2026年移动安全工程师考试题库（附答案和详细解析）（0218）.docxVIP

移动安全工程师考试试卷

一、单项选择题（共10题，每题1分，共10分）

Android应用中，Activity组件的android:exported属性未显式设置时，默认值由以下哪项决定？

A.应用的最小SDK版本

B.是否声明了intent-filter

C.开发者自定义的默认配置

D.系统全局安全策略

答案：B

解析：根据Android官方文档，当android:exported未显式设置时，默认值取决于该Activity是否声明了intent-filter：若声明了则默认true（可被外部调用），未声明则默认false（仅应用内部调用）。错误选项中，A、C、D均不符合官方定义的默认规则。

以下哪种攻击方式主要针对移动应用的会话管理机制？

A.SQL注入

B.重放攻击

C.XSS跨站脚本

D.代码混淆破解

答案：B

解析：重放攻击通过截获并重复发送合法会话的请求，破坏会话唯一性，属于会话管理类攻击。SQL注入针对数据层，XSS针对前端交互，代码混淆破解针对代码保护，均与会话管理无关。

iOS应用使用NSURLSession发起HTTP请求时，默认会被ATS（应用传输安全）阻止的情况是？

A.服务器使用TLS1.2协议

B.服务器证书由权威CA颁发

C.请求URL为

D.应用在Info.plist中配置了NSAllowsArbitraryLoads为tr