原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
移动安全工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
以下Android组件中,不需要在AndroidManifest.xml中声明的是?
A.Activity
B.Service
C.BroadcastReceiver(动态注册)
D.ContentProvider
答案:C
解析:Android四大组件中,Activity、Service、ContentProvider必须在清单文件中声明;BroadcastReceiver可通过静态(清单文件)或动态(代码注册)方式注册,动态注册的无需在清单文件中声明。因此选C。
iOS应用沙盒机制的核心作用是?
A.加速应用运行
B.限制应用间数据访问
C.提升图形渲染性能
D.强制使用HTTPS通信
答案:B
解析:iOS沙盒机制通过文件系统隔离,限制应用仅能访问自身目录下的文件,防止应用间非法数据访问,是iOS的核心安全机制。其他选项与沙盒无关,故选B。
移动应用中,使用SharedPreferences存储敏感信息(如token)的主要风险是?
A.数据可能被其他应用通过反射读取
B.存储容量有限
C.数据加密导致读取延迟
D.系统升级后自动清空
答案:A
解析:SharedPreferences默认存储为XML文件(/data/data/包名/shared_prefs/),若未设置MODE_PRIVATE权限(默认已设置),或通过反射绕过权限,其他应用可能读取数据。B是容量问题,非安全风险;C、D不符合实际场景,故选A。
以下哪项是移动应用通信安全的基础防护措施?
A.使用混淆工具(如ProGuard)
B.对请求参数进行RSA加密
C.启用HTTPS并校验证书
D.限制应用后台运行时长
答案:C
解析:通信安全的核心是防止中间人攻击,HTTPS(TLS加密)+证书校验是基础防护。A是代码安全措施;B是增强加密,但需HTTPS为基础;D与通信无关,故选C。
AndroidWebView组件的默认配置中,最可能导致安全风险的是?
A.启用JavaScript接口(addJavascriptInterface)
B.支持文件访问(setAllowFileAccess)
C.禁用DOM存储(setDomStorageEnabled(false))
D.限制跨域访问(setAllowUniversalAccessFromFileURLs(false))
答案:A
解析:未做安全限制的JavaScript接口可能被注入恶意JS代码,通过反射调用Android方法(如获取敏感信息),是WebView最常见的安全漏洞。B默认启用但风险较低;C、D是安全配置,故选A。
iOS应用中,Keychain存储的敏感数据默认采用哪种加密方式?
A.AES-256
B.DES
C.无加密(明文)
D.基于设备硬件的加密(如SecureEnclave)
答案:D
解析:iOSKeychain依赖设备的安全芯片(SecureEnclave),数据加密与设备绑定,无法通过普通逆向手段获取明文。A、B是算法类型,非Keychain默认方式;C错误,故选D。
移动应用重放攻击的主要防范手段是?
A.使用HTTPS加密
B.添加时间戳+随机数+签名
C.限制请求频率
D.对请求体进行压缩
答案:B
解析:重放攻击是攻击者截获并重复发送合法请求,防范需确保请求唯一性。时间戳(防过期)+随机数(防重复)+签名(防篡改)可解决。A防窃听但不防重放;C是限流,非根本防范;D无关,故选B。
以下哪种工具主要用于移动应用的动态安全检测?
A.JD-GUI(反编译工具)
B.MobSF(移动安全框架)
C.Charles(抓包工具)
D.AndroBugs(静态分析工具)
答案:C
解析:动态检测需在应用运行时分析,Charles可拦截、修改网络请求,属于动态检测。A、D是静态分析;B是综合框架,包含静动态检测,故选C。
以下Android权限中,属于危险权限的是?
A.ACCESS_NETWORK_STATE
B.READ_EXTERNAL_STORAGE
C.INTERNET
D.ACCESS_WIFI_STATE
答案:B
解析:Android危险权限涉及用户隐私(如存储、位置、相机),需用户手动授权;普通权限(如A、C、D)自动授予。READ_EXTERNAL_STORAGE属于危险权限,故选B。
移动应用加固的核心目标是?
A.减少安装包体积
B.防止逆向工程获取源码
C.提升应用启动速度
D.优化电池续航
答案:B
解析:加固通过代码混淆、加壳、反调试等技术,增加逆向难度,保护源码和逻辑。A、C、D是优化目标,非
文档评论(0)