1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年移动安全工程师考试题库(附答案和详细解析)(1116).docxVIP

2025年移动安全工程师考试题库(附答案和详细解析)(1116).docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    移动安全工程师考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    以下Android组件中,默认导出(exported=true)时最易引发外部调用风险的是?

    A.Service

    B.Activity

    C.ContentProvider

    D.BroadcastReceiver

    答案:B

    解析:Android组件中,Activity默认导出时(未显式设置android:exported=“false”),外部应用可通过Intent直接启动,易导致恶意应用劫持或数据泄露;Service默认不导出(需显式声明exported=true);ContentProvider需通过权限控制访问;BroadcastReceiver若为静态注册(AndroidManifest声明)可能被外部触发,但风险低于Activity的直接交互。

    iOS应用沙盒机制的核心作用是?

    A.限制应用间数据共享

    B.加速应用运行效率

    C.增强应用图形渲染能力

    D.提升应用后台保活能力

    答案:A

    解析:iOS沙盒机制通过文件系统隔离,限制应用仅能访问自身目录下的文件和系统授权的资源,防止应用间非法数据共享,是iOS安全的基础机制;其他选项与沙盒功能无关。

    移动应用中使用HTTP协议传输敏感数据时,最直接的安全风险是?

    A.数据被中间人篡改或窃取

    B.服务器响应速度变慢

    C.客户端内存占用增加

    D.应用兼容性下降

    答案:A

    解析:HTTP协议未加密,传输过程中数据以明文形式存在,易被中间人(MITM)攻击截获或篡改;其他选项与协议安全性无直接关联。

    以下工具中,主要用于移动应用动态调试的是?

    A.APKTool

    B.JD-GUI

    C.Frida

    D.Dex2Jar

    答案:C

    解析:Frida是动态插桩工具,支持在应用运行时修改或监控代码执行,用于动态调试;APKTool(反编译APK)、JD-GUI(查看Java源码)、Dex2Jar(Dex转Jar)均为静态分析工具。

    Android中,用于存储敏感数据的推荐组件是?

    A.SharedPreferences

    B.SQLite数据库

    C.Keystore

    D.外部存储(SD卡)

    答案:C

    解析:AndroidKeystore由系统级安全模块管理,支持硬件加密(如TEE/SE),专门用于存储密钥、证书等敏感数据;SharedPreferences和SQLite默认明文存储(需手动加密);外部存储无访问控制,风险最高。

    以下哪种攻击方式主要针对移动应用的输入验证漏洞?

    A.点击劫持(Clickjacking)

    B.SQL注入(SQLi)

    C.重放攻击(ReplayAttack)

    D.钓鱼攻击(Phishing)

    答案:B

    解析:SQL注入通过构造恶意输入绕过应用层验证,直接操作后端数据库;点击劫持利用界面覆盖诱导用户操作;重放攻击重复发送合法请求;钓鱼攻击通过伪冒界面骗取信息。

    iOS应用使用ATS(AppTransportSecurity)时,默认强制要求的最小TLS版本是?

    A.TLS1.0

    B.TLS1.1

    C.TLS1.2

    D.TLS1.3

    答案:C

    解析:iOS9及以上默认启用ATS,要求服务器使用TLS1.2及以上,且禁用SHA-1证书;TLS1.0/1.1因安全性不足被ATS拒绝。

    移动应用加固技术中,“代码混淆”的主要目的是?

    A.减少安装包体积

    B.防止静态反编译分析

    C.提升应用运行速度

    D.增强网络请求加密

    答案:B

    解析:代码混淆通过重命名类、方法、变量名,替换为无意义字符,增加逆向分析难度;减少安装包体积是压缩技术的作用;提升运行速度与混淆无关。

    以下Android权限中,属于“危险权限”的是?

    A.ACCESS_NETWORK_STATE

    B.READ_EXTERNAL_STORAGE

    C.GET_ACCOUNTS

    D.ACCESS_WIFI_STATE

    答案:B

    解析:Android危险权限涉及用户隐私(如存储、位置、相机),需在运行时动态申请;READ_EXTERNAL_STORAGE属于存储类危险权限;其他选项为普通权限(安装时自动授予)。

    移动设备管理(MDM)的核心功能不包括?

    A.设备远程锁定/擦除

    B.应用分发与黑白名单控制

    C.网络流量监控与限制

    D.提升设备硬件性能

    答案:D

    解析:MDM主要用于企业移动设备的安全管理,包括设备状态监控、策略下发(如密码复杂度)、应用管控等;提升硬件性能属于硬件优化范畴,非MDM功能。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于移动应用常见安全漏洞的有?

    A.未授权的组件访问

    B.敏感信息明文存储

    C.WebView任

    您可能关注的文档

    最近下载

    文档评论(0)

    level来福儿 + 关注
    实名认证
    文档贡献者

    二级计算机、经济专业技术资格证持证人

    好好学习

    咨询Ta 进入空间
    领域认证该用户于2025年09月05日上传了二级计算机、经济专业技术资格证

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >