0x00 前言鉴于曾经做过腾讯找招聘- 安全技术笔试题目,故留此一记,以作怀念
此外,网上也有公布的相关的答案, 但是其中有些题目稍有错误或者解释不全,所以趁机写上一记
0x01 开始2016 年 4 月 2 日晚上 7:00 到 9:00 ,腾讯 2016 实习招聘 - 安全技术的笔试题确实考到很多基础知识
该笔试题有两部分
第一部分是30 道不定项选择题、 10 道简答题和 5 道判断题,题量是 45,限时 80 分钟
第二部分是 2 道分析题,限时40 分钟
有下面统一给出答案和为每一题做出解释
0x02 不定项选择题 -301 应用程序开发过程中,下面那些开发习惯可能导致安全漏洞
()A 在程序代码中打印日志输出敏感信息方便调式B 在使用数组前判断是否越界C 在生成随机数前使用当前时间设置随机数种子D 设置配置文件权限为rw-rw-rw-答案: AD 解释:A 为日志包含敏感信息,容易泄露账号密码接口数据等信息,可能产生安全漏洞
B 为数组大小问题,数组不越界,可防止溢出安全漏洞
因此是安全的
C 用当前时间来作为随机数种子的话,随着时间的不同,生成的随机数也会不同
因此是安全的
D 为配置文件的权限问题,rw 为可以读取可以写入
第一个rw- 为文件所属用户、第二个 rw- 为用户所在组、第三个rw- 为其它用户的读写
可以导致非法写入和越权访问,可能产生安全漏洞
2 以下哪些工具提供拦截和修改HTTP数据包的功能
()A Burpsuite B Hackbar C Fiddler D Nmap答案: AC 解释:A Burpsuite是可以通过设置浏览器代理进行网络渗透的,用于攻击Web应用的集成平台
可以进行拦截和修改HTTP数据包
B Hackbar 是用来进行 sql 注入、 测试 XSS和加解密字符串的
可以用来快速构建一个 HTTP请求( GET/P
