2026年网络安全培训移动应用安全章节自测题

2026年网络安全培训：移动应用安全章节自测题一、单选题（共10题，每题2分）说明：下列每题只有一个正确答案。1.在移动应用中，以下哪种加密方式最适用于保护存储在设备上的敏感数据？A.对称加密（AES）B.非对称加密（RSA）C.哈希加密（SHA-256）D.Base64编码2.某移动应用在用户登录时未验证HTTPS请求的证书颁发机构（CA），这种漏洞可能被利用进行哪种攻击？A.中间人攻击（MITM）B.SQL注入C.跨站脚本（XSS）D.逻辑漏洞3.在iOS应用中，以下哪个权限最可能被恶意应用滥用以获取用户位置信息？A.CameraB.LocationWhenInUseC.CalendarD.Notifications4.Android应用中，如果开发者未正确配置`AndroidManifest.xml`的`minSdkVersion`，可能导致哪种风险？A.兼容性问题B.代码注入C.权限过度请求D.数据泄露5.某移动应用在处理用户输入时未进行严格的长度校验，这种缺陷可能被用于哪种攻击？A.重放攻击B.缓冲区溢出C.XML外部实体注入（XXE）D.跨站请求伪造（CSRF）6.在移动应用中，以下哪种安全机制最能有效防止重放攻击？A.签名验证B.一次性令牌（OTP）C.双因素认证（2FA）D.数据加密7.iOS应用中使用`Keychain`存储敏感信息时，以下哪种做法最安全？A.明文存储B.使用AES加密C.将密钥硬编码在代码中D.存储在沙盒文件中8.Android应用中，如果开发者未正确处理`WebView`的权限，可能导致哪种风险？A.应用心跳过慢B.应用崩溃C.恶意网站注入D.权限滥用9.某移动应用在传输敏感数据时未使用TLS1.2以上版本，这种做法可能存在哪种漏洞？A.替代加密（AEAD）B.证书吊销检查C.旧版本协议漏洞（如SSLv3）D.碎片化攻击10.在移动应用中，以下哪种安全测试方法最适用于检测代码层面的漏洞？A.渗透测试B.静态应用安全测试（SAST）C.动态应用安全测试（DAST）D.模糊测试二、多选题（共5题，每题3分）说明：下列每题有多个正确答案。1.移动应用中常见的API安全风险包括哪些？A.缺乏身份验证B.敏感数据未加密传输C.请求参数未校验D.错误处理机制不完善E.API密钥硬编码2.在Android应用中，以下哪些权限容易被恶意应用滥用？A.READ_CONTACTSB.WRITE_EXTERNAL_STORAGEC.CALL_PHONED.CAMERAE.ACCESS_FINE_LOCATION3.iOS应用中，以下哪些安全机制有助于防止数据泄露？A.App沙盒机制B.Keychain服务C.代码签名验证D.数据加密存储E.限制后台数据访问4.移动应用中常见的注入攻击类型包括哪些？A.SQL注入B.命令注入C.XML外部实体注入（XXE）D.JSON解析漏洞E.跨站脚本（XSS）5.在移动应用安全测试中，以下哪些方法属于动态测试？A.模糊测试B.动态应用安全测试（DAST）C.静态应用安全测试（SAST）D.渗透测试E.代码审计三、判断题（共10题，每题1分）说明：下列每题判断对错。1.移动应用使用HTTPS协议可以完全防止数据泄露。（×）2.iOS应用中的数据默认存储在沙盒中，因此不存在数据泄露风险。（×）3.Android应用如果未请求`INTERNET`权限，无法进行网络通信。（×）4.使用JWT（JSONWebToken）进行身份验证可以防止重放攻击。（×）5.移动应用中的敏感数据应避免明文存储在本地。（√）6.iOS应用使用面容ID或指纹认证可以替代服务器端身份验证。（×）7.Android应用中的`WebView`默认隔离，因此不会受到跨站脚本攻击。（√）8.移动应用使用TLS1.1版本比TLS1.3版本更安全。（×）9.任何移动应用都需要请求所有可能用到的权限。（×）10.移动应用中的数据加密通常使用对称加密算法（如AES）。（√）四、简答题（共5题，每题5分）说明：根据题目要求，简要回答问题。1.简述移动应用中常见的五种安全漏洞类型及其危害。2.解释Android应用中“沙盒机制”的作用及其对应用安全的影响。3.描述移动应用中HTTPS协议的工作原理及其重要性。4.列举三种移动应用中常用的身份验证方法，并说明其优缺点。5.说明静态应用安全测试（SAST）和动态应用安全测试（DAST）的区别及其适用场景。五、综合题（共2题，每题10分）说明：根据题目要求，结合实际场景进行分析和解答。1.某移动应用在用户注册时要求输入手机号，但未对输入格式进行校验，也未进行验证码验证。分析可能存在的安全风险并提出改进建议。2.某Android应用在处理用户文件上传时，未对文件类型和大小进行限制，导致用户可以上传恶意脚本文件。分析可能存在的攻击方式并提出防范措施。答案与解析一、单选题答案1.A2.A3.B4.A5.B6.B7.B8.C9.C10.B解析：1.对称加密（AES）效率高，适用于大文件加密，适合存储在设备上的数据。2.未验证CA可能导致MITM攻击者伪造合法服务器。3.`LocationWhenInUse`权限允许应用在后台获取位置信息，容易被滥用。4.未配置`minSdkVersion`可能导致应用在旧设备上存在兼容性问题或逻辑漏洞。5.未校验长度可能导致缓冲区溢出。6.一次性令牌（OTP）每次使用后即失效，可有效防止重放攻击。7.Keychain提供加密存储，比明文或硬编码更安全。8.未正确处理`WebView`权限可能导致恶意网站注入。9.TLS1.2以上版本修复了SSLv3等旧版本协议的漏洞。10.SAST通过分析源代码检测漏洞，适用于代码层面测试。二、多选题答案1.A,B,C,D,E2.A,B,C,D,E3.A,B,C,D,E4.A,B,C,D,E5.A,B,D,E解析：1.API安全风险包括未验证身份、未加密传输、参数校验不足、错误处理缺陷及密钥硬编码。2.所有列出的权限都可能被恶意应用滥用以获取敏感信息或执行恶意操作。3.iOS沙盒机制、Keychain加密、代码签名、数据加密及后台访问限制均有助于防止数据泄露。4.五种均属于注入攻击类型，通过注入恶意代码或数据执行非法操作。5.模糊测试、DAST、渗透测试及代码审计属于动态测试，需运行应用或模拟攻击。三、判断题答案1.×2.×3.×4.×5.√6.×7.√8.×9.×10.√解析：1.HTTPS仍可能存在配置不当等风险。2.沙盒机制虽隔离，但代码漏洞仍可能导致泄露。3.`INTERNET`权限并非必须，可通过Intent跳转实现网络请求。4.JWT无状态，需配合服务器端验证防止重放。5.明文存储极易被窃取。6.面容ID/指纹仅替代密码，服务器端验证仍需保留。7.Android默认隔离，但配置不当仍可能受XSS攻击。8.TLS1.3比1.1更安全，修复更多漏洞。9.应按需请求权限，过度请求可能影响用户体验。10.AES对称加密效率高，适用于移动端数据加密。四、简答题答案1.移动应用常见安全漏洞类型：-SQL注入：通过输入恶意SQL代码，攻击者可窃取或篡改数据库数据。-跨站脚本（XSS）：注入恶意脚本，窃取用户Cookie或进行钓鱼攻击。-不安全的反序列化：反序列化未经验验的数据，执行远程代码执行（RCE）。-不安全的本地存储：敏感数据明文存储，易被窃取。-不安全的通信：未使用HTTPS传输敏感数据，易被窃听。2.Android沙盒机制的作用：-应用的数据存储在独立目录，互不干扰，防止数据泄露。-应用需动态请求权限，限制恶意操作。-适用于提高应用隔离性，但配置不当仍存在风险。3.HTTPS协议的工作原理：-基于TLS/SSL协议，通过证书验证服务器身份。-使用对称加密传输数据，防止窃听。-重要性：保护数据机密性、完整性及防伪造。4.常用身份验证方法：-密码认证：优点易实现，缺点易被暴力破解。-双因素认证（2FA）：优点安全性高，缺点用户体验稍差。-生物识别：优点便捷，缺点依赖硬件且可能被仿冒。5.SAST与DAST的区别：-SAST：静态分析源代码，在开发阶段检测漏洞，覆盖率高但可能误报。-DAST：动态运行应用检测漏洞，更接近实际场景但覆盖率有限。五、综合题答案1.安全风险分析：-手机号格式未校验：可能导致注入攻击（如SQL注入）。-无验证码：易被暴力注册或撞库破解。-敏感信息泄露：注册数据可能被截获。改进建议：-校验手机号格式（如正则表达式）。-使用验证码或短信验证防止暴力注册。-