1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2025年移动安全工程师考试题库(附答案和详细解析)(1217).docxVIP

2025年移动安全工程师考试题库(附答案和详细解析)(1217).docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    移动安全工程师考试试卷(总分100分)

    一、单项选择题(共10题,每题1分,共10分)

    以下哪项是移动应用最常见的安全漏洞类型?

    A.SQL注入

    B.权限滥用

    C.代码混淆不足

    D.证书校验缺失

    答案:B

    解析:移动应用常因申请不必要的敏感权限(如通讯录、位置)导致用户隐私泄露,是最常见的安全漏洞;SQL注入多发生在服务端交互场景,代码混淆不足和证书校验缺失属于防护措施不足,并非直接漏洞类型。

    Android应用安装时,系统验证的是APK的哪种签名?

    A.调试签名

    B.发布签名

    C.根签名

    D.时间戳签名

    答案:B

    解析:Android要求APK必须使用发布签名(开发者私钥生成)才能安装,调试签名仅用于开发测试阶段,系统默认不允许未签名或调试签名的APK安装。

    iOS应用沙盒的根目录是?

    A./data/data/包名

    B./var/mobile/Containers/Data/Application/UUID

    C./system/app

    D./sdcard

    答案:B

    解析:iOS沙盒目录结构为/var/mobile/Containers/Data/Application/+随机UUID;A是Android应用私有目录,C是Android系统应用目录,D是Android外部存储目录。

    常用于Android应用Java层逆向的工具是?

    A.IDAPro

    B.JEB

    C.Ghidra

    D.Charles

    答案:B

    解析:JEB支持反编译APK的dex文件为Java源码,是Java层逆向的核心工具;IDA和Ghidra主要用于Native层(so文件)分析,Charles是网络抓包工具。

    以下哪种存储方式在Android中默认是明文存储的?

    A.SharedPreferences

    B.Room数据库

    C.Keystore

    D.EncryptedSharedPreferences

    答案:A

    解析:SharedPreferences默认将数据存储为XML文件(/data/data/包名/shared_prefs),内容为明文;Room需手动配置加密,Keystore用于安全存储密钥,EncryptedSharedPreferences是AndroidJetpack提供的加密存储方案。

    移动支付中防止重复支付的主要技术手段是?

    A.双重验证

    B.防重放攻击

    C.设备指纹

    D.数字签名

    答案:B

    解析:防重放攻击通过时间戳、随机数或一次性token确保每个支付请求仅能使用一次,是防止重复支付的核心;双重验证用于身份确认,设备指纹用于识别设备,数字签名用于防篡改。

    以下哪类恶意软件通过替换合法应用图标诱导用户安装?

    A.间谍软件

    B.勒索软件

    C.钓鱼软件

    D.广告软件

    答案:C

    解析:钓鱼软件常伪装成高热度应用(如社交、支付类),通过仿冒图标和名称诱导用户安装,骗取敏感信息;间谍软件侧重窃取数据,勒索软件通过加密数据勒索,广告软件强制推送广告。

    未设置android:exported属性的Activity默认行为是?(基于Android11及以下)

    A.允许外部调用

    B.禁止外部调用

    C.根据Intent-filter自动判断

    D.需要系统权限

    答案:C

    解析:Android12之前,若未显式设置android:exported,系统默认根据是否声明Intent-filter判断:有则允许外部调用,无则禁止;Android12起默认值为false。

    iOS应用无法通过以下哪种方式获取用户位置信息?

    A.CoreLocation框架

    B.访问GPS硬件

    C.读取Wi-Fi热点信息

    D.访问设备IMEI

    答案:D

    解析:iOS系统禁止应用直接获取IMEI(国际移动设备识别码),仅能通过IDFV(应用开发商标识符)或UUID(随机生成标识符)间接标识设备;CoreLocation可通过GPS、Wi-Fi等获取位置。

    动态测试中常用于拦截网络请求的工具是?

    A.AndroidStudio

    B.Charles

    C.Jadx

    D.OWASPZAP

    答案:B

    解析:Charles是跨平台抓包工具,支持HTTP/HTTPS流量拦截与分析,是动态测试网络通信的核心工具;AndroidStudio是开发工具,Jadx是静态反编译工具,OWASPZAP是Web安全测试工具。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于移动应用安全设计原则的有?

    A.最小权限原则

    B.数据最小化原则

    C.默认拒绝原则

    D.明文存储敏感数据

    答案:ABC

    解析:安全设计原则包括“最小权限”(仅申请必要权限)、“数据最小化”(仅收集必要信息)、“默认拒绝”(组件默

    您可能关注的文档

    最近下载

    文档评论(0)

    Coisini + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >