0x00 前言鉴于曾经做过腾讯找招聘- 安全技术笔试题目,故留此一记,以作怀念。此外,网上也有公布的相关的答案, 但是其中有些题目稍有错误或者解释不全,所以趁机写上一记。0x01 开始2016 年 4 月 2 日晚上 7:00 到 9:00 ,腾讯 2016 实习招聘 - 安全技术的笔试题确实考到很多基础知识。该笔试题有两部分。第一部分是30 道不定项选择题、 10 道简答题和 5 道判断题,题量是 45,限时 80 分钟。第二部分是 2 道分析题,限时40 分钟。有下面统一给出答案和为每一题做出解释。0x02 不定项选择题 -301 应用程序开发过程中,下面那些开发习惯可能导致安全漏洞?()A 在程序代码中打印日志输出敏感信息方便调式B 在使用数组前判断是否越界C 在生成随机数前使用当前时间设置随机数种子D 设置配置文件权限为rw-rw-rw-答案: AD 解释:A 为日志包含敏感信息,容易泄露账号密码接口数据等信息,可能产生安全漏洞。B 为数组大小问题,数组不越界,可防止溢出安全漏洞。因此是安全的。C 用当前时间来作为随机数种子的话,随着时间的不同,生成的随机数也会不同。因此是安全的。D 为配置文件的权限问题,rw 为可以读取可以写入。第一个rw- 为文件所属用户、第二个 rw- 为用户所在组、第三个rw- 为其它用户的读写。可以导致非法写入和越权访问,可能产生安全漏洞。2 以下哪些工具提供拦截和修改HTTP数据包的功能 ?()A Burpsuite B Hackbar C Fiddler D Nmap答案: AC 解释:A Burpsuite是可以通过设置浏览器代理进行网络渗透的,用于攻击Web应用的集成平台。可以进行拦截和修改HTTP数据包。B Hackbar 是用来进行 sql 注入、 测试 XSS和加解密字符串的。可以用来快速构建一个 HTTP请求( GET/POST)等。但是不能拦截和修改HTTP数据包。C Fiddler是一个 http 协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的 http 通讯。可以进行拦截和修改HTTP数据包。D Nmap是一款网络端口扫描工具,可以扫描各种端口及其服务甚至是漏洞检测。但是不能不能拦截和修改HTTP数据包。3 坏人通过 XSS漏洞获取到 QQ用户的身份后,可以进行一下操作?()A 偷取 Q 币B 控制用户摄像头C 劫持 微信 用户D 进入 QQ空间答案: D 解释:XSS漏洞是获取用户 cookie 的,即是获得用户cookie 等敏感信息。A 偷取 Q币。需要用户进行确认或者输入密码,具有很强的交互性。因此无法进...
