2026年移动应用安全测试与优化指南.docxVIP

第PAGE页共NUMPAGES页

2026年移动应用安全测试与优化指南

一、单选题（共15题，每题2分，合计30分）

1.在移动应用安全测试中，以下哪项技术主要用于检测应用与服务器之间的通信是否被窃听？

A.暗号抓取（Man-in-the-Middle）

B.SQL注入

C.跨站脚本（XSS）

D.逻辑漏洞

答案：A

解析：暗号抓取（MITM）技术可拦截并窃听移动应用与服务器之间的通信，常用于检测数据加密是否被绕过。SQL注入和XSS主要针对Web应用，逻辑漏洞则涉及应用内部逻辑缺陷。

2.若移动应用使用HTTP传输敏感数据，测试人员应优先检测哪种风险？

A.跨站请求伪造（CSRF）

B.数据泄露

C.权限滥用

D.重放攻击

答案：B

解析：HTTP无加密，敏感数据易被截获，因此数据泄露风险最高。CSRF和权限滥用需结合业务逻辑分析，重放攻击主要针对无状态通信。

3.在Android应用中，若测试人员发现`SharedPreferences`存储了未加密的密码，应优先采取哪种措施？

A.建议使用SQLite加密存储

B.建议移至HTTPS传输

C.建议使用VPN加密

D.建议使用设备指纹校验

答案：A

解析：`SharedPreferences`默认未加密，应改用加密存储（如SQLite加密或第三方库）以保护本地数据。HTTPS和V