1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 技工类职业技能考试

2026年移动安全工程师考试题库(附答案和详细解析)(0125).docxVIP

  • 0
  • 0
  • 约8.43千字
  • 约 12页
  • 2026-03-11 发布于上海
  • 举报

2026年移动安全工程师考试题库(附答案和详细解析)(0125).docx

    移动安全工程师考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    以下哪种行为最可能导致Android应用的组件暴露风险?

    A.Activity未设置android:exported属性

    B.使用ProGuard混淆代码

    C.开启应用分身功能

    D.集成第三方SDK

    答案:A

    解析:Android组件(如Activity、Service)的android:exported属性决定其是否可被其他应用调用。若未显式设置且无intent-filter,默认值为false;若存在intent-filter则默认值为true(Android12+强制要求显式设置)。未正确设置时可能被外部应用恶意调用(如跨应用启动攻击)。B为代码保护措施,C为功能扩展,D为常见集成操作,均不直接导致组件暴露。

    iOS应用沙盒机制的核心作用是?

    A.加速应用运行速度

    B.限制应用间数据访问权限

    C.提升图形渲染性能

    D.支持后台多任务处理

    答案:B

    解析:iOS沙盒(Sandbox)通过文件系统隔离,限制应用仅能访问自身目录下的文件及系统授权的公共资源(如相册),防止应用间非法数据窃取。A、C、D均与沙盒机制无关,属于系统优化或功能特性。

    以下哪类威胁不属于移动应用常见的客户端安全威胁?

    A.代码逆向与篡改

    B.中间人攻击(MITM)

    C.敏感数据明文存储

    D.应用内存溢出

    答案:D

    解析:内存溢出(OOM)属于应用性能问题,通常由代码逻辑错误导致,不属于安全威胁。A(逆向可获取算法/密钥)、B(网络数据被窃听)、C(本地数据泄露)均为典型客户端安全威胁。

    移动应用使用HTTPS时,若仅验证服务器证书的域名匹配,未校验证书链完整性,可能导致?

    A.拒绝服务攻击(DoS)

    B.证书锁定(CertificatePinning)失效

    C.中间人攻击成功

    D.TLS握手超时

    答案:C

    解析:证书链完整性校验确保证书由可信CA签发,若跳过此步骤,攻击者可伪造包含正确域名但未被信任的证书实施MITM。A为资源耗尽攻击,B为主动防护措施,D为网络问题,均与证书校验无关。

    Android恶意代码的“自启动”能力主要通过以下哪种组件实现?

    A.ContentProvider

    B.BroadcastReceiver

    C.View

    D.SurfaceView

    答案:B

    解析:广播接收器(BroadcastReceiver)可监听系统或应用发出的广播事件(如开机、充电),触发恶意代码自启动。A用于数据共享,C/D为界面组件,无自启动能力。

    移动设备管理(MDM)的核心功能不包括?

    A.远程擦除设备数据

    B.强制应用白名单策略

    C.监控设备硬件温度

    D.配置设备网络访问控制

    答案:C

    解析:MDM主要用于企业移动设备的安全管理,包括远程擦除(防数据泄露)、应用管控(仅允许安装合规应用)、网络限制(如禁止访问高危网站)。监控硬件温度属于设备健康管理,非安全核心功能。

    Android应用签名的主要目的是?

    A.防止应用被反编译

    B.标识开发者身份并保证应用完整性

    C.提升应用运行权限

    D.加密应用安装包

    答案:B

    解析:签名使用开发者私钥对APK哈希值加密,安装时系统用公钥验证哈希(确保APK未被篡改),并通过证书标识开发者。A需混淆/加固实现,C由权限声明控制,D非签名功能。

    以下哪种行为属于移动应用的“权限滥用”?

    A.相机应用申请相机权限

    B.天气应用申请位置权限

    C.输入法应用申请通讯录权限

    D.银行应用申请网络访问权限

    答案:C

    解析:权限滥用指应用申请与功能无关的权限(如输入法无需通讯录)。A(相机功能必需)、B(获取位置天气)、D(网络交互)均符合最小权限原则。

    移动支付场景中,“支付盾”硬件的核心作用是?

    A.加速支付交易处理

    B.存储用户生物特征信息

    C.隔离支付核心逻辑与系统环境

    D.提供Wi-Fi网络加速

    答案:C

    解析:支付盾(如华为eSE安全芯片)通过硬件安全模块(HSM)隔离支付关键代码(如密钥运算),防止被内存注入或调试攻击。A为性能优化,B为生物识别功能,D为网络优化,均非核心安全作用。

    以下工具中,专门用于Android应用静态安全检测的是?

    A.Charles

    B.AndroBugs

    C.Frida

    D.Xposed

    答案:B

    解析:AndroBugs是开源Android静态分析工具,通过扫描APK文件检测代码漏洞(如硬编码密钥、组件暴露)。A(抓包工具)、C/D(动态调试工具)用于动态分析。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于移动应用网络传输安全防护措施的是?

    A.使用HTTPS双向认证(客户端证书)

    B.对敏感参数进行AES加密后再通

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >