2013阿里巴巴安全工程師筆試試題.
1.名詞解釋
簡單的來說:win在執行exe需要呼叫系統dll時候,會優先查詢當前目錄下是否有所需的dll檔案,沒有找到才會去環境變數提供的目錄下繼續尋找利用這個特點,先
偽造乙個系統同名的dll,提供同樣的輸出表,每個輸出函式轉向真正的系統dll。程式呼叫系統dll時會先呼叫當前目錄下偽造的dll,完成相關功能後,再跳到系統d
ll同名函式裡執行。這個過程用個形象的詞來描述就是系統dll被劫持(hijack)了。
2.4如何偽造發件人傳送欺詐郵件?
如果對方郵件伺服器無驗證發信人位址的功能的話, 任意填寫直接傳送即可。就這麼簡單?就這麼簡單。
2.5vlan中能不能實現ip欺騙?
可以,偽造tcp/ip資料報源ip位址。
2.6說出router\switch\hub的區別?
router:資料交換機,用於大型網路或廣域網.
switch:資料交換機,用於小型網路或區域網.
hub:多埠的資料**器,常用於樹形或星型lan.
2.7有一台web應用的linux主機被入侵,你會如何處理這件事?
1.檢視web日誌;
2.檢視埠流量;
2.8說出常見的密碼演算法的優缺點和它們使用場景。
aes,加密速度快,金鑰管理與分發困難,文字資料加密;
rsa,
易於金鑰管理和分發+安全性強
,加密速度慢,數字簽名+金鑰管理;
sha_1/sha_2/sha_3,,訊息認證碼+雜湊函式;
3.**題,給定一段**,分析其安全問題,並給出修復的辦法。
3.1**功能:jsp,
從請求中獲取pdf_file引數,然後download(「/***/pdf/」+pdf_file)。
修復辦法:對pdf_file引數進行乙個敏感檔案過濾+許可權認證;
3.2**功能:php,從cookie中獲取uid這個值,然後update(uid , $_post['email'])。
安全問題:問題一是通過修改cookie的uid值修改任意使用者的email位址,二是email的內容沒有驗證。
修復辦法:在update前驗證當前使用者身份,email加個re判斷。
3.3**功能:jsp
+html
,get引數msg,然後判斷msg中是否有「<」「>」,有就報錯,沒有則執行println(「」)。
安全問題:猜測是xss,具體漏洞未知。
修復辦法:未知;
3.4
**功能:c,字串賦值;
安全問題:目的字串可存放字元數為30,因此需要對源字串進行長度的檢測;
修復辦法:加個長度檢測;
3.5**功能:php+sql,
$_post兩個引數username和pw,然後帶入sql語句:
$sql = 「select (*) from users where username = 『」.username.」『 and pw = 『」.pw.」『 limit 1″;
$result = mysql_query($sql);
安全問題:閉合單引號
修復辦法:未知;
阿里巴巴2016研發工程師筆試題(四)
1.以下程式輸出結果是 class a virtual void func 本問題涉及到兩個方面 1.c 繼承體系中建構函式的呼叫順序。2.建構函式中呼叫虛函式問題。c 繼承體系中,初始化時建構函式的呼叫順序如下 1 任何虛擬基類的建構函式按照他們被繼承的順序構造 2 任何非虛擬基類的建構函式按照他...
面試阿里巴巴前端開發工程師筆試部分
一 筆試部分 面部分還在整理,後續發出來 介紹 要求 1.實現乙個函式,輸入乙個單詞,返回輸入單詞是否符合全大寫 全小寫 首字母大寫規則,正確返回true,錯誤返回false const checkvalid word else console.log checkvalid china 2.實現乙個...
阿里巴巴 2018秋招研發工程師筆試題
2.菜鳥倉庫是乙個很大很神奇的地方,各種琳琅滿目的商品整整齊齊地擺放在一排排貨架上,通常一種品類 sku 的商品會放置在貨架的某乙個格仔中,格仔設有統一的編號,方便工人們揀選。有一天沐哲去菜鳥倉庫參觀,無意中發現第1個貨架格仔編碼為1,第2 3個分別為1,2,第4 6個格仔分別是1,2,3,第7 1...