1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 技工类职业技能考试

2026年移动安全工程师考试题库(附答案和详细解析)(0108).docxVIP

  • 0
  • 0
  • 约8.95千字
  • 约 11页
  • 2026-02-03 发布于江苏
  • 举报

2026年移动安全工程师考试题库(附答案和详细解析)(0108).docx

    移动安全工程师考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    以下Android组件中,因支持通过Intent跨应用调用而最易引发安全风险的是?

    A.Service

    B.Activity

    C.BroadcastReceiver

    D.ContentProvider

    答案:B

    解析:Activity通过Intent支持显式/隐式调用,若未在AndroidManifest.xml中限制android:exported属性,恶意应用可通过构造特定Intent启动敏感Activity(如支付界面),引发数据泄露或劫持风险。Service需绑定或启动,BroadcastReceiver需注册监听,ContentProvider需URI授权,三者暴露风险低于Activity。

    iOS应用沙盒机制的核心作用是?

    A.限制应用间文件共享

    B.加速应用运行效率

    C.增强应用图形渲染能力

    D.优化电池续航

    答案:A

    解析:沙盒机制通过文件系统权限隔离,限制应用仅能访问自身目录下的文件(如Documents、Library),其他应用或系统组件无权限访问,防止敏感数据跨应用泄露。B、C、D均为系统优化功能,与沙盒安全目标无关。

    移动应用中使用HTTP传输用户密码时,最直接的安全风险是?

    A.流量被中间人劫持获取明文

    B.服务器端处理逻辑漏洞

    C.客户端缓存导致泄露

    D.运营商网络延迟

    答案:A

    解析:HTTP是明文传输协议,攻击者可通过抓包工具(如Charles)截获传输中的密码。B为服务端问题,C为存储风险,D为性能问题,均非HTTP传输的直接风险。

    以下不属于移动应用反编译常见工具的是?

    A.JD-GUI

    B.Apktool

    C.IDAPro

    D.Wireshark

    答案:D

    解析:Wireshark是网络抓包工具,用于分析网络流量;JD-GUI(Java反编译)、Apktool(APK解包)、IDAPro(二进制逆向分析)均为反编译/逆向工具。

    移动支付场景中,客户端最关键的安全防护措施是?

    A.界面防劫持

    B.日志加密存储

    C.广告推送合规

    D.图片压缩优化

    答案:A

    解析:支付界面若被恶意应用劫持(如通过Overlay攻击覆盖支付界面),用户输入的密码或验证码会被窃取,直接导致资金损失。B为存储安全,C为合规要求,D为性能优化,均非支付场景核心。

    以下Android权限中,不属于敏感权限的是?

    A.读取短信(READ_SMS)

    B.访问位置(ACCESS_FINE_LOCATION)

    C.震动(VIBRATE)

    D.摄像头(CAMERA)

    答案:C

    解析:敏感权限指可能获取用户隐私或控制设备的权限(如短信、位置、摄像头),震动(VIBRATE)仅用于设备反馈,无隐私风险。

    iOS应用若未启用ATS(AppTransportSecurity),默认允许使用的协议是?

    A.HTTPS

    B.HTTP

    C.FTP

    D.SMTP

    答案:B

    解析:ATS强制应用使用HTTPS传输数据,未启用时默认允许HTTP(明文)连接,存在中间人攻击风险。

    移动应用使用SQLite存储用户信息时,最易引发的安全漏洞是?

    A.SQL注入

    B.缓冲区溢出

    C.跨站脚本(XSS)

    D.拒绝服务(DoS)

    答案:A

    解析:若代码未对用户输入做参数化处理(如直接拼接SQL语句),攻击者可通过输入恶意字符串(如;DROPTABLEuser;--)执行任意SQL命令,导致数据丢失。B为内存操作漏洞,C为Web前端漏洞,D为资源耗尽攻击,均不直接关联SQLite存储。

    以下不属于移动设备硬件安全模块的是?

    A.安卓的TEE(可信执行环境)

    B.iOS的SecureEnclave

    C.指纹识别传感器

    D.应用程序沙盒

    答案:D

    解析:沙盒是系统级软件隔离机制,TEE、SecureEnclave、指纹传感器(集成安全芯片)均为硬件/固件级安全模块,用于存储密钥、生物特征等敏感数据。

    移动应用合规性检测中,最需关注的法律依据是?

    A.《中华人民共和国网络安全法》

    B.《中华人民共和国专利法》

    C.《中华人民共和国商标法》

    D.《中华人民共和国劳动法》

    答案:A

    解析:《网络安全法》《数据安全法》《个人信息保护法》是移动应用数据收集、传输、存储的核心法律依据。B、C、D与安全合规无直接关联。

    二、多项选择题(共10题,每题2分,共20分)

    移动应用常见的代码安全风险包括?

    A.硬编码敏感信息(如APIKey)

    B.使用过时的加密算法(如DES)

    C.未校验Intent参数合法性

    D.图片资源未压缩

    答案:ABC

    解析:硬编码导致敏感信息可通过反编译获取(A);过时算法易被破

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >