美团2017秋招笔试真题-安全工程师卷A -公司真题-面试哥

题型	单选题	多选题	简答题
数量	12	5	3

1.

在 php + mysql + apache 架构的web服务中输入GET参数

问题详情

在 php + mysql + apache 架构的web服务中输入GET参数 index.php?a=1&a=2&a=3 服务器端脚本 index.php 中$GET[a] 的值是？

A. 1
B. 2
C. 3
D. 1,2,3

2.

以下哪些不是CSRF漏洞的防御方案？

问题详情

A. 检测HTTPreferer
B. 使用随机token
C. 使用验证码
D. html编码

3.

以下程序存在何种安全漏洞？<tr> <td class="font_cont

问题详情

以下程序存在何种安全漏洞？

<tr>
  <td class="font_content" align="right">交易状态：</td>
  <td class="font_content" align="left"><?php echo $_GET['trade_status']?></td>
</tr>

A. XSS
B. sql注入
C. 命令执行
D. 代码执行

4.

下列哪些工具可以作为离线破解密码使用？

问题详情

A. hydra
B. Medusa
C. Hscan
D. OclHashcat

5.

下列命令中不能用于Android应用程序反调试的是？

问题详情

A. ps
B. cat/proc/self/status
C. cat/proc/self/cmdline
D. cat/proc/self/stat

6.

用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段？

问题详情

B. 钓鱼攻击
C. 暗门攻击
D. DDOS攻击
A. 缓存溢出攻击

7.

下列关于各类恶意代码说法错误的是？

问题详情

A. 蠕虫的特点是其可以利用网络进行自行传播和复制
B. 木马可以对远程主机实施控制
C. Rootkit即是可以取得Root权限的一类恶意工具的统称
D. pcshare一种远程控制木马

8.

关于XcodeGhost事件的正确说法是？

问题详情

A. 部分Android 产品也受到了影响
B. 应用程序开发使用了包含后门插件的IDE
C. 当手机被盗时才有风险
D. 苹果官方回应APPSTORE上的应用程序不受影响

9.

下列关于各类恶意代码说法错误的是？

问题详情

A. 蠕虫的特点是其可以利用网络进行自行传播和复制
B. 木马可以对远程主机实施控制
C. Rootkit即是可以取得Root权限的一类恶意工具的统称
D. 通常类型的病毒都只能破坏主机上的各类软件，而无法破坏计算机硬件

10.

Unix系统日志文件通常是存放在？

问题详情

A. /var/log
B. /usr/adm
C. /etc/
D. /var/run

11.

防止系统对ping请求做出回应，正确的命令是？

问题详情

A. echo 0>/proc/sys/net/ipv4/icmp_ehco_ignore_all
B. echo 0>/proc/sys/net/ipv4/tcp_syncookies
C. echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all
D. echo 1>/proc/sys/net/ipv4/tcp_syncookies

12.

文件名为webshell.php.phpp1.php02的文件可能会被那个服务器

问题详情

文件名为webshell.php.phpp1.php02的文件可能会被那个服务器当做php文件进行解析？

A. Apache
B. IIS
C. nginx
D. squid

13.

cookie安全机制，cookie有哪些设置可以提高安全性？

问题详情

A. 指定cookie domain的子域名
B. httponly设置
C. cookie secure设置，保证cookie在https层面传输
D. 都不对

14.

下列哪些方式对解决xss漏洞有帮助？

问题详情

A. csp
B. html编码
C. url编码
D. 验证码

15.

可以抓取Windows 登录密码的安全工具有？

问题详情

A. mimikatz
B. sqlmap
C. pwdump7
D. hashcat

16.

关于对称加密以下说法不正确的是？

问题详情

A. DES属于对称加密
B. 对称加密算法需要两个密钥来进行加密和解密
C. 对称加密也叫单密钥加密
D. RSA属于对称加密

17.

以下哪些命令可以查看windows安全日志？

问题详情

A. wevtutil
B. eventquery.vbs
C. systeminfo
D. dsquery

18.

以下PHP代码经过mysql_real_escape_string过滤还存在漏洞？为什么？

问题详情

以下PHP代码经过mysql_real_escape_string过滤还存在漏洞？为什么？

$id = $_GET['id']
$id = mysql_real_escape_string($id)
$getid = "SELECT first_name, last_name FROM users WHERE user_id = $id"
$result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' )
$num = mysql_numrows($result)

19.

如果拿到了一台服务器的webshell，如何再进一步渗透内网？请详细描述，并给出

问题详情

如果拿到了一台服务器的webshell，如何再进一步渗透内网？请详细描述，并给出尽量多的方法。

20.

请尽可能多的列举你所了解的一个互联网公司可能面对的安全技术问题。如果能针对列举的

问题详情

请尽可能多的列举你所了解的一个互联网公司可能面对的安全技术问题。如果能针对列举的安全问题能提供一些防护思路则会加分（不是列举具体的事例，而是分类列举安全技术类别，譬如：员工账户密码过于简单导致密码泄露）

美团2017秋招笔试真题-安全工程师卷A

题型介绍

在 php + mysql + apache 架构的web服务中输入GET参数

以下哪些不是CSRF漏洞的防御方案？

以下程序存在何种安全漏洞？<tr> <td class="font_cont

下列哪些工具可以作为离线破解密码使用？

下列命令中不能用于Android应用程序反调试的是？

用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段？

下列关于各类恶意代码说法错误的是？

关于XcodeGhost事件的正确说法是？

下列关于各类恶意代码说法错误的是？

Unix系统日志文件通常是存放在？

防止系统对ping请求做出回应，正确的命令是？

文件名为webshell.php.phpp1.php02的文件可能会被那个服务器

cookie安全机制，cookie有哪些设置可以提高安全性？

下列哪些方式对解决xss漏洞有帮助？

可以抓取Windows 登录密码的安全工具有？

关于对称加密以下说法不正确的是？

以下哪些命令可以查看windows安全日志？

以下PHP代码经过mysql_real_escape_string过滤还存在漏洞？为什么？

如果拿到了一台服务器的webshell，如何再进一步渗透内网？请详细描述，并给出

请尽可能多的列举你所了解的一个互联网公司可能面对的安全技术问题。如果能针对列举的