原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
2025年信息系统安全专家移动应用威胁建模专题试卷及解析
2025年信息系统安全专家移动应用威胁建模专题试卷及解析
第一部分:单项选择题(共10题,每题2分)
1、在移动应用威胁建模中,STRIDE模型中的“欺骗(Spoofing)”威胁主要指什么?
A、未经授权访问敏感数据
B、冒充合法用户或系统组件
C、拒绝服务攻击
D、篡改应用数据
【答案】B
【解析】正确答案是B。STRIDE模型中的欺骗(Spoofing)是指攻击者冒充合法用户、设备或系统组件以获取未授权访问。A选项属于信息泄露(InformationDisclosure),C选项是拒绝服务(DenialofService),D选项是篡改(Tampering)。知识点:STRIDE威胁模型分类。易错点:容易将欺骗与篡改混淆,前者关注身份伪造,后者关注数据完整性破坏。
2、移动应用进行威胁建模时,以下哪个阶段最适合使用数据流图(DFD)?
A、代码实现阶段
B、需求分析阶段
C、系统设计阶段
D、测试部署阶段
【答案】C
【解析】正确答案是C。数据流图(DFD)是威胁建模的核心工具,通常在系统设计阶段使用,用于可视化数据流和识别潜在威胁点。A和B阶段过于早期,D阶段已错过最佳建模时机。知识点:威胁建模生命周期。易错点:误认为DFD适用于需求分析阶段,实际上它需要系统架构设计信息作为输入。
3、在Android应用中,以下哪种权限最容易被滥用导致本地数据泄露?
A、INTERNET
B、CAMERA
C、READ_EXTERNAL_STORAGE
D、VIBRATE
【答案】C
【解析】正确答案是C。READ_EXTERNAL_STORAGE权限允许应用读取设备存储,若被恶意应用滥用可直接窃取用户文件。A权限涉及网络通信,B权限涉及摄像头,D权限仅控制振动,风险较低。知识点:Android权限模型。易错点:容易忽视存储权限的潜在危害,认为网络权限风险最高。
4、移动应用威胁建模中,“威胁代理”通常指什么?
A、安全防护机制
B、可能实施攻击的实体
C、数据加密算法
D、用户身份认证系统
【答案】B
【解析】正确答案是B。威胁代理(ThreatAgent)是指可能利用系统漏洞实施攻击的实体,如黑客、恶意软件或内部人员。A、C、D均为防护措施而非攻击者。知识点:威胁建模基本概念。易错点:容易将威胁代理与威胁目标混淆。
5、以下哪种移动应用架构最易受到中间人攻击?
A、纯本地计算应用
B、使用HTTP通信的应用
C、采用双向SSL认证的应用
D、离线优先应用
【答案】B
【解析】正确答案是B。HTTP协议未加密,通信内容可被中间人窃听或篡改。A和D不涉及网络通信,C使用双向SSL认证可有效防御中间人攻击。知识点:移动应用通信安全。易错点:误认为所有网络应用都同等安全,忽视协议加密的重要性。
6、在iOS应用中,以下哪种存储方式最不安全?
A、Keychain
B、UserDefaults
C、SQLite加密数据库
D、CoreData加密存储
【答案】B
【解析】正确答案是B。UserDefaults以明文存储,易被越狱设备读取。Keychain提供硬件级加密,C和D均为加密存储方案。知识点:iOS数据存储安全。易错点:可能误认为UserDefaults适合存储敏感信息。
7、威胁建模中,“攻击面”的最佳定义是?
A、应用代码总行数
B、可能被攻击者利用的入口点集合
C、服务器硬件配置
D、用户界面元素数量
【答案】B
【解析】正确答案是B。攻击面(AttackSurface)指系统中可能被攻击者利用的所有入口点,如API端点、文件接口等。A、C、D均与攻击面定义无关。知识点:攻击面分析。易错点:容易将攻击面与漏洞数量混淆。
8、移动应用进行威胁建模时,以下哪个工具最常用?
A、Wireshark
B、MicrosoftThreatModelingTool
C、BurpSuite
D、Metasploit
【答案】B
【解析】正确答案是B。MicrosoftThreatModelingTool是专门用于威胁建模的官方工具,支持DFD绘制和STRIDE分析。A、C、D均为渗透测试工具。知识点:威胁建模工具链。易错点:可能误选渗透测试工具。
9、以下哪种移动应用漏洞最可能导致远程代码执行?
A、硬编码密钥
B、不安全的日志输出
C、WebView远程代码执行漏洞
D、弱加密算法
【答案】C
【解析】正确答案是B。WebView远程代码执行漏洞允许攻击者通过恶意网页执行任意代码。A、B、D风险相对较低。知识点:移动应用高危漏洞类型。易错点:可能低估WebView漏洞的危害性。
10、威胁建模中,“缓解措施”的主要目的是?
A、增加应用功能
B、降低威胁发
您可能关注的文档
- 2025年信息系统安全专家未成年人网络保护条例合规要求专题试卷及解析.docx
- 2025年信息系统安全专家未来病毒形态预测与防护技术前瞻专题试卷及解析.docx
- 2025年信息系统安全专家温湿度标准与监控要求专题试卷及解析.docx
- 2025年信息系统安全专家无法修复漏洞的风险接受流程与审批专题试卷及解析.docx
- 2025年信息系统安全专家无服务器架构安全加固专题试卷及解析.docx
- 2025年信息系统安全专家无密码认证的未来演进与多因素认证的关系专题试卷及解析.docx
- 2025年信息系统安全专家无密码认证技术原理与应用前景专题试卷及解析.docx
- 2025年信息系统安全专家无文件攻击与内存木马基础概念专题试卷及解析.docx
- 2025年信息系统安全专家无线网络安全策略专题试卷及解析.docx
- 2025年信息系统安全专家无线网络安全合规审计流程专题试卷及解析.docx
文档评论(0)