1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 安全工程师考试

2026年移动安全工程师考试题库(附答案和详细解析)(0109).docxVIP

  • 0
  • 0
  • 约8.72千字
  • 约 12页
  • 2026-02-01 发布于江苏
  • 举报

2026年移动安全工程师考试题库(附答案和详细解析)(0109).docx

    移动安全工程师考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    Android系统默认采用的存储加密技术是以下哪一种?

    A.文件级加密(FBE)

    B.全盘加密(FDE)

    C.硬件加密(HBE)

    D.软件加密(SBE)

    答案:B

    解析:Android自4.4版本开始默认启用全盘加密(FullDiskEncryption,FDE),对整个存储设备进行加密;文件级加密(FBE)是Android7.0引入的更细粒度加密方案,并非默认;硬件加密(HBE)和软件加密(SBE)是广义分类,非具体技术名称。

    iOS应用沙盒机制的核心作用是?

    A.允许应用访问系统所有资源

    B.限制应用仅能访问自身目录下的文件

    C.支持应用间直接数据共享

    D.提升应用运行效率

    答案:B

    解析:iOS沙盒机制通过严格的文件系统隔离,确保每个应用仅能访问自身沙盒目录内的文件(如Documents、Library等),防止应用间非法数据访问;A、C违反沙盒设计原则,D是性能优化,与沙盒无关。

    以下哪项是移动应用逆向分析的常用工具?

    A.Wireshark

    B.IDAPro

    C.Charles

    D.Postman

    答案:B

    解析:IDAPro是专业的反汇编工具,广泛用于移动应用的逆向分析;Wireshark(抓包)、Charles(HTTP代理)、Postman(接口测试)均非逆向分析核心工具。

    移动应用中“设备唯一标识(如IMEI)”属于哪类敏感数据?

    A.位置信息

    B.个人生物信息

    C.设备信息

    D.通信内容

    答案:C

    解析:IMEI(国际移动设备识别码)是设备固有标识,属于设备信息;位置信息(如GPS坐标)、生物信息(如指纹)、通信内容(如短信)均为其他敏感数据类型。

    为防止移动应用网络通信被中间人攻击,最有效的措施是?

    A.使用HTTP协议传输

    B.对请求参数进行Base64编码

    C.实施证书固定(CertificatePinning)

    D.仅在Wi-Fi环境下传输

    答案:C

    解析:证书固定通过在应用中绑定服务器公钥,防止攻击者使用伪造证书进行中间人攻击;HTTP无加密(A错误),Base64编码可被轻易解码(B错误),Wi-Fi环境无法避免攻击(D错误)。

    Android应用中,未正确配置android:exported属性的Activity可能导致?

    A.应用启动速度变慢

    B.恶意应用通过Intent启动该Activity

    C.应用无法在后台运行

    D.应用图标无法显示

    答案:B

    解析:android:exported用于控制Activity是否可被其他应用调用,若设为true(默认未指定时根据Intent过滤器判断),恶意应用可通过发送Intent启动该Activity,执行敏感操作;其他选项与该属性无关。

    移动恶意软件最常见的传播途径是?

    A.蓝牙文件传输

    B.第三方应用市场

    C.手机厂商预装

    D.短信链接

    答案:B

    解析:第三方应用市场(如非官方应用商店)因审核宽松,是恶意软件主要传播渠道;蓝牙传输(A)、短信链接(D)传播效率较低,手机厂商预装(C)受严格管控。

    移动设备管理(MDM)的核心功能不包括?

    A.远程擦除设备数据

    B.限制应用安装来源

    C.监控用户通话内容

    D.强制设置屏幕锁密码

    答案:C

    解析:MDM主要用于企业设备管理,包括远程擦除(A)、应用管控(B)、安全策略(D),但监控通话内容(C)涉及隐私侵犯,不属于合规MDM功能。

    以下哪项是移动应用静态安全分析工具?

    A.Frida

    B.AndroBugs

    C.Xposed

    D.BurpSuite

    答案:B

    解析:AndroBugs是针对Android的静态分析工具,通过扫描APK文件检测代码漏洞;Frida(动态插桩)、Xposed(框架修改)、BurpSuite(抓包测试)均为动态分析工具。

    OAuth2.0授权模式中,最适合移动应用的是?

    A.授权码模式(AuthorizationCode)

    B.简化模式(Implicit)

    C.客户端凭证模式(ClientCredentials)

    D.资源所有者密码模式(ResourceOwnerPasswordCredentials)

    答案:A

    解析:授权码模式通过后端服务器交换令牌,避免客户端直接处理密钥,符合移动应用安全需求;简化模式(B)直接返回令牌给客户端,风险较高;C用于服务端间认证,D需用户明文密码,均不适合。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于移动应用加固技术的有?

    A.代码混淆(CodeObfuscation)

    B.资源加密(ResourceEncryption)

    C.反调试(Ant

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >