滴滴出行2017秋招安全岗笔试真题汇总-公司真题-面试哥

题型	单选题	多选题	简答题
数量	16	14	6

1.

下面对于cookie的描述中错误的是？

问题详情

A. Cookie通过HTTP Headers从浏览器端发送到服务器端并存储在服务器端
B. Cookie的大小限制在4kb左右，对于复杂的存储需求来说是不够用的
C. 如果在一台计算机中安装多个浏览器，每个浏览器都会以独立的空间存放cookie
D. 由于在HTTP请求中的Cookie是明文传递的，所以安全性成问题

2.

现有某函数，其方法声明为：int func(int x)</

问题详情

现有某函数，其方法声明为：int func(int x)

该函数对应的ARM汇编代码如下：

0000016A PUSH {LR}

0000016C MOVS R3, #1

0000016E ADDS R1, R3, #0

00000170 loc_170

00000170 CMP R0, #0

00000172 BLE loc_184

00000174 MOVS R2, R0

00000176 MULS R2, R3

00000178 ADDS R3, R2, #1

0000017A TST R0, R1

0000017C BEQ loc_180

0000017E ADDS R3, R2, #0

00000180 loc_180

00000180 SUBS R0, #1

00000182 B loc_170

00000184 loc_184

00000184 MOVS R0, R3

00000186 POP {PC}

从上面的汇编代码可以得出func(3)的值等于

A. 5
B. 6
C. 7
D. 8
E. 9
F. 10

3.

安卓系统中所有App进程是下面的哪个进程fork产生的

问题详情

A. init
B. system_server
C. zygote
D. kthreadd

4.

以下关于内存文件mmap映射的说法不正确的是

问题详情

A. 当文件被映射到进程地址空间后，进程可以像访问普通内存一样对文件进行访问
B. 子进程会继承父进程通过mmap映射的地址空间
C. 使用mmap必须指定映射到内存的具体文件
D. 同一个文件的不同段内容可以分别被映射到不同的内存空间

5.

常见的网络嗅探器，以下哪个不是？

问题详情

A. tcpdump
B. wvs
C. wireshark
D. sniffit

6.

以下算法不能用于文本加密的是

问题详情

A. RC4
B. RSA
C. MD5
D. DES

7.

下列关于 Android 数字签名描述错误的是：

问题详情

A. 所有的应用程序都必须有数字证书，Android系统不会安装一个没有数字证书的应用程序
B. Android程序包使用的数字证书可以是自签名的，不需要一个权威的数字证书机构签名认证
C. 数字证书都是有有效期的，Android只是在应用程序安装的时候才会检查证书的有效期。如果程序已经安装在系统中，即使证书过期也不会影响程序的正常功能。
D. 如果要正式发布一个Android程序，可以使用集成开发工具生成的调试证书来发布。

8.

现有Android应用内某函数，其方法声明为：private

问题详情

现有Android应用内某函数，其方法声明为：private int func()

该函数对应的smali反汇编代码如下：

.method private func()I

00000000 const-string v2, "Didichuxing"

00000004 const/4 v0, 0

00000006 const/4 v1, 0

00000008 invoke-virtual String->length()I, v2

0000000E move-result v3

00000010 if-ge v1, v3, :2E

00000014 const/16 v3, 0x0069

00000018 invoke-virtual String->charAt(I)C, v2, v1

0000001E move-result v4

00000020 if-ne v3, v4, :28

00000024 add-int/lit8 v0, v0, 0x01

00000028 add-int/lit8 v1, v1, 0x01

0000002C goto :8

0000002E return v0

.end method

从上面的smali反汇编代码可以得出该方法的返回值等于

A. 1
B. 2
C. 3
D. 4
E. 5

9.

凯撒（Caesar)密码是一种基于字符替换的对称式加密方法，它是通过对26个英文

问题详情

凯撒（Caesar)密码是一种基于字符替换的对称式加密方法，它是通过对26个英文字母循环移位和替换来进行编码的。设待加密的消息为"Didi Family"，加密后的密文是"Nsns PkwsvI"，则采用的密匙k是

A. 10
B. 11
C. 13
D. 15

10.

当一个HTTPS 站点的证书存在问题时，浏览器就会出现警告信息以提醒浏览者注意，

问题详情

当一个HTTPS 站点的证书存在问题时，浏览器就会出现警告信息以提醒浏览者注意，下列描述中哪一条不是导致出现提示的必然原因？

A. 证书过期
B. 证书没有被浏览器信任
C. 证书的CN与实际站点不符
D. 浏览器找不到对应的证书颁发机构

11.

攻击者采用某种手段,使用户访问某网站时获得一个其他网站的IP地址,从而将用户的访

问题详情

攻击者采用某种手段,使用户访问某网站时获得一个其他网站的IP地址,从而将用户的访问引导到其他网站,这种攻击手段称为?

A. ARP欺骗攻击
B. DNS欺骗攻击
C. 暴力攻击
D. 重放攻击

12.

下面关于 RSA 算法的描述,不正确的是?

问题详情

A. RSA是非对称加密算法
B. RSA的运行速度相比 AES 算法要慢很多
C. RSA的安全性依赖于大数分解
D. TLS/SSL协议中RSA的公钥长度一般为128位或256位

13.

攻击者截获并记录了从A到B的数据，然后又从早些时候所截获的数据中提取出信息重新发

问题详情

攻击者截获并记录了从A到B的数据，然后又从早些时候所截获的数据中提取出信息重新发往B称为

A. 中间人攻击
B. 口令猜测器和字典攻击
C. 强力攻击
D. 重放攻击

14.

以下哪一项不是针对操作体统的安全保护措施？

问题详情

A. SELINUX
B. nProtect
C. DEP
D. ASLR

15.

以下哪个算法不是对称加密算法

问题详情

A. DES
B. RC5
C. ECDH
D. AES

16.

文件aaa的访问权限为rw-r--r--,现要增加所有用户的执行权限和同组用户的

问题详情

文件aaa的访问权限为rw-r--r--,现要增加所有用户的执行权限和同组用户的写权限，下列哪些命令是正确的？

A. chmod a+x g+w aaa
B. chmod 764 aaa
C. chmod o+x g+w aaa
D. chmod 775 aaa

17.

件aaa的内容如下：

问题详情

文件aaa的内容如下：

1001:1

1002:2

1003:1

1004:2

期望处理aaa文件得到以下输入结果：

1001

1003

以下命令能满足的有

A. grep "1$" aaa | awk -d: '{print $1}'
B. grep "1$" aaa | cut -d: -f0
C. sed '/:2/d' aaa | sed 's/:1//g'
D. awk -F: '{if ($2==1){print $1}}' aaa

18.

下列关于SSL的描述中，正确的有

问题详情

A. SSL即安全套接字层，是一种安全协议，它为网络的通信提供私密性，工作在应用层和传输层之间。
B. .SSL能加密数据以防止数据中途被窃取,维护数据的完整性，确保数据在传输过程中不被改变。
C. SSL实际上是共同工作的两个协议，SSL记录协议和SSL握手协议。
D. SSL握手协议为高层协议提供基本的安全服务。

19.

以下说法中，哪些说法是正确的

问题详情

A. 缓冲区溢出指的是通过向程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令，以达到攻击的目的。
B. 在C/C++语言中，缓冲区溢出的任何尝试通常都会被语言本身自动检测并阻止。
C. 检查缓冲区长度、GS编译选项、堆栈保护可以防御溢出攻击
D. 溢出是程序设计者设计时的不足所带来的错误。

20.

以下哪种加密方案是相对最安全的？

问题详情

A. RSA加密算法，密钥长度512位
B. AES加密算法，选择ECB模式，密钥长度128位
C. AES加密算法，选择CBC模式，密钥长度128位
D. DES算法

21.

Linux系统下，关于权限描述正确的是：

问题详情

A. 文件权限描述"-rwxrw-r-x"对应权限值为754
B. 文件权限描述"drw-rw-rw-"中的首字符'd'表示该文件为软链接文件
C. 文件权限值为723，表示其他用户可以执行该文件
D. 文件权限值744，表示除了文件所有者外其他用户不可执行

22.

同一进程下的线程可以共享以下？

问题详情

A. stack
B. data section
C. register set
D. file fd

23.

下列哪部分代码片段如果使用不当会导致安全漏洞？

问题详情

A. <?php ... $sql = "select * from admin where id=".$_GET['id'] $result = mysql_query($sql) ...
B. <?php $username = $_GET['name'] echo htmlspecialchars($username) ...
C. <?php ... $file = $_GET['file'] echo file_get_contents($file) ...
D. <?php $string = $_GET['text'] $pattern = '/(\w+) (\d+), (\d+)/ie' $replacement = '${1}1,$3' echo preg_replace($pattern, $replacement, $string) ?>

24.

文件完整性校验所使用的加密算法有哪些

问题详情

A. md5
B. sha1
C. des
D. rsa

25.

浏览器和服务器在基于https进行请求链接到数据传输过程中，用到了如下哪些技术：

问题详情

A. 非对称加密技术
B. 对称加密技术
C. 散列（哈希）算法
D. 数字证书

26.

下列哪些函数可能导致缓冲区溢出?

问题详情

A. wcscpy
B. vsprintf
C. scanf
D. strcat_s

27.

iOS平台上常见的Hook框架有:

问题详情

A. Xposed
B. Intent Fuzz
C. Drozer
D. Substrate

28.

黑客通过以下哪种攻击方式，可能大批量获取网站注册用户的身份信息

问题详情

A. XSS
B. CSRF
C. 越权
D. 以上都不可以

29.

使用以下哪些工具可以直接调试安卓app代码逻辑？

问题详情

A. baksmali
B. ddms
C. IDA
D. gdb

30.

Android 应用中导致HTTPS中间人攻击的原因有？

问题详情

A. 没有对SSL证书校验
B. 没有对主机名进行校验
C. SSL证书被泄露
D. 使用WIFI连接网络

31.

外部某平台报告公司产品存在Webshell漏洞。老板指定身为安全工程师的你全权协

问题详情

外部某平台报告公司产品存在Webshell漏洞。老板指定身为安全工程师的你全权协调处理此事，请思考，你需要做些什么

32.

自行编写一段代码，要求代码包含UAF(Use After Free)漏洞。假设该

问题详情

自行编写一段代码，要求代码包含UAF(Use After Free)漏洞。假设该代码运行在内核中，简述普通用户如何利用代码中的UAF漏洞提升权限

33.

简述客户端App签名验证的原理和基本过程

问题详情

34.

简述一次https通信建立的全过程

问题详情

35.

请分析滴滴出行APP的登录功能可能面临的安全风险或漏洞，并提供相应的解决方案。

问题详情

36.

请说出常见的安全漏洞类型及漏洞原理

问题详情

滴滴出行2017秋招安全岗笔试真题汇总

题型介绍

下面对于cookie的描述中错误的是？

<p> <span>现有某函数，其方法声明为：int func(int x)</

安卓系统中所有App进程是下面的哪个进程fork产生的

以下关于内存文件mmap映射的说法不正确的是

常见的网络嗅探器，以下哪个不是？

以下算法不能用于文本加密的是

下列关于 Android 数字签名描述错误的是：

<p> <span>现有Android应用内某函数，其方法声明为：private

凯撒（Caesar)密码是一种基于字符替换的对称式加密方法，它是通过对26个英文

当一个HTTPS 站点的证书存在问题时，浏览器就会出现警告信息以提醒浏览者注意，

攻击者采用某种手段,使用户访问某网站时获得一个其他网站的IP地址,从而将用户的访

下面关于 RSA 算法的描述,不正确的是?

攻击者截获并记录了从A到B的数据，然后又从早些时候所截获的数据中提取出信息重新发

以下哪一项不是针对操作体统的安全保护措施？

以下哪个算法不是对称加密算法

文件aaa的访问权限为rw-r--r--,现要增加所有用户的执行权限和同组用户的

<p> <span>件aaa的内容如下：</span><span></span>

下列关于SSL的描述中，正确的有

以下说法中，哪些说法是正确的

以下哪种加密方案是相对最安全的？

Linux系统下，关于权限描述正确的是：

同一进程下的线程可以共享以下？

下列哪部分代码片段如果使用不当会导致安全漏洞？

文件完整性校验所使用的加密算法有哪些

浏览器和服务器在基于https进行请求链接到数据传输过程中，用到了如下哪些技术：

下列哪些函数可能导致缓冲区溢出?

iOS平台上常见的Hook框架有:

黑客通过以下哪种攻击方式，可能大批量获取网站注册用户的身份信息

使用以下哪些工具可以直接调试安卓app代码逻辑？

Android 应用中导致HTTPS中间人攻击的原因有？

外部某平台报告公司产品存在Webshell漏洞。老板指定身为安全工程师的你全权协

自行编写一段代码，要求代码包含UAF(Use After Free)漏洞。假设该

简述客户端App签名验证的原理和基本过程

简述一次https通信建立的全过程

请分析滴滴出行APP的登录功能可能面临的安全风险或漏洞，并提供相应的解决方案。

请说出常见的安全漏洞类型及漏洞原理