- 1、本文档共21页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
腾讯2016实习招聘-安全岗笔试题答案详细解释
腾讯2016实习招聘-安全岗笔试题答案详细解释
PAGE
腾讯2016实习招聘-安全岗笔试题答案详细解释
0x00前言
鉴于曾经做过腾讯找招聘-安全技术笔试题目,故留此一记,以作怀念。此外,网上也有公布的相关的答案,但是其中有些题目稍有错误或者解释不全,所以趁机写上一记。
0x01 开始
2016年4月2日晚上7:00到9:00,腾讯2016实习招聘-安全技术的笔试题确实考到很多基础知识。该笔试题有两部分。第一部分是30道不定项选择题、10道简答题和5道判断题,题量是45,限时80分钟。第二部分是2道分析题,限时40分钟。有下面统一给出答案和为每一题做出解释。
0x02?不定项选择题-30
1?应用程序开发过程中,下面那些开发习惯可能导致安全漏洞()
A ?在程序代码中打印日志输出敏感信息方便调式
B?在使用数组前判断是否越界
C?在生成随机数前使用当前时间设置随机数种子
D?设置配置文件权限为rw-rw-rw-
答案:AD
解释:
A?为日志包含敏感信息,容易泄露账号密码接口数据等信息,可能产生安全漏洞。
B?为数组大小问题,数组不越界,可防止溢出安全漏洞。因此是安全的。
C?用当前时间来作为随机数种子的话,随着时间的不同,生成的随机数也会不同。因此是安全的。
D?为配置文件的权限问题,rw为可以读取可以写入。第一个rw-为文件所属用户、第二个rw-为用户所在组、第三个rw-为其它用户的读写。可以导致非法写入和越权访问,可能产生安全漏洞。
2?以下哪些工具提供拦截和修改HTTP数据包的功能()
A Burpsuite
B Hackbar
C Fiddler
D Nmap
答案:AC
解释:
A Burpsuite是可以通过设置浏览器代理进行网络渗透的,用于攻击Web应用的集成平台。可以进行拦截和修改HTTP数据包。
B Hackbar?是用来进行sql注入、测试XSS和加解密字符串的。可以用来快速构建一个HTTP请求(GET/POST)等。但是不能拦截和修改HTTP数据包。
C Fiddler是一个http协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯。可以进行拦截和修改HTTP数据包。
D Nmap是一款网络端口扫描工具,可以扫描各种端口及其服务甚至是漏洞检测。但是不能不能拦截和修改HTTP数据包。
3?坏人通过XSS漏洞获取到QQ用户的身份后,可以进行一下操作(
)
A?偷取Q?币
B?控制用户摄像头
C?劫持微信用户
D?进入QQ空间
答案:D
解释:
XSS漏洞是获取用户cookie的,即是获得用户cookie等敏感信息。
A?偷取Q币。需要用户进行确认或者输入密码,具有很强的交互性。因此无法进行。
B?控制用户用户摄像头。因为开启摄像头,需要用户手动确认。因此无法进行。
C?劫持微信用户。因为微信登录会验证手机信息甚至短信验证,并且只能同时在一个设备上登录一个微信账号。因此无法进行。
D?进入QQ空间。?因为登录QQ空间是不需要用户交互操作的,并且使用cookie获得用户身份后,就好像正常用户一样可以查看QQ空间,QQ资料等。
4?以下哪些工具可以抓取HTTP数据包(
)
A Burpsuite
B Wireshark
C Fiddler
D Nmap
答案:ABC
解释:
A Burpsuite是可以通过设置浏览器代理进行网络渗透的,用于攻击Web应用的集成平台。因此是可以HTTP数据包。
B Wireshark是监听网络接口数据的,可以设置监听某个网卡来监听各种网络数据包。因此是可以抓取HTTP数据包。
C Fiddler是一个http协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯。因此是可以抓取HTTP数据包。
D Nmap是一款网络端口扫描工具,可以扫描各种端口及其服务甚至是漏洞检测。但是不能抓取HTTP数据包。
5?以下哪些说法是正确的(
)
A?iOS系统从IOS6开始引入kernelASLR安全措施
B?主流的Iphone手机内置了AES及RSA硬件加速解密引擎
C?安卓系统采用了安全引导链(secureboot chain?),而IOS系统则未采用
D?Android??系统默认启用了内存ASLR?
答案:ABD
解释:
A IOS系统从IOS6开始引入kernelASLR安全措施。情况属实。因此是正确的。
B?主流的Iphone手机内置了AES及RSA硬件加速解密引擎。情况属实。因此是正确的。
C?安卓系统采用了安全引导链(secureboot chain?),而IOS系统则未采用。情况不属实,原因是IOS系统也采用了安全引导链。因此是不正确的。
D Android ?系统默认启用了内存ASLR。情
文档评论(0)