2026年渗透测试《移动安全》强化练习卷（含答案）.docxVIP

渗透测试《移动安全》强化练习卷（含答案）

考试时间：______分钟总分：______分姓名：______

一、选择题（每题只有一个正确答案，请将正确选项字母填入括号内）

1.在Android系统中，哪个组件通常用于提供后台服务，并且可以通过Intent接收来自其他应用的启动请求？

A.Activity

B.Service

C.BroadcastReceiver

D.ContentProvider

2.以下哪种技术通常用于在移动应用中存储敏感信息，并且相比SharedPreferences，提供了更强的加密保护？

A.SharedPreferences

B.SQLiteDatabase

C.AndroidKeystoreSystem

D.RootFilesystem

3.在进行移动应用动态分析时，如果需要拦截和修改应用与服务器之间的HTTPS通信，以下哪种工具是首选？

A.ADB

B.Frida

C.BurpSuiteMobileProxy

D.MobSF

4.某Android应用在处理用户登录时，将用户的密码以明文形式存储在本地SharedPreferences中，这主要存在哪种类型的安全风险？

A.SQL注入

B.跨站脚本（XSS）

C.敏感信息泄露

D.证书吊销

5.iOS设备上的数据保护（DataProtection）功能通常与哪种机制紧密相关，以实现在设备锁定时保护应用数据？

A.设备密码

B.TouchID/FaceID

C.FileProvider

D.MDM策略

6.以下哪种攻击方式利用了移动设备之间的近距离无线通信（如蓝牙）来窃取或干扰对方设备的数据或功能？

A.中间人攻击（Man-in-the-Middle）

B.蓝牙嗅探

C.Wi-Fi注入

D.服务器篡改

7.在移动渗透测试中，使用Frida进行插桩（Hooking）时，其核心优势在于能够？

A.直接在设备上安装恶意应用

B.修改应用的原始字节码

C.无需Root或越狱权限即可拦截和修改函数调用

D.自动生成所有类型的漏洞利用代码

8.对于一个混合移动应用（HybridApp），其前端代码通常运行在什么环境中，而后端逻辑可能通过WebView调用RESTfulAPI实现？

A.原生Android或iOS环境中

B.浏览器环境（WebView）

C.Node.js服务器端

D.AppStore或应用商店

9.在进行移动应用静态代码分析时，工具通常会扫描哪些部分来寻找硬编码的API密钥？

A.应用的二进制文件

B.源代码文件（.java/.swift等）

C.应用打包文件（APK/IPA）的META-INF目录

D.设备的运行时内存

10.某移动应用要求用户输入生日，并在本地将生日与一个随机生成的数字组合后进行哈希处理，然后将哈希值发送给服务器进行验证。这种做法可能存在的安全风险是什么？

A.哈希碰撞

B.重放攻击

C.随机数预测

D.敏感信息泄露（间接）

二、多选题（每题有多个正确答案，请将所有正确选项字母填入括号内，多选或少选均不得分）

1.以下哪些是移动应用动态分析中可能发现的后台服务通信安全问题？

A.传输的敏感数据未使用HTTPS加密

B.API接口存在SQL注入漏洞

C.服务监听了不安全的端口（如443）

D.服务器证书未经验证或使用自签名证书

2.在Android设备上，哪些组件的权限配置不当可能导致应用被恶意利用进行跨应用攻击？

A.Activity（IntentFilter配置不当）

B.BroadcastReceiver（未限制接收的Intent动作）

C.ContentProvider（共享模式设置不当）

D.Service（绑定模式为BIND_AUTO_CREATE）

3.iOS应用的安全沙盒机制主要体现在哪些方面？

A.应用数据默认只能被自身应用访问

B.应用对外部文件系统或网络有严格的访问限制

C.应用代码在沙盒内运行，无法直接访问设备硬件

D.应用可以自由安装和卸载其他应用

4.以下哪些行为可能违反移动