2015年腾讯安全技术笔试经验分享

近日抱着试试看的心理参加了腾讯安全技术笔试。和大家分享一下。

虽然没有精心准备，但还是认真完成了当天的考试。在线考试两个小时，全程都要开启摄像头，弄得有点小紧张。题目和去年相似，知识面很广，主要考了XSS漏洞 、SQL注入和网络安全基础的一些题目。不同的是增加了大量的移动安全方向的题目，以Android为主。大约占了三分之一，最后一道大题也是关于Android的。这也看出国内各大互联网公司开始对移动安全的重视。

在基础方面，考察了基本网络协议及Windows和Linux常见命令及特性。包含TCP、UDP协议，ftp访问命令等。

XSS漏洞和SQL注入一直是互联网企业经常面对的问题，解决以上问题也成为安全工程师必须掌握的本领。

XSS漏洞即跨站脚本漏洞（Cross Site Scripting，常简写作XSS）是Web应用程序在将数据输出到网页的时候存在问题，导致攻击者可以将构造的恶意数据显示在页面的漏洞。因为跨站脚本攻击都是向网页内容中写入一段恶意的脚本或者HTML代码，故跨站脚本漏洞也被叫做HTML注入漏洞（HTML Injection）。

XSS攻击分为两类，一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句，如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来自外部的攻击，主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点，我们自己构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

可参见：http://www.venustech.com.cn/NewsInfo/356/4510.Html

本次考试最主要还是移动安全方向的题目，特别是一些Android基础知识。包含Android中adb工具的概念、Android平台上DEX文件、Android软件反调试作用、Android Intent传递、Android平台下的Hook框架、Java机制调用Android framework私有方法等。

总体感觉不是特别刁钻的难题，但出题方式和我们平时的不太相同，以实践性的为主，很多都是给你一段代码，问你用了什么算法或者其中的漏洞是什么。光靠书本是还是远远不够的，还需要继续努力！