腾讯2016实习招聘-安全岗笔试题答案详细解释.docVIP

腾讯2016实习招聘-安全岗笔试题答案详细解释 腾讯2016实习招聘-安全岗笔试题答案详细解释 PAGE 腾讯2016实习招聘-安全岗笔试题答案详细解释 0x00前言 鉴于曾经做过腾讯找招聘-安全技术笔试题目，故留此一记，以作怀念。此外，网上也有公布的相关的答案，但是其中有些题目稍有错误或者解释不全，所以趁机写上一记。 0x01 开始 2016年4月2日晚上7:00到9:00，腾讯2016实习招聘-安全技术的笔试题确实考到很多基础知识。该笔试题有两部分。第一部分是30道不定项选择题、10道简答题和5道判断题，题量是45，限时80分钟。第二部分是2道分析题，限时40分钟。有下面统一给出答案和为每一题做出解释。 0x02?不定项选择题-30 1?应用程序开发过程中，下面那些开发习惯可能导致安全漏洞（） A ?在程序代码中打印日志输出敏感信息方便调式 B?在使用数组前判断是否越界 C?在生成随机数前使用当前时间设置随机数种子 D?设置配置文件权限为rw-rw-rw- 答案：AD 解释： A?为日志包含敏感信息，容易泄露账号密码接口数据等信息，可能产生安全漏洞。 B?为数组大小问题，数组不越界，可防止溢出安全漏洞。因此是安全的。 C?用当前时间来作为随机数种子的话，随着时间的不同，生成的随机数也会不同。因此是安全的。 D?为配置文件的权限问题，rw为可以读取可以写入。第一个rw-为文件所属用户、第二个rw-为用户所在组、第三个rw-为其它用户的读写。可以导致非法写入和越权访问，可能产生安全漏洞。 2?以下哪些工具提供拦截和修改HTTP数据包的功能（） A Burpsuite B Hackbar C Fiddler D Nmap 答案：AC 解释： A Burpsuite是可以通过设置浏览器代理进行网络渗透的，用于攻击Web应用的集成平台。可以进行拦截和修改HTTP数据包。 B Hackbar?是用来进行sql注入、测试XSS和加解密字符串的。可以用来快速构建一个HTTP请求（GET/POST）等。但是不能拦截和修改HTTP数据包。 C Fiddler是一个http协议调试代理工具，它能够记录并检查所有你的电脑和互联网之间的http通讯。可以进行拦截和修改HTTP数据包。 D Nmap是一款网络端口扫描工具，可以扫描各种端口及其服务甚至是漏洞检测。但是不能不能拦截和修改HTTP数据包。 3?坏人通过XSS漏洞获取到QQ用户的身份后，可以进行一下操作（ ） A?偷取Q?币 B?控制用户摄像头 C?劫持微信用户 D?进入QQ空间 答案：D 解释： XSS漏洞是获取用户cookie的，即是获得用户cookie等敏感信息。 A?偷取Q币。需要用户进行确认或者输入密码，具有很强的交互性。因此无法进行。 B?控制用户用户摄像头。因为开启摄像头，需要用户手动确认。因此无法进行。 C?劫持微信用户。因为微信登录会验证手机信息甚至短信验证，并且只能同时在一个设备上登录一个微信账号。因此无法进行。 D?进入QQ空间。?因为登录QQ空间是不需要用户交互操作的，并且使用cookie获得用户身份后，就好像正常用户一样可以查看QQ空间，QQ资料等。 4?以下哪些工具可以抓取HTTP数据包（ ） A Burpsuite B Wireshark C Fiddler D Nmap 答案：ABC 解释： A Burpsuite是可以通过设置浏览器代理进行网络渗透的，用于攻击Web应用的集成平台。因此是可以HTTP数据包。 B Wireshark是监听网络接口数据的，可以设置监听某个网卡来监听各种网络数据包。因此是可以抓取HTTP数据包。 C Fiddler是一个http协议调试代理工具，它能够记录并检查所有你的电脑和互联网之间的http通讯。因此是可以抓取HTTP数据包。 D Nmap是一款网络端口扫描工具，可以扫描各种端口及其服务甚至是漏洞检测。但是不能抓取HTTP数据包。 5?以下哪些说法是正确的（ ） A?iOS系统从IOS6开始引入kernelASLR安全措施 B?主流的Iphone手机内置了AES及RSA硬件加速解密引擎 C?安卓系统采用了安全引导链（secureboot chain?），而IOS系统则未采用 D?Android??系统默认启用了内存ASLR? 答案：ABD 解释： A IOS系统从IOS6开始引入kernelASLR安全措施。情况属实。因此是正确的。 B?主流的Iphone手机内置了AES及RSA硬件加速解密引擎。情况属实。因此是正确的。 C?安卓系统采用了安全引导链（secureboot chain?），而IOS系统则未采用。情况不属实，原因是IOS系统也采用了安全引导链。因此是不正确的。 D Android ?系统默认启用了内存ASLR。情