小米2024安全方向笔试
1.(多选题) ARP攻击通过欺骗主机的__MAC,IP___的对应关系达到攻击目的
答案:MAC,IP
2.(多选题) 以下代码中存在什么漏洞?
import java.io.*; import javax.servlet.http.*; import java.nio.file.*; public class ReadFile extends HttpServlet{ protected void test(HttpServletRequest request, HttpServletResponse response) throws IOException{ try{ String url = request.getParameter("url"); String data = new String(Files.readAllBytes(Paths.get(url))); }catch(IOException e){ PrintWriter out = response.getWriter(); out.print("File not found"); out.flush(); } } }
答案:本地文件包含LFI,UNC path 注入,服务器请求伪造ssrf
3.(多选题) sql注入中报错注入常用的函数有
答案:floor(),updatxml(),exractvalue(),exp()
4.(多选题) 以下哪个操作在Linux 下需要 root 权限
答案:iptables -t nat -L
5.(多选题) Linux 下进程通信的方式有
答案:管道,信号,消息队列,套接字
6.(多选题) 以下哪些服务器曾被发现文件解析漏洞?
答案:Apache,IIS,Nignx,PHPCGI
7.(多选题) 以下哪些属于缓冲区溢出保护手段?
答案:PIE,NX,STACK CANARY
8.(多选题) PHP中哪些函数使用不当会导致变量覆盖?
答案:extract(),parse_str(),import_request_variables()
9.(多选题) redis未授权的利用方法包括以下哪几种
答案:写入ssh秘钥,向web目录中写入webshell,向crontab中写入计划任务
10.(单选题) ICMP协议属于OSI 哪层协议
答案:网络层
11.(单选题) 在一棵二叉树上第4层的结点数最多有几个?
答案:8
12.(单选题) 关于apk签名的以下说法,错误的是
答案:V1版本签名可以探测出apk的META-INF目录下文件的修改
13.(单选题) Windows中SID的中文意思是
答案:安全标识符
14.(单选题) 以下哪种获取随机数的方式是比较安全的
答案:/dev/urandom
15.(单选题) 如果某款数据库软件的部署使用了弱口令,被攻击者扫描到后
答案:不但会导致数据泄露,还可能导致攻击者借此直接访问服务器的远程Shell
16.(单选题) 如果某款数据库软件的部署使用了弱口令,被攻击者扫描到后
答案:不但会导致数据泄露,还可能导致攻击者借此直接访问服务器的远程Shell
17.(单选题) 以下哪个Linux环境变量会影响动态链接行为
答案:LD_PRELOAD
18.(单选题) cookie中的secure的作用是什么
答案:防止cookie通过http传输
19.(单选题) 以下哪个选项不属于DDOS攻击?
答案:重放攻击
哔哩哔哩2024信息安全方向
1.(单选题) 冯·诺依曼体系结构的三要素不包括以下哪项?
答案:计算机各种功能部件之间采用总线结构传送信息
2.(单选题) 下述有关栈和队列的区别,说法错误的是
答案:栈的插入操作时间复杂度都是o(1),队列的插入操作时间复杂度是o(n)
3.(单选题) 已知网站https://www.bilibili.com,下列站点与其同域的是
答案:https://www.bilibili.com/video/
4.(单选题) 在教学管理系统中,有教师关系 T(T #, NAME), 学生关系 S(S #, NAME),学生成绩关系 S(S #, NU) 。其中 T #表示教师工号, S #表示学生学号,则 T 和 N 存在联系
答案:M:N
5.(单选题) 以下哪款工具主要用于代理抓包
答案:burpsuite
6.(单选题) 以下哪些攻击是通常情况下 WAF 不能拦截的?
答案:水平越权
7.(单选题) 以下命令可以用来在Linux中查看selinux状态的是
答案:getenforce
8.(单选题) 对于反射型XSS漏洞,何种修复方式最为有效
答案:对输出进行HTML实体编码
9.(多选题) 以下排序算法平均时间复杂度最小的是哪几种?
答案:快速排序,归并排序
10.(多选题) 信息安全从业者需要关注OWASP TOP 10安全风险每一版的变更,了解最新的安全风险趋势。下列哪一项属于2017版OWASP TOP 10新上榜的安全风险类型?
答案:不安全的反序列化,不足的日志记录和监控,XXE
11.(多选题) 使用遵循安全规范的HTTPs连接能确保下列哪些点?
答案:客户端所连接的服务器是受信的,所加载的页面不会被篡改,传输数据不会被中间人窃取
12.(多选题) 对于查看用户订单https://bilibili.com/getorder?id=522064\&user=13791118424这个URL, 可能引起的安全问题有哪些?
答案:XSS,水平越权,SQL注入