原创力文档- 0
- 0
- 约8.6千字
- 约 11页
- 2026-02-07 发布于江苏
- 举报
移动安全工程师考试试卷(总分100分)
一、单项选择题(共10题,每题1分,共10分)
以下Android组件中,因默认导出(android:exported未显式设置)最易引发跨应用攻击的是?
A.Activity
B.Service
C.BroadcastReceiver
D.ContentProvider
答案:C
解析:Android12(API31)之前,若未显式设置android:exported属性,BroadcastReceiver默认导出(值为true),攻击者可通过发送广播触发恶意逻辑;Activity和Service默认导出需依赖intent-filter是否存在,ContentProvider默认导出为false(需显式设置为true)。因此BroadcastReceiver的默认风险最高。
iOS应用沙盒机制的核心作用是?
A.限制应用间数据共享
B.加速应用运行效率
C.提升应用图形渲染能力
D.支持后台多任务处理
答案:A
解析:iOS沙盒(Sandbox)通过文件系统权限隔离,限制应用仅能访问自身目录下的文件,防止应用间非法数据窃取;其他选项与沙盒机制无关。
移动应用中“代码混淆”技术主要用于防御以下哪种攻击?
A.重放攻击
B.逆向工程
C.中间人攻击
D.SQL注入
答案:B
解析:代码混淆(Obfuscation)通过修改代码结构、重命名类/方法等方式,增加逆向分析难度;重放攻击需校验请求唯一性,中间人攻击依赖HTTPS证书校验,SQL注入需输入过滤,均与混淆无关。
以下哪种漏洞属于移动应用客户端逻辑漏洞?
A.服务端SQL注入
B.客户端越权访问
C.网络传输未加密
D.证书未校验
答案:B
解析:客户端越权访问(如未校验用户权限直接调用敏感接口)属于客户端逻辑缺陷;服务端漏洞、传输层问题、证书问题分别属于服务端安全、通信安全范畴。
Android应用使用WebView加载外部网页时,最易引发的安全风险是?
A.代码注入(XSS)
B.内存泄漏
C.应用崩溃
D.电池消耗过快
答案:A
解析:未禁用JavaScript接口或未限制加载域的WebView,攻击者可通过注入恶意JS代码获取客户端敏感数据(如Cookies、本地存储);其他选项为性能或稳定性问题,非安全风险。
以下哪项是移动恶意软件的“持久化”技术?
A.加密通信
B.自启动机制
C.代码混淆
D.反调试检测
答案:B
解析:持久化(Persistence)指恶意软件通过注册系统服务、广播接收器等方式,在设备重启后自动运行;自启动机制是典型实现方式。其他选项分别为通信保护、逆向防护、调试防护技术。
iOS应用若未开启“ATS(AppTransportSecurity)”,默认允许的HTTP通信版本是?
A.HTTP/1.0
B.HTTP/1.1
C.HTTPS
D.任意版本
答案:B
解析:ATS默认强制使用HTTPS,但未开启时允许HTTP/1.1通信;HTTP/1.0已被淘汰,HTTPS是强制要求(未开启时不强制)。
移动应用使用SharedPreferences存储敏感数据时,最基本的防护措施是?
A.加密存储
B.设置为私有模式(MODE_PRIVATE)
C.限制存储大小
D.定期清理数据
答案:B
解析:SharedPreferences默认存储在/data/data/包名/shared_prefs目录下,若未设置MODE_PRIVATE(默认值为私有),其他应用可通过ContentProvider或root权限读取;加密是进一步防护,非最基本要求。
以下哪种工具常用于Android应用的静态代码分析?
A.Frida
B.Apktool
C.Charles
D.Xposed
答案:B
解析:Apktool用于反编译APK获取源码和资源文件,属于静态分析工具;Frida和Xposed是动态调试工具,Charles是抓包工具。
移动支付类应用的“二次确认”功能主要防御哪种攻击?
A.钓鱼攻击
B.重放攻击
C.越权操作
D.数据篡改
答案:D
解析:二次确认通过用户输入验证码或密码,验证交易信息未被篡改(如金额、收款人被中间人修改);重放攻击需时间戳或随机数校验,越权操作需权限校验。
二、多项选择题(共10题,每题2分,共20分)
以下属于移动应用“组件暴露”安全风险的有?
A.Activity未限制intent-filter导致任意应用调用
B.Service设置android:exported=true且无权限校验
C.BroadcastReceiver动态注册但未取消注册
D.ContentProvider未设置an
您可能关注的文档
- 2025年大数据工程师职业资格认证考试题库(附答案和详细解析)(1222).docx
- 2025年度中国电影总票房518.32亿.docx
- 2026年商业分析师考试题库(附答案和详细解析)(0101).docx
- 2026年微软认证考试题库(附答案和详细解析)(0107).docx
- 2026年注册节能评估师考试题库(附答案和详细解析)(0103).docx
- 5的区域传输特征.docx
- 6名大学生坠落事故原因.docx
- “被套住了才开始研究”,买“新三金”理财的年轻人赚到钱了吗?.docx
- 三江源湿地退化的遥感监测与修复.docx
- 中医针灸的经络理论.docx
- 中国国家标准 GB/Z 37551.300-2026海洋能 波浪能、潮流能及其他水流能转换装置 第300部分:河流能转换装置发电性能评估.pdf
- GB/T 44937.3-2025集成电路 电磁发射测量 第3部分:辐射发射测量 表面扫描法.pdf
- 中国国家标准 GB/T 44937.3-2025集成电路 电磁发射测量 第3部分:辐射发射测量 表面扫描法.pdf
- 《GB/T 44937.3-2025集成电路 电磁发射测量 第3部分:辐射发射测量 表面扫描法》.pdf
- 中国国家标准 GB/T 44937.1-2025集成电路 电磁发射测量 第1部分:通用条件和定义.pdf
- GB/T 44937.1-2025集成电路 电磁发射测量 第1部分:通用条件和定义.pdf
- 《GB/T 44937.1-2025集成电路 电磁发射测量 第1部分:通用条件和定义》.pdf
- 中国国家标准 GB/T 4937.37-2025半导体器件 机械和气候试验方法 第37部分:采用加速度计的板级跌落试验方法.pdf
- 《GB/T 4937.10-2025半导体器件 机械和气候试验方法 第10部分:机械冲击 器件和组件》.pdf
- 中国国家标准 GB/T 44937.2-2025集成电路 电磁发射测量 第2部分:辐射发射测量TEM小室和宽带TEM小室法.pdf
文档评论(0)