1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年移动安全工程师考试题库(附答案和详细解析)(1201).docxVIP

2025年移动安全工程师考试题库(附答案和详细解析)(1201).docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    移动安全工程师考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    以下哪项是Android应用的四大核心组件之一?

    A.Fragment(碎片)

    B.Service(服务)

    C.View(视图)

    D.Adapter(适配器)

    答案:B

    解析:Android四大核心组件为Activity(活动)、Service(服务)、BroadcastReceiver(广播接收器)、ContentProvider(内容提供者)。Fragment是轻量级界面组件,View是UI元素基类,Adapter是数据适配工具,均不属于核心组件。

    以下哪种攻击方式主要针对移动应用客户端代码逻辑漏洞?

    A.DDoS攻击(分布式拒绝服务)

    B.SQL注入攻击

    C.ARP欺骗(地址解析协议欺骗)

    D.DNS劫持(域名系统劫持)

    答案:B

    解析:SQL注入攻击通过客户端输入恶意SQL语句攻击应用数据库,属于客户端逻辑漏洞利用。DDoS、ARP欺骗、DNS劫持均为网络层攻击,主要针对服务器或网络通信链路。

    移动应用中常用的对称加密算法是?

    A.RSA

    B.AES

    C.SHA-256

    D.TLS

    答案:B

    解析:AES(高级加密标准)是典型的对称加密算法,加密和解密使用相同密钥。RSA是非对称加密算法,SHA-256是哈希算法,TLS是安全传输协议,均不符合“对称加密”定义。

    iOS应用的代码签名机制主要用于防止?

    A.应用被反编译

    B.应用被篡改

    C.应用数据泄露

    D.应用崩溃

    答案:B

    解析:iOS代码签名通过开发者私钥对应用签名,AppStore/设备用公钥验证签名完整性,防止应用被非法篡改。反编译需依赖代码混淆,数据泄露需依赖加密,崩溃需依赖异常处理,均非签名核心目的。

    以下哪项不属于移动设备的硬件安全防护技术?

    A.安全芯片(SE,SecureElement)

    B.TPM(可信平台模块)

    C.应用沙箱(Sandbox)

    D.指纹识别传感器

    答案:C

    解析:应用沙箱是操作系统层面的软件隔离机制,属于软件安全技术。安全芯片、TPM、指纹传感器均为硬件级安全防护技术。

    移动应用使用HTTP协议传输敏感数据时,最直接的风险是?

    A.数据被中间人截获

    B.数据被重复提交

    C.服务器响应延迟

    D.客户端内存溢出

    答案:A

    解析:HTTP是明文传输协议,中间人可直接截获并读取数据内容。重复提交、延迟、内存溢出与协议无关,属于业务逻辑或性能问题。

    Android应用中,若未对ContentProvider设置android:exported=false,可能导致?

    A.应用无法启动

    B.跨应用数据泄露

    C.界面布局错乱

    D.后台服务崩溃

    答案:B

    解析:android:exported控制组件是否可被其他应用调用。未设置为false时,其他应用可通过ContentProvider访问本应用数据,导致泄露。其他选项与组件导出属性无关。

    以下哪种工具主要用于移动应用的动态安全测试?

    A.JD-GUI(Java反编译工具)

    B.AndroBugs(静态分析工具)

    C.Charles(抓包工具)

    D.ProGuard(代码混淆工具)

    答案:C

    解析:Charles通过代理拦截应用网络流量,属于动态测试工具。JD-GUI、AndroBugs用于静态代码分析,ProGuard用于代码保护,均非动态测试。

    移动支付类应用中,“二次确认”功能主要防范哪种风险?

    A.钓鱼APP仿冒

    B.用户误操作支付

    C.设备Root/越狱

    D.通信数据篡改

    答案:B

    解析:二次确认通过用户再次输入密码或验证身份,防止因误触、快速操作等导致的错误支付。钓鱼仿冒需依赖应用签名校验,Root/越狱需依赖设备检测,数据篡改需依赖加密,均非二次确认的核心目标。

    以下哪项是移动安全中的“越权访问”典型场景?

    A.用户A查看用户B的订单信息

    B.应用请求未声明的敏感权限

    C.恶意APP窃取剪切板内容

    D.手机SIM卡被复制

    答案:A

    解析:越权访问指用户通过漏洞访问未授权的资源(如查看他人数据)。未声明权限属于权限滥用,窃取剪切板属于数据窃取,SIM卡复制属于通信攻击,均非越权访问。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于移动应用安全加固技术的有?

    A.代码混淆(Obfuscation)

    B.资源加密(ResourceEncryption)

    C.反调试(Anti-Debug)

    D.单元测试(UnitTesting)

    答案:ABC

    解析:代码混淆通过重命名类/方法隐藏逻辑,资源加密防止图片/配置文件被逆向,反调试阻止调试工具分析,均为加固技术。单元测试是功能测试手段,与安全加固无关。

    移动设备的“设备绑

    您可能关注的文档

    最近下载

    文档评论(0)

    level来福儿 + 关注
    实名认证
    文档贡献者

    二级计算机、经济专业技术资格证持证人

    好好学习

    咨询Ta 进入空间
    领域认证该用户于2025年09月05日上传了二级计算机、经济专业技术资格证

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >