原创力文档- 0
- 0
- 约8.4千字
- 约 12页
- 2026-02-13 发布于江苏
- 举报
移动安全工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
以下Android组件中,默认情况下未导出(android:exported=false)且需显式配置才允许外部调用的是?
A.Activity(无intent-filter时)
B.BroadcastReceiver(静态注册)
C.ContentProvider
D.Service(无intent-filter时)
答案:A
解析:Android组件导出规则:Activity在未声明intent-filter时默认exported=false(需显式调用);静态注册的BroadcastReceiver默认exported=true;ContentProvider默认exported=true(除非显式设置);Service无intent-filter时默认exported=false。但Activity是最典型需显式控制导出的组件,故选A。
iOS应用沙盒机制主要限制的是?
A.网络访问权限
B.硬件调用权限
C.文件系统访问范围
D.后台运行时长
答案:C
解析:iOS沙盒(Sandbox)通过文件系统隔离限制应用仅能访问自身目录,网络访问由ATS(AppTransportSecurity)控制,硬件调用由权限申请控制,后台运行由系统策略限制。故选C。
移动应用逆向分析中,用于反编译APK的常用工具是?
A.IDAPro
B.jadx
C.Ghidra
D.Frida
答案:B
解析:jadx是专门用于反编译APK为Java代码的工具;IDAPro和Ghidra主要用于二进制文件静态分析;Frida是动态调试工具。故选B。
以下不属于移动应用数据存储安全风险的是?
A.SharedPreferences明文存储token
B.SQLite数据库未加密
C.使用getExternalFilesDir()存储敏感数据
D.网络请求使用HTTP协议
答案:D
解析:网络请求属于通信安全风险,其他选项均为本地存储风险(外部存储目录可能被其他应用访问)。故选D。
Android中,防止应用被调试的常用方法是?
A.禁用android:debuggable属性
B.混淆代码
C.加密资源文件
D.启用ProGuard
答案:A
解析:android:debuggable设为false可阻止调试器附加;混淆(ProGuard/R8)和资源加密主要防逆向,不直接阻止调试。故选A。
iOS应用中,用于验证代码完整性的机制是?
A.沙盒
B.代码签名
C.ATS
D.Keychain
答案:B
解析:苹果通过代码签名(CodeSigning)确保应用未被篡改,沙盒是隔离机制,ATS是网络安全策略,Keychain是安全存储工具。故选B。
移动应用中,防范SQL注入攻击的核心措施是?
A.输入数据加密
B.使用参数化查询
C.限制数据库权限
D.输出编码
答案:B
解析:参数化查询(PreparedStatement)将用户输入与SQL语句分离,从根本上防止注入;加密和编码是辅助手段。故选B。
以下哪类漏洞属于移动应用特有的安全风险?
A.XSS(跨站脚本)
B.应用组件越权
C.CSRF(跨站请求伪造)
D.缓冲区溢出
答案:B
解析:组件越权(如未导出的Activity被外部调用)是Android/iOS应用特有的风险;XSS、CSRF常见于Web应用,缓冲区溢出是底层漏洞。故选B。
移动应用合规性检测中,不属于《个人信息保护法》要求的是?
A.最小必要原则收集信息
B.明示收集目的
C.加密传输敏感信息
D.允许用户注销账号
答案:C
解析:加密传输是安全技术要求,《个人信息保护法》重点在告知同意、最小必要、用户权利(如注销)等;加密属于技术防护措施。故选C。
以下Android权限中,属于普通权限(NormalPermission)的是?
A.READ_CONTACTS
B.ACCESS_FINE_LOCATION
C.INTERNET
D.CAMERA
答案:C
解析:普通权限(无需用户授权)包括INTERNET、ACCESS_NETWORK_STATE等;危险权限(需用户授权)包括联系人、位置、相机等。故选C。
二、多项选择题(共10题,每题2分,共20分)
移动应用安全测试的常用工具包括?
A.BurpSuite
B.Charles
C.AndroBugs
D.Wireshark
答案:ABCD
解析:BurpSuite/Charles用于抓包分析;AndroBugs是自动化漏洞检测工具;Wireshark用于底层网络流量分析,均为测试常用工具。
iOS
您可能关注的文档
- 2025年专利代理师资格考试考试题库(附答案和详细解析)(1216).docx
- 2025年注册反欺诈审查师(CFE)考试题库(附答案和详细解析)(1225).docx
- 2026年RPA工程师考试题库(附答案和详细解析)(0126).docx
- 2026年信用管理师考试题库(附答案和详细解析)(0127).docx
- 2026年数据库系统工程师考试题库(附答案和详细解析)(0117).docx
- 2026年注册交通工程师考试题库(附答案和详细解析)(0122).docx
- 2026年注册核工程师考试题库(附答案和详细解析)(0127).docx
- 2026年注册给排水工程师考试题库(附答案和详细解析)(0116).docx
- 2026年通信专业技术人员职业资格考试题库(附答案和详细解析)(0129).docx
- 2026年量化金融证书(CQF)考试题库(附答案和详细解析)(0104).docx
最近下载
- 建立培育耐心资本的长期资本供应体系.docx VIP
- 轻型载货汽车(离合器及传动轴设计).pdf VIP
- 船体分段检验制造培训.pdf VIP
- ISO∕IEC 42001-2023人工智能管理体系之4:“4 组织环境-4.4 人工智能管理体系”解读、实施流程和风险描述(雷泽佳编制-2024).pdf VIP
- 船体结构检验操作手册 .pdf VIP
- 毕业设计(论文)-轻型载货汽车离合器及传动轴设计(全套图纸).pdf VIP
- ISO∕IEC 42001-2023人工智能管理体系之5:“5领导作用-5.1领导作用和承诺”解读、实施流程和风险描述(雷泽佳编制-2024).pdf VIP
- ISO∕IEC 42001-2023人工智能管理体系之19:“9 绩效评价-9.2 内部审核”解读、实施流程和风险描述(雷泽佳编制-2024) - 副本.docx VIP
- ISO∕IEC 42001-2023《信息技术-人工智能-管理体系》之7:“6策划-6.1 确定风险和机遇的措施”解读和应用指导材料(雷泽佳编制-2024A0).docx VIP
- 《ISO∕IEC 42001-2023信息技术-人工智能-管理体系》解读和应用指导材料(雷泽佳2024A0).docx VIP
文档评论(0)