原创力文档- 0
- 0
- 约9.39千字
- 约 11页
- 2026-02-15 发布于江苏
- 举报
移动安全工程师考试试卷
一、单项选择题(共10题,每题1分,共10分)
以下哪项是移动应用最常见的安全威胁类型?
A.设备物理丢失
B.SQL注入攻击
C.运营商网络中断
D.系统内核漏洞
答案:B
解析:移动应用由于涉及大量用户输入和数据库交互,注入攻击(如SQL注入、代码注入)是最常见的威胁类型(OWASP移动安全顶10首位)。设备丢失(A)属于物理安全问题,网络中断(C)是通信故障,内核漏洞(D)属于系统层威胁,均非应用层最常见威胁。
Android应用中,用于防止未授权组件调用的关键安全机制是?
A.沙盒隔离
B.权限声明(AndroidManifest.xml)
C.代码混淆
D.数据加密
答案:B
解析:Android通过AndroidManifest.xml中的android:exported属性和权限声明(如android:permission)控制组件(Activity/Service等)是否可被其他应用调用。沙盒隔离(A)是系统级资源隔离,代码混淆(C)是防逆向手段,数据加密(D)保护数据存储,均不直接控制组件调用权限。
iOS应用的“沙盒机制”主要限制应用访问以下哪类资源?
A.应用自身文档目录
B.其他应用的私有目录
C.系统相册
D.设备蓝牙模块
答案:B
解析:iOS沙盒机制强制每个应用只能访问自身沙盒目录(A是允许的),禁止直接访问其他应用的私有目录(B是限制对象)。系统相册(C)和蓝牙(D)可通过系统API申请权限后访问,不属于沙盒直接限制范围。
移动应用使用HTTP协议传输敏感数据时,最直接的安全风险是?
A.流量被中间人劫持窃听
B.服务器负载过高
C.客户端内存溢出
D.应用启动速度变慢
答案:A
解析:HTTP是明文传输协议,中间人可通过抓包工具直接获取传输内容(如用户密码)。服务器负载(B)、内存溢出(C)、启动速度(D)均与传输协议无直接关联。
以下哪种工具常用于移动应用的静态安全检测?
A.Charles
B.IDAPro
C.MobSF(MobileSecurityFramework)
D.Frida
答案:C
解析:MobSF是开源移动安全检测框架,支持APK/IPA的静态分析(反编译、权限检查等)。Charles(A)是抓包工具(动态分析),IDAPro(B)是二进制逆向工具(需手动分析),Frida(D)是动态插桩工具(运行时分析)。
移动设备中,用于存储数字证书私钥的安全硬件模块是?
A.TPM(可信平台模块)
B.eMMC(嵌入式多媒体卡)
C.NAND闪存
D.SIM卡
答案:A
解析:TPM是专门用于存储密钥、数字证书并执行加密操作的安全芯片,常见于高端手机。eMMC(B)和NAND(C)是存储介质,SIM卡(D)可存储部分密钥但非专用安全模块。
以下哪项不属于移动应用的“运行时保护”技术?
A.反调试检测
B.代码虚拟化
C.日志脱敏处理
D.反动态分析
答案:C
解析:运行时保护聚焦于防止逆向分析和调试(A/B/D),日志脱敏(C)是数据输出阶段的安全措施,属于数据安全范畴,而非运行时保护。
Android的“意图(Intent)”机制最主要的安全风险是?
A.导致应用内存泄漏
B.触发跨组件脚本注入
C.未校验的外部Intent调用
D.增加应用耗电量
答案:C
解析:若应用未校验外部传入的Intent(如通过startActivity接收的Uri),可能被恶意应用利用启动敏感组件(如支付界面)或执行危险操作(如删除数据)。内存泄漏(A)是代码缺陷,脚本注入(B)多见于WebView,耗电(D)与Intent机制无关。
iOS应用若未启用ATS(AppTransportSecurity),默认允许使用以下哪种协议?
A.HTTPS1.2
B.HTTP
C.TLS1.0
D.FTP
答案:B
解析:ATS默认强制应用使用HTTPS(A/C是HTTPS支持的版本),未启用时允许HTTP(B)。FTP(D)需单独配置白名单。
移动支付场景中,“二次验证”的核心目的是?
A.提升支付界面加载速度
B.确认用户操作的真实性
C.减少服务器计算压力
D.降低流量消耗
答案:B
解析:二次验证(如短信验证码、指纹识别)通过多因素认证确认操作是用户本人发起,防止盗号后恶意支付。其他选项(A/C/D)与验证目的无关。
二、多项选择题(共10题,每题2分,共20分)
以下属于Android四大组件安全风险的有?()
A.Activity未限制启动模式导致栈溢出
B.Service未设置android:exported=false被外部调用
C.BroadcastReceiver
文档评论(0)