案和详细解析)(1126).docx
- 2025年游戏引擎开发师考试题库(附答案和详细解析)(1119).docx
文档评论(0)