2026年移动安全工程师考试题库（附答案和详细解析）（0101）.docxVIP

移动安全工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

移动应用最常见的注入类安全威胁是？

A.SQL注入

B.数据泄露

C.越权访问

D.钓鱼攻击

答案：A

解析：注入攻击（如SQL注入、命令注入）是移动应用最常见的攻击类型，攻击者通过构造恶意输入绕过应用逻辑。B选项数据泄露是结果而非攻击手段；C选项越权访问属于权限管理问题；D选项钓鱼攻击属于社会工程学范畴。

Android中控制Activity是否可被其他应用调用的关键属性是？

A.android:permission

B.android:exported

C.android:enabled

D.android:process

答案：B

解析：android:exported属性直接控制组件是否可被其他应用调用（true为允许，false为禁止）。A选项用于设置访问组件所需权限；C选项控制组件是否启用；D选项指定组件运行的进程。

iOS沙盒机制的核心作用是？

A.限制应用访问系统敏感资源

B.提升应用运行速度

C.增强图形处理能力

D.优化电池续航

答案：A

解析：沙盒机制通过文件系统隔离，限制应用仅能访问自身目录及授权的系统资源（如相机、定位），防止应用间数据越界访问。B、C、D均为系统优化功能，非沙盒核心目标。

以下哪种工具常用于Android应用的静态反编译？

A.Frida

B.JD-GUI

C.Apktool

D.Charles

答案：C

解析：Apktool是Android专用反编译工具，可将APK还原为Smali代码和资源文件。A选项Frida用于动态调试；B选项JD-GUI是Java反编译工具；D选项Charles用于抓包分析。

移动应用使用HTTPS时，最易被利用的漏洞是？

A.TLS版本过低（如TLS1.0）

B.证书链完整

C.启用HSTS

D.客户端校验证书

答案：A

解析：TLS1.0及以下版本存在已知漏洞（如POODLE攻击），已被主流浏览器弃用。B、C、D均为增强HTTPS安全性的措施。

以下哪项不属于移动设备的硬件安全特性？

A.安全芯片（SE）

B.可信执行环境（TEE）

C.应用沙盒

D.硬件加密引擎

答案：C

解析：应用沙盒是操作系统（如Android/iOS）提供的软件级隔离机制；A、B、D均为硬件或硬件辅助的安全特性。

移动应用中，存储用户token的最安全方式是？

A.明文存储在SharedPreferences

B.加密存储在内部存储

C.存储在SD卡明文文件

D.硬编码在代码中

答案：B

解析：内部存储（/data/data/包名）仅应用自身可访问，结合加密（如AES）可有效保护token。A、C会导致数据暴露；D易被反编译获取。

Android中，广播接收器（BroadcastReceiver）的主要安全风险是？

A.布局文件未加密

B.未限制接收的广播类型

C.图片资源重复

D.代码混淆不彻底

答案：B

解析：未限制接收类型（如未使用IntentFilter过滤）可能导致接收恶意广播（如钓鱼链接）。A、C属于资源优化问题；D属于代码保护问题。

iOS应用的代码签名机制主要用于？

A.防止应用被反编译

B.验证应用来源合法性

C.提升应用运行效率

D.加密应用数据

答案：B

解析：苹果通过代码签名（使用开发者证书）确保应用来自可信开发者，防止篡改或恶意应用安装。A需依赖代码混淆/加固；C、D与签名无关。

移动应用进行OAuth2.0授权时，最易导致token泄露的场景是？

A.使用HTTPS传输

B.重定向URI未校验

C.客户端存储token为加密形式

D.启用PKCE扩展

答案：B

解析：未校验重定向URI时，攻击者可伪造回调地址截获授权码或token。A、C、D均为增强安全性的措施。

二、多项选择题（共10题，每题2分，共20分）

AndroidService组件的常见安全风险包括？

A.未设置android:exported=“false”

B.Binder通信未校验调用方身份

C.后台持续运行导致资源消耗

D.布局文件未加密

答案：ABC

解析：A选项可能导致其他应用恶意调用Service；B选项可能被注入恶意参数；C选项可能引发ANR或耗电异常。D属于资源安全问题，与Service无关。

移动应用数据存储的安全防护措施包括？

A.敏感数据使用AES加密存储

B.内部存储文件权限设置为仅应用可读

C.重要数据存储在SD卡公共目录

D.使用SQLite时开启WAL模式

答案：AB

解析：A通过加密增强数据机密性；B通过文件权限限制访问范围。C会导致数据暴露（SD卡可被其他应用访问）；D是数据库性