1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 资格/认证考试
  5. 技工类职业技能考试

2026年移动安全工程师考试题库(附答案和详细解析)(0305).docxVIP

  • 2
  • 0
  • 约8.51千字
  • 约 11页
  • 2026-03-17 发布于上海
  • 举报

2026年移动安全工程师考试题库(附答案和详细解析)(0305).docx

    移动安全工程师考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    以下哪种工具是移动应用逆向分析的核心工具?

    A.Wireshark(网络抓包工具)

    B.IDAPro(反汇编与静态分析工具)

    C.BurpSuite(Web渗透测试工具)

    D.Charles(HTTP代理工具)

    答案:B

    解析:IDAPro是专业的反汇编工具,广泛用于移动应用的静态逆向分析,可解析二进制代码并生成伪代码;A是网络抓包工具,用于分析网络流量;C主要用于Web应用的漏洞测试;D是HTTP代理工具,用于拦截和修改HTTP/HTTPS请求。

    Android应用中,以下哪个组件的安全风险最高?

    A.Activity(界面组件)

    B.Service(后台服务)

    C.BroadcastReceiver(广播接收器)

    D.ContentProvider(内容提供者)

    答案:D

    解析:ContentProvider用于跨应用数据共享,若未正确设置访问权限(如android:exported=“true”且未验证调用者身份),可能导致敏感数据泄露;A、B、C虽可能被外部调用,但数据暴露风险低于D。

    iOS应用沙盒机制的主要目的是?

    A.提升应用运行速度

    B.限制应用间数据访问权限

    C.防止应用被逆向破解

    D.优化系统内存管理

    答案:B

    解析:沙盒机制通过文件系统隔离,限制应用仅能访问自身目录下的文件,防止应用间非法数据共享;A、D是系统优化功能,C需依赖代码保护技术(如符号混淆)实现。

    移动应用使用HTTP协议传输敏感数据时,最直接的安全风险是?

    A.中间人攻击(MITM)

    B.SQL注入攻击

    C.跨站脚本攻击(XSS)

    D.缓冲区溢出攻击

    答案:A

    解析:HTTP是明文传输协议,攻击者可通过网络嗅探获取传输内容;B是数据操作层风险,C是Web应用风险,D是代码执行层风险,均不直接由HTTP协议导致。

    以下哪种行为属于移动应用的“过度权限申请”?

    A.天气应用申请位置权限

    B.输入法应用申请存储权限

    C.相机应用申请录音权限

    D.购物应用申请网络访问权限

    答案:C

    解析:相机应用的核心功能是拍照/录像,录音权限与核心功能无直接关联,属于过度申请;A(获取地理位置用于天气)、B(存储输入记录)、D(网络请求商品数据)均为合理权限。

    Android应用的DEX文件被加固后,最直接的防护效果是?

    A.防止反编译获取源代码

    B.提升应用启动速度

    C.增强应用UI交互流畅性

    D.防止应用被卸载

    答案:A

    解析:加固技术(如代码混淆、DEX加密)通过修改二进制文件结构,使反编译工具(如dex2jar)无法生成可读源代码;B、C是性能优化范畴,D需系统级权限支持。

    iOS应用签名机制的核心作用是?

    A.验证应用开发者身份

    B.防止应用被二次打包

    C.提升应用运行权限

    D.加密应用安装包

    答案:A

    解析:苹果通过开发者证书对应用进行数字签名,系统安装时验证签名以确认开发者身份;B需结合防重打包技术(如签名校验)实现,C与签名无关,D由加密算法实现。

    移动设备Root/越狱后,最严重的安全风险是?

    A.无法安装新应用

    B.系统权限被完全开放

    C.电池续航下降

    D.屏幕分辨率降低

    答案:B

    解析:Root/越狱会绕过系统权限控制,使应用可访问系统级资源(如修改系统文件、获取所有应用数据),极大增加数据泄露风险;A、C、D是可能的副作用,但非核心风险。

    移动应用中,“敏感数据本地存储”的最佳实践是?

    A.明文存储在SharedPreferences

    B.使用AES加密后存储在内部存储

    C.存储在SD卡公共目录

    D.直接存储在SQLite数据库(不加密)

    答案:B

    解析:内部存储(应用私有目录)仅限本应用访问,结合AES加密可双重保护敏感数据;A、D未加密易被逆向获取,C(SD卡公共目录)其他应用可访问。

    以下哪种工具可用于移动应用的动态调试?

    A.apktool(静态反编译工具)

    B.Frida(动态插桩工具)

    C.Jadx(Java反编译工具)

    D.dex2jar(DEX转JAR工具)

    答案:B

    解析:Frida支持在应用运行时插入脚本,监控/修改函数调用,属于动态调试工具;A、C、D均用于静态分析。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于Android应用组件安全防护措施的有?

    A.设置Activity的android:exported=“false”

    B.对Service的onStartCommand()方法添加调用者身份校验

    C.为BroadcastReceiver注册动态广播(非静态)

    D.限制ContentProvider的查询权限(如使用query()方法的

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >