原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
移动安全工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
Android应用中,最容易因默认配置导致外部组件越权访问的组件是?
A.Activity
B.Service
C.BroadcastReceiver
D.ContentProvider
答案:A
解析:Android组件中,Activity默认android:exported属性为true(API31前),未显式关闭时外部应用可通过Intent启动,是最易被攻击的组件;Service默认exported为false(需显式声明),BroadcastReceiver和ContentProvider需注册或授权后才可能被外部访问。
iOS应用沙盒机制的核心限制是?
A.应用只能访问系统级公共目录
B.应用仅能访问自身沙盒内的文件和数据
C.沙盒仅限制网络请求的域名范围
D.沙盒机制仅在越狱设备上生效
答案:B
解析:iOS沙盒机制强制每个应用只能访问自身沙盒目录(包括Documents、Library等),禁止直接访问其他应用或系统根目录;A错误(公共目录需特殊权限),C错误(沙盒不限制网络域名),D错误(沙盒是iOS原生安全机制,与越狱无关)。
以下哪种移动应用数据存储方式安全性最高?
A.将密码明文存储在SharedPreferences
B.使用SQLite数据库且未设置密码
C.通过Keychain(iOS)存储敏感信息
D.将token明文写入应用缓存文件
答案:C
解析:iOSKeychain由系统加密存储,支持设备级加密(如TouchID/FaceID),安全性高于其他方式;A、B、D均为明文或弱加密存储,易被逆向获取。
移动应用中,WebView组件最常见的跨站脚本攻击(XSS)风险源于?
A.启用了JavaScript与Native代码的双向通信
B.禁用了文件访问权限
C.强制使用HTTPS协议
D.限制了可访问的域名白名单
答案:A
解析:未严格校验JavaScript接口的输入参数时,恶意网页可通过XSS注入执行Native代码(如获取敏感数据);B、C、D均为防护措施,非风险来源。
以下不属于移动应用静态安全检测工具的是?
A.AndroBugs
B.MobSF(MobileSecurityFramework)
C.Charles
D.QARK
答案:C
解析:Charles是网络抓包工具(动态分析),用于拦截HTTP/HTTPS流量;AndroBugs、MobSF、QARK均为静态分析工具,可扫描APK文件中的代码漏洞。
移动应用加固的核心目标是?
A.提升应用启动速度
B.防止逆向工程与代码篡改
C.优化应用内存占用
D.增强多设备兼容性
答案:B
解析:加固通过代码混淆、资源加密、反调试等技术,增加逆向分析难度,防止恶意篡改;A、C、D是性能优化目标,非安全加固核心。
以下哪项是Android应用签名的主要作用?
A.防止应用被安装到非官方应用商店
B.标识应用开发者身份并验证完整性
C.加密应用中的敏感资源文件
D.限制应用可调用的系统API
答案:B
解析:签名用于验证APK未被篡改(完整性)和标识开发者(身份);A错误(签名不限制安装渠道),C错误(签名不加密资源),D错误(权限由AndroidManifest控制)。
iOS应用使用企业证书分发时,最大的安全风险是?
A.证书有效期仅30天
B.安装的应用可能被苹果远程吊销
C.无法使用iOS最新系统特性
D.应用无法访问iCloud服务
答案:B
解析:企业证书分发的应用(.ipa)可被苹果通过MDM(移动设备管理)远程吊销,导致用户无法使用;A错误(企业证书有效期1年),C、D错误(与证书类型无关)。
移动应用中,防止中间人攻击(MITM)的最有效措施是?
A.使用HTTP协议代替HTTPS
B.禁用证书校验
C.实施证书固定(CertificatePinning)
D.仅允许2G/3G网络传输
答案:C
解析:证书固定将服务器公钥硬编码到应用中,强制校验匹配,防止伪造证书的MITM;A、B加剧风险,D无直接关联。
以下哪种场景符合《个人信息保护法》的“最小必要”原则?
A.天气应用要求获取用户通讯录权限
B.购物应用仅在支付时请求支付权限
C.社交应用要求获取位置权限以推荐附近用户
D.相机应用要求获取麦克风权限
答案:B
解析:最小必要原则要求仅收集完成功能所需的最少信息;A(天气无需通讯录)、D(相机无需麦克风)超出必要,C符合(位置与附近用户推荐直接相关)但非“最小必要”的典型,B是典型符合场景(支付时仅需支付权限)。
二、多项选择题(共10题,每题2分,共20分)
文档评论(0)