2015年腾讯安全技术笔试经验分享
2015-03-30 19:17
399 查看
近日抱着试试看的心理参加了腾讯安全技术笔试。和大家分享一下。
虽然没有精心准备,但还是认真完成了当天的考试。在线考试两个小时,全程都要开启摄像头,弄得有点小紧张。题目和去年相似,知识面很广,主要考了XSS漏洞 、SQL注入和网络安全基础的一些题目。不同的是增加了大量的移动安全方向的题目,以Android为主。大约占了三分之一,最后一道大题也是关于Android的。这也看出国内各大互联网公司开始对移动安全的重视。
在基础方面,考察了基本网络协议及Windows和Linux常见命令及特性。包含TCP、UDP协议,ftp访问命令等。
XSS漏洞和SQL注入一直是互联网企业经常面对的问题,解决以上问题也成为安全工程师必须掌握的本领。
XSS漏洞即跨站脚本漏洞(Cross Site Scripting,常简写作XSS)是Web应用程序在将数据输出到网页的时候存在问题,导致攻击者可以将构造的恶意数据显示在页面的漏洞。因为跨站脚本攻击都是向网页内容中写入一段恶意的脚本或者HTML代码,故跨站脚本漏洞也被叫做HTML注入漏洞(HTML Injection)。
XSS攻击分为两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
可参见:http://www.venustech.com.cn/NewsInfo/356/4510.Html
本次考试最主要还是移动安全方向的题目,特别是一些Android基础知识。包含Android中adb工具的概念、Android平台上DEX文件、Android软件反调试作用、Android Intent传递、Android平台下的Hook框架、Java机制调用Android framework私有方法等。
总体感觉不是特别刁钻的难题,但出题方式和我们平时的不太相同,以实践性的为主,很多都是给你一段代码,问你用了什么算法或者其中的漏洞是什么。光靠书本是还是远远不够的,还需要继续努力!
虽然没有精心准备,但还是认真完成了当天的考试。在线考试两个小时,全程都要开启摄像头,弄得有点小紧张。题目和去年相似,知识面很广,主要考了XSS漏洞 、SQL注入和网络安全基础的一些题目。不同的是增加了大量的移动安全方向的题目,以Android为主。大约占了三分之一,最后一道大题也是关于Android的。这也看出国内各大互联网公司开始对移动安全的重视。
在基础方面,考察了基本网络协议及Windows和Linux常见命令及特性。包含TCP、UDP协议,ftp访问命令等。
XSS漏洞和SQL注入一直是互联网企业经常面对的问题,解决以上问题也成为安全工程师必须掌握的本领。
XSS漏洞即跨站脚本漏洞(Cross Site Scripting,常简写作XSS)是Web应用程序在将数据输出到网页的时候存在问题,导致攻击者可以将构造的恶意数据显示在页面的漏洞。因为跨站脚本攻击都是向网页内容中写入一段恶意的脚本或者HTML代码,故跨站脚本漏洞也被叫做HTML注入漏洞(HTML Injection)。
XSS攻击分为两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
可参见:http://www.venustech.com.cn/NewsInfo/356/4510.Html
本次考试最主要还是移动安全方向的题目,特别是一些Android基础知识。包含Android中adb工具的概念、Android平台上DEX文件、Android软件反调试作用、Android Intent传递、Android平台下的Hook框架、Java机制调用Android framework私有方法等。
总体感觉不是特别刁钻的难题,但出题方式和我们平时的不太相同,以实践性的为主,很多都是给你一段代码,问你用了什么算法或者其中的漏洞是什么。光靠书本是还是远远不够的,还需要继续努力!
相关文章推荐
- 2013 ISC:12位讲师的安全技术经验与最佳实战分享(含PDF)
- Android WebView技术详解和经验分享
- 经验分享之一:以什么心态来面对技术
- 2015年秋季腾讯校园招聘开发岗笔试题(四道大题)
- 腾讯2016实习招聘-安全岗笔试题答案详细解释
- 通用权限管理系统送国家软件评测中心进行应用安全三级认证的经验分享
- 一起谈.NET技术,Azure和Bing Maps API示例经验分享
- [技术分享]用户密码安全存储建议
- 从程序员到技术总监,分享10年开发经验
- 2014阿里交互设计实习笔试面试(笔者止步2面)抛砖引玉坐等拿到Offer的童鞋分享经验
- 经验分享(十五)我们到底该怎么学技术?如何成为一个优秀的技术人员?
- Unity性能优化专题(腾讯牛人分享经验)
- 内容为王--分享经验、成就百万技术名博(3)
- 2015年个人收获-成果、经验分享(项目经理、集成资质、网站开发、服务器等)
- 从程序员到技术总监,分享10年开发经验
- 从程序员到技术总监,分享10年开发经验
- 网易游戏 从笔试到offer 经验分享
- 26条安全开车经验 开车20年老司机分享
- 2015年腾讯软件开发实习生招聘笔试题
- [腾讯面试] 2016届腾讯实习生招聘笔试+面试(技术岗)