安全工程师简答题
简答题:
请列举防御CC攻击的方法
审计这条web请求,说说你的看法
... 80-e/bin/bash 200
硬件断点和软件点有什么不同?
从网络流量上监测到一台Linux机器连接着一台木马控制端,在这台机器上仅使用系统自带的命令,如何定位出哪个是进程连接的?
如果你设计一个账号系统,为保障密码的安全,你会如何设计存储密码?
非对称的加密算法可以用来加密,也可以用于签名,请说明什么场景下用来加密,什么情景下用来签名?
ContentProvider是Android上负责提供数据读写的组件,应用内部或者应用之间的数据共享与存储都会使用 ContentProvider组件。 但在实际使用过程中,很容易出现各种安全问题,请结合你实践,描述一下在使用ContentProvider时,所需要注意的.事项。
现有一套针对某个jpg文件库的fuzz环境,每秒钟可以执行上千次fuzz实例,产生的crash很多,每次crash都有对应的crash dump,请说如初步何筛选出有价值的crash,如何确定某个特定的crash对应的fuzz实例,以及如何确定一个crash是否是安全漏洞(假设我 们只关心缓冲区溢出漏洞)。
gcc编译器支持的__attribute__ ((constructor))特性得以实现的底层机制跟ELF结构的哪个部分有关系?这个部分在现实中哪些地方可以用到?
代码审计:
淘宝首页以下代码片段是否可能存在安全漏洞?如果有,请指出来并提供修复建议;如果没有,说明你判断的理由
#set($url = $!arameter('url'))
以下程序是否存在安全漏洞?如果有,请指出来并提供修复建议
交易状态:
以下程序是否存在安全漏洞?如果有,请指出来并提供修复建议。
$id=$_GET['id'];
$getacct = mysql_query("select * from orders where id='$id' and client id='$fnm->clientid") or dir(mysql_error());
while ($row = mysql_fetch_array($getacct))
{
acctid = $row["id"];
?>
Cpanel User:
}
?>
在Linux系统中,我们通常使用终端shell脚本处理一些数据,十分高效便捷。
现在有以下两个文件:
File1:
user passwd
Hoecker animal
Newbee 238H76N3
Buttes Paradis1
TRON995 fdcmdgeo
G60FgL LgEl9H
ozron44 oriole62
File2:
id user
001 Yosh405
002 Newbee
003 G60FgL
004 Hoecker
005 sudhakar0303
要求:
编写一段shell脚本,输出同时存在于File1和File2中用户名的密码。(可使用管道命令,只输出密码)
以下是一段导出Activity的onCreate和onNewIntent函数中的代码,请找出其中的所有漏洞并说明可能产生的危害:
其中:er是同样由淘宝开发的另一个应用程序的package name。
此Activity对应的manifest文件中的定义:
protected void onCreate(Bundle savedInstanceState) {
eate(savedInstanceState);
String calling_package= getCallingPackage();
if (!calling_ls("er")){
return;
}
}
protected void onNewIntent (Intent intent){
wIntent(intent);
Intent intent = getIntent();
Intent rec_intent;
rec_intent=arcelableExtra("log_intent");
Date date = new Date();
rec_xtra("timestamp",ime());
rec_xtra("EVENT_TYPE","activity_launched");
rec_ction("LOG_ACTION");
sendBroadcast(rec_intent, "TAOBAO_BROADCAST_RECEIVER");
}
