美團點評2017筆試真題-安全工程師卷B
1、以下哪種上傳處理方式相對安全?
正確答案: C
A 檢查Content-Type,非image格式一律禁止上傳
B 黑名單檢測方式
C 白名單檢測方式
D javascript判斷是否允許上傳
2、正則表示式語法中 \D 匹配的是?
正確答案: B
A 數字
B 非數字
C 字母
D 空白字元
3、以下哪種方式可以開啟socket埠?
正確答案: C
A ssh -L lport:DHost:Dport [email protected]
B ssh -R lport:DHost:Dport [email protected]
C ssh -D lport [email protected]
4、sql server2005注入點那種許可權可以使用xp_cmdshell執行命令?
正確答案: C
A public許可權
B db_owner許可權
C SA許可權
D 其他都正確
5、如下Activity程式碼:
並定義如下變數:
ArrayListuser_id = new ArrayList(); user_id.add(1); user_id.add(2);
ArrayListuser_id1 = new ArrayList();
BigInteger bi = BigInteger.valueOf(1);
下面哪個Intent傳入會造成應用崩潰:
正確答案: A
A
Intent i = new Intent();
i.setAction(“mSec”);
i.putExtra(“serializable_key”, bi);
i.putExtra(“user_id”, user_id1);
B
Intent i = new Intent();
i.setAction(“Msec”);
i.putExtra(“serializable_key”, bi);
i.putExtra(“user_id”, user_id);
C
Intent i = new Intent();
i.setAction(“Msec”);
i.putExtra(“serializable_key”, “str”);
i.putExtra(“user_id”, user_id);
6、預設埠11211上開放的服務是?
正確答案: D
A Docker
B pop3
C mongodb
D memcached
7、關於XcodeGhost事件的正確說法是?
正確答案: B
A 部分Android 產品 也受到了影響
B 應用程式開發使用了包含後門外掛的IDE
C 當手機被盜時才有風險
D 蘋果官方迴應APPSTORE上的應用程式不受影響
8、下列關於各類惡意程式碼說法錯誤的是?
正確答案: C
A 蠕蟲的特點是其可以利用網路進行自行傳播和複製
B 木馬可以對遠端主機實施控制
C Rootkit即是可以取得Root許可權的一類惡意工具的統稱
D 通常型別的病毒都只能破壞主機上的各類軟體,而無法破壞計算機硬體
9、unix系統日誌檔案通常是存放在?
正確答案: A
A /var/log
B /usr/adm
C /etc/
D /var/run
10、以下哪種sql注入支援多語句執行?
正確答案: A
A sql server
B oracle
C mysql
D db2
11、sql注入(mysql資料庫)中常用的延時函式是?
正確答案: A C
A sleep()
B pthread_join
C benchmark
D postpone
12、以下哪些工具可以抓取HTTP資料包?
正確答案: A C
A Burpsuite
B hackbar
C Fiddler
D Nmap
13、應急響應中常用檢視資訊的命令有哪些?
正確答案: A B C D
A ps -aux
B last
C w
D more .bash_history
14、惡意攻擊行為中,屬於被動攻擊的有?
正確答案: A B
A 竊聽
B 流量分析
C SQL注入攻擊
D 暴力破解
15、簡述windows不同情況下下抓hash的幾種方式?假如cmdshell是system許可權,可不可以IPC到目標機器,如果可以應該怎麼做?
16、現在手機支付非常流行。請簡單列舉一下,你認為在手機支付方面,可能存在哪些安全隱患?如果你是一家手機支付服務的公司的安全工程師,針對你剛才列舉的這些安全隱患,你有什麼可能的改善方法?