2026年網(wǎng)絡(luò)安全培訓(xùn)：移動(dòng)應(yīng)用安全章節(jié)自測(cè)題一、單選題（共10題，每題2分）說明：下列每題只有一個(gè)正確答案。1.在移動(dòng)應(yīng)用中，以下哪種加密方式最適用于保護(hù)存儲(chǔ)在設(shè)備上的敏感數(shù)據(jù)？A.對(duì)稱加密（AES）B.非對(duì)稱加密（RSA）C.哈希加密（SHA-256）D.Base64編碼2.某移動(dòng)應(yīng)用在用戶登錄時(shí)未驗(yàn)證HTTPS請(qǐng)求的證書頒發(fā)機(jī)構(gòu)（CA），這種漏洞可能被利用進(jìn)行哪種攻擊？A.中間人攻擊（MITM）B.SQL注入C.跨站腳本（XSS）D.邏輯漏洞3.在iOS應(yīng)用中，以下哪個(gè)權(quán)限最可能被惡意應(yīng)用濫用以獲取用戶位置信息？A.CameraB.LocationWhenInUseC.CalendarD.Notifications4.Android應(yīng)用中，如果開發(fā)者未正確配置`AndroidManifest.xml`的`minSdkVersion`，可能導(dǎo)致哪種風(fēng)險(xiǎn)？A.兼容性問題B.代碼注入C.權(quán)限過度請(qǐng)求D.數(shù)據(jù)泄露5.某移動(dòng)應(yīng)用在處理用戶輸入時(shí)未進(jìn)行嚴(yán)格的長(zhǎng)度校驗(yàn)，這種缺陷可能被用于哪種攻擊？A.重放攻擊B.緩沖區(qū)溢出C.XML外部實(shí)體注入（XXE）D.跨站請(qǐng)求偽造（CSRF）6.在移動(dòng)應(yīng)用中，以下哪種安全機(jī)制最能有效防止重放攻擊？A.簽名驗(yàn)證B.一次性令牌（OTP）C.雙因素認(rèn)證（2FA）D.數(shù)據(jù)加密7.iOS應(yīng)用中使用`Keychain`存儲(chǔ)敏感信息時(shí)，以下哪種做法最安全？A.明文存儲(chǔ)B.使用AES加密C.將密鑰硬編碼在代碼中D.存儲(chǔ)在沙盒文件中8.Android應(yīng)用中，如果開發(fā)者未正確處理`WebView`的權(quán)限，可能導(dǎo)致哪種風(fēng)險(xiǎn)？A.應(yīng)用心跳過慢B.應(yīng)用崩潰C.惡意網(wǎng)站注入D.權(quán)限濫用9.某移動(dòng)應(yīng)用在傳輸敏感數(shù)據(jù)時(shí)未使用TLS1.2以上版本，這種做法可能存在哪種漏洞？A.替代加密（AEAD）B.證書吊銷檢查C.舊版本協(xié)議漏洞（如SSLv3）D.碎片化攻擊10.在移動(dòng)應(yīng)用中，以下哪種安全測(cè)試方法最適用于檢測(cè)代碼層面的漏洞？A.滲透測(cè)試B.靜態(tài)應(yīng)用安全測(cè)試（SAST）C.動(dòng)態(tài)應(yīng)用安全測(cè)試（DAST）D.模糊測(cè)試二、多選題（共5題，每題3分）說明：下列每題有多個(gè)正確答案。1.移動(dòng)應(yīng)用中常見的API安全風(fēng)險(xiǎn)包括哪些？A.缺乏身份驗(yàn)證B.敏感數(shù)據(jù)未加密傳輸C.請(qǐng)求參數(shù)未校驗(yàn)D.錯(cuò)誤處理機(jī)制不完善E.API密鑰硬編碼2.在Android應(yīng)用中，以下哪些權(quán)限容易被惡意應(yīng)用濫用？A.READ_CONTACTSB.WRITE_EXTERNAL_STORAGEC.CALL_PHONED.CAMERAE.ACCESS_FINE_LOCATION3.iOS應(yīng)用中，以下哪些安全機(jī)制有助于防止數(shù)據(jù)泄露？A.App沙盒機(jī)制B.Keychain服務(wù)C.代碼簽名驗(yàn)證D.數(shù)據(jù)加密存儲(chǔ)E.限制后臺(tái)數(shù)據(jù)訪問4.移動(dòng)應(yīng)用中常見的注入攻擊類型包括哪些？A.SQL注入B.命令注入C.XML外部實(shí)體注入（XXE）D.JSON解析漏洞E.跨站腳本（XSS）5.在移動(dòng)應(yīng)用安全測(cè)試中，以下哪些方法屬于動(dòng)態(tài)測(cè)試？A.模糊測(cè)試B.動(dòng)態(tài)應(yīng)用安全測(cè)試（DAST）C.靜態(tài)應(yīng)用安全測(cè)試（SAST）D.滲透測(cè)試E.代碼審計(jì)三、判斷題（共10題，每題1分）說明：下列每題判斷對(duì)錯(cuò)。1.移動(dòng)應(yīng)用使用HTTPS協(xié)議可以完全防止數(shù)據(jù)泄露。（×）2.iOS應(yīng)用中的數(shù)據(jù)默認(rèn)存儲(chǔ)在沙盒中，因此不存在數(shù)據(jù)泄露風(fēng)險(xiǎn)。（×）3.Android應(yīng)用如果未請(qǐng)求`INTERNET`權(quán)限，無法進(jìn)行網(wǎng)絡(luò)通信。（×）4.使用JWT（JSONWebToken）進(jìn)行身份驗(yàn)證可以防止重放攻擊。（×）5.移動(dòng)應(yīng)用中的敏感數(shù)據(jù)應(yīng)避免明文存儲(chǔ)在本地。（√）6.iOS應(yīng)用使用面容ID或指紋認(rèn)證可以替代服務(wù)器端身份驗(yàn)證。（×）7.Android應(yīng)用中的`WebView`默認(rèn)隔離，因此不會(huì)受到跨站腳本攻擊。（√）8.移動(dòng)應(yīng)用使用TLS1.1版本比TLS1.3版本更安全。（×）9.任何移動(dòng)應(yīng)用都需要請(qǐng)求所有可能用到的權(quán)限。（×）10.移動(dòng)應(yīng)用中的數(shù)據(jù)加密通常使用對(duì)稱加密算法（如AES）。（√）四、簡(jiǎn)答題（共5題，每題5分）說明：根據(jù)題目要求，簡(jiǎn)要回答問題。1.簡(jiǎn)述移動(dòng)應(yīng)用中常見的五種安全漏洞類型及其危害。2.解釋Android應(yīng)用中“沙盒機(jī)制”的作用及其對(duì)應(yīng)用安全的影響。3.描述移動(dòng)應(yīng)用中HTTPS協(xié)議的工作原理及其重要性。4.列舉三種移動(dòng)應(yīng)用中常用的身份驗(yàn)證方法，并說明其優(yōu)缺點(diǎn)。5.說明靜態(tài)應(yīng)用安全測(cè)試（SAST）和動(dòng)態(tài)應(yīng)用安全測(cè)試（DAST）的區(qū)別及其適用場(chǎng)景。五、綜合題（共2題，每題10分）說明：根據(jù)題目要求，結(jié)合實(shí)際場(chǎng)景進(jìn)行分析和解答。1.某移動(dòng)應(yīng)用在用戶注冊(cè)時(shí)要求輸入手機(jī)號(hào)，但未對(duì)輸入格式進(jìn)行校驗(yàn)，也未進(jìn)行驗(yàn)證碼驗(yàn)證。分析可能存在的安全風(fēng)險(xiǎn)并提出改進(jìn)建議。2.某Android應(yīng)用在處理用戶文件上傳時(shí)，未對(duì)文件類型和大小進(jìn)行限制，導(dǎo)致用戶可以上傳惡意腳本文件。分析可能存在的攻擊方式并提出防范措施。答案與解析一、單選題答案1.A2.A3.B4.A5.B6.B7.B8.C9.C10.B解析：1.對(duì)稱加密（AES）效率高，適用于大文件加密，適合存儲(chǔ)在設(shè)備上的數(shù)據(jù)。2.未驗(yàn)證CA可能導(dǎo)致MITM攻擊者偽造合法服務(wù)器。3.`LocationWhenInUse`權(quán)限允許應(yīng)用在后臺(tái)獲取位置信息，容易被濫用。4.未配置`minSdkVersion`可能導(dǎo)致應(yīng)用在舊設(shè)備上存在兼容性問題或邏輯漏洞。5.未校驗(yàn)長(zhǎng)度可能導(dǎo)致緩沖區(qū)溢出。6.一次性令牌（OTP）每次使用后即失效，可有效防止重放攻擊。7.Keychain提供加密存儲(chǔ)，比明文或硬編碼更安全。8.未正確處理`WebView`權(quán)限可能導(dǎo)致惡意網(wǎng)站注入。9.TLS1.2以上版本修復(fù)了SSLv3等舊版本協(xié)議的漏洞。10.SAST通過分析源代碼檢測(cè)漏洞，適用于代碼層面測(cè)試。二、多選題答案1.A,B,C,D,E2.A,B,C,D,E3.A,B,C,D,E4.A,B,C,D,E5.A,B,D,E解析：1.API安全風(fēng)險(xiǎn)包括未驗(yàn)證身份、未加密傳輸、參數(shù)校驗(yàn)不足、錯(cuò)誤處理缺陷及密鑰硬編碼。2.所有列出的權(quán)限都可能被惡意應(yīng)用濫用以獲取敏感信息或執(zhí)行惡意操作。3.iOS沙盒機(jī)制、Keychain加密、代碼簽名、數(shù)據(jù)加密及后臺(tái)訪問限制均有助于防止數(shù)據(jù)泄露。4.五種均屬于注入攻擊類型，通過注入惡意代碼或數(shù)據(jù)執(zhí)行非法操作。5.模糊測(cè)試、DAST、滲透測(cè)試及代碼審計(jì)屬于動(dòng)態(tài)測(cè)試，需運(yùn)行應(yīng)用或模擬攻擊。三、判斷題答案1.×2.×3.×4.×5.√6.×7.√8.×9.×10.√解析：1.HTTPS仍可能存在配置不當(dāng)?shù)蕊L(fēng)險(xiǎn)。2.沙盒機(jī)制雖隔離，但代碼漏洞仍可能導(dǎo)致泄露。3.`INTERNET`權(quán)限并非必須，可通過Intent跳轉(zhuǎn)實(shí)現(xiàn)網(wǎng)絡(luò)請(qǐng)求。4.JWT無狀態(tài)，需配合服務(wù)器端驗(yàn)證防止重放。5.明文存儲(chǔ)極易被竊取。6.面容ID/指紋僅替代密碼，服務(wù)器端驗(yàn)證仍需保留。7.Android默認(rèn)隔離，但配置不當(dāng)仍可能受XSS攻擊。8.TLS1.3比1.1更安全，修復(fù)更多漏洞。9.應(yīng)按需請(qǐng)求權(quán)限，過度請(qǐng)求可能影響用戶體驗(yàn)。10.AES對(duì)稱加密效率高，適用于移動(dòng)端數(shù)據(jù)加密。四、簡(jiǎn)答題答案1.移動(dòng)應(yīng)用常見安全漏洞類型：-SQL注入：通過輸入惡意SQL代碼，攻擊者可竊取或篡改數(shù)據(jù)庫數(shù)據(jù)。-跨站腳本（XSS）：注入惡意腳本，竊取用戶Cookie或進(jìn)行釣魚攻擊。-不安全的反序列化：反序列化未經(jīng)驗(yàn)驗(yàn)的數(shù)據(jù)，執(zhí)行遠(yuǎn)程代碼執(zhí)行（RCE）。-不安全的本地存儲(chǔ)：敏感數(shù)據(jù)明文存儲(chǔ)，易被竊取。-不安全的通信：未使用HTTPS傳輸敏感數(shù)據(jù)，易被竊聽。2.Android沙盒機(jī)制的作用：-應(yīng)用的數(shù)據(jù)存儲(chǔ)在獨(dú)立目錄，互不干擾，防止數(shù)據(jù)泄露。-應(yīng)用需動(dòng)態(tài)請(qǐng)求權(quán)限，限制惡意操作。-適用于提高應(yīng)用隔離性，但配置不當(dāng)仍存在風(fēng)險(xiǎn)。3.HTTPS協(xié)議的工作原理：-基于TLS/SSL協(xié)議，通過證書驗(yàn)證服務(wù)器身份。-使用對(duì)稱加密傳輸數(shù)據(jù)，防止竊聽。-重要性：保護(hù)數(shù)據(jù)機(jī)密性、完整性及防偽造。4.常用身份驗(yàn)證方法：-密碼認(rèn)證：優(yōu)點(diǎn)易實(shí)現(xiàn)，缺點(diǎn)易被暴力破解。-雙因素認(rèn)證（2FA）：優(yōu)點(diǎn)安全性高，缺點(diǎn)用戶體驗(yàn)稍差。-生物識(shí)別：優(yōu)點(diǎn)便捷，缺點(diǎn)依賴硬件且可能被仿冒。5.SAST與DAST的區(qū)別：-SAST：靜態(tài)分析源代碼，在開發(fā)階段檢測(cè)漏洞，覆蓋率高但可能誤報(bào)。-DAST：動(dòng)態(tài)運(yùn)行應(yīng)用檢測(cè)漏洞，更接近實(shí)際場(chǎng)景但覆蓋率有限。五、綜合題答案1.安全風(fēng)險(xiǎn)分析：-手機(jī)號(hào)格式未校驗(yàn)：可能導(dǎo)致注入攻擊（如SQL注入）。-無驗(yàn)證碼：易被暴力注冊(cè)或撞庫破解。-敏感信息泄露：注冊(cè)數(shù)據(jù)可能被截獲。改進(jìn)建議：-校驗(yàn)手機(jī)號(hào)格式（如正則表達(dá)式）。-使用驗(yàn)證碼或短信驗(yàn)證防止暴力注冊(cè)。-