面试练习题汇总
  • 说明
  • C/C++ 问答题汇总
  • 编程题汇总
    • 腾讯 2017 暑期实习生编程题
      • 构造回文
      • 算法基础-字符移位
      • 有趣的数字
    • 剑指 Offer 编程题练习
      • 二维数组中的查找
      • 从尾到头打印链表
      • 旋转数组的最小数字
      • 替换空格
      • 用两个栈实现队列
      • 重建二叉树
    • 网易 2017 校招笔试编程题
      • 二进制权重
      • 平方串
      • 数位和
  • 安全测试开发相关面试
    • 安全测试类面试参考
    • 业务安全类面试参考
    • 测试开发类面试参考
  • 深信服sangfor相关
    • 深信服acm相关
    • 测试类面试参考
    • 智安全杯
      • 智安全杯-2018比赛
      • 智安全杯-2019初赛
      • 智安全杯-2019复赛
  • 软件测试题汇总
  • 计算机知识题汇总
    • 前 75 题
    • 75 题以后
  • Python 语言特性
    • 1 Python的函数参数传递
    • 2 @staticmethod和@classmethod
    • 3 类变量和实例变量
    • 4 Python中单下划线和双下划线
    • 5 args and *kwargs
    • 6 面向切面编程AOP和装饰器
    • 7 单例模式
    • 8 Python 函数式编程
    • 9 Python 里的拷贝
  • stackoverflow-about-Python
    • Python中关键字yield有什么作用?
    • [Python中的元类(metaclass)是什么?](stackoverflow-about-Python/Python中的元类(metaclass)是什么.md)
    • Python中如何在一个函数中加入多个装饰器?
    • 如何判断一个文件是否存在?
    • 如何调用外部命令?
    • 枚举类型的使用?
    • 在Windows下安装pip?
    • 字典合并问题
    • 在Android上运行Python
    • 根据字典值进行排序
    • 在函数里使用全局变量
    • 变化的默认参数
    • 装饰器classmethod和staticmethod的区别
    • 检查列表为空的最好办法
    • 怎么用引用来改变一个变量
    • 检查文件夹是否存在的操作
    • name=main的作用
    • super与init方法
    • str与repr的区别
    • 循环中获取索引
    • 类里的静态变量
    • 怎么在终端里输出颜色?
    • 为什么用pip比用easy_install的好?
    • join的问题
    • 把列表分割成同样大小的块
    • 为什么代码在一个函数里运行的更快
    • 如何快速合并列表中的列表?
    • 如何知道一个对象有一个特定的属性?
    • 如何通过函数名的字符串来调用这个函数?
    • 单下划线和双下划线的含义?
  • Python 面试编程题
    • 1 台阶问题 斐波那契
    • 2 变态台阶问题
    • 3 矩形覆盖
    • 4 杨氏矩阵查找
    • 5 去除列表中的重复元素
    • 6 链表成对调换
    • 7 创建字典的方法
    • 8 合并两个有序列表
    • 9 二分查找
    • 10 快排
    • 11 找零问题
    • 12 二叉树相关
    • 13 单链表逆置
Powered by GitBook
On this page
  • 备注
  • Q&A

Was this helpful?

  1. 深信服sangfor相关
  2. 智安全杯

智安全杯-2019复赛

备注

只记录了部分题目

Q&A

1、一般情况下,用户向后台提交登录口令,后台认证成功后用户跳转到管理页面,那么当跳转发生时,数据包里面的状态码最可能是多少()
A、200
B、302
C、100
D、404

参考答案:B
301,302 都是HTTP状态的编码,都代表着某个URL发生了转移,不同之处在于:
301 redirect: 301 代表永久性转移(Permanently Moved),
302 redirect: 302 代表暂时性转移(Temporarily Moved ),
当然 Http 状态 200 标示没有任何问题发生。
2、Web 应用安全的核心问题在于
A、Web 服务器访问量巨大
B、用户可以提交任意输入
C、操作系统出现漏洞
D、Web服务器存在漏洞

参考答案:B
参考:http://www.ituring.com.cn/book/tupubarticle/16851
3、网络安全攻击类型多样,原理各异,其中CC攻击是当前网络中一种普遍的攻击,以下关于CC攻击说法正确的是()
A、CC攻击可以直接上传webshell控制服务器
B、syn flood攻击是CC攻击的一个分支
C、写恶意爬虫把网站爬死的原理与CC攻击一样
D、CC攻击是一种网络层的拒绝服务攻击

参考答案:C
A、这是文件上传的攻击
B、TCP攻击
D、应该是应用层的
参考:https://my.oschina.net/xiaominmin/blog/1648784
4、某站点存在 IIS6.0 解析漏洞,以下可解析的文件()
A、abc.asp:xx.txt
B、abc.asp.jpg
C、abc.txt
D、abc.asp;efg.jpg

参考答案:D
https://www.secpulse.com/archives/3750.html
5、关于 XSS,下列说法正确的是()
A、反射型XSS漏洞可以转化成基于DOM的XSS漏洞
B、XSS都是因为后端未对数据做安全检查造成的
C、从Cookie中获取用户名并输出到页面的过程不会导致XSS
D、CSRF是XSS的一种

参考答案:A
A、这俩区别主要在于位置的不同
B、也可以是浏览器前端做检查
C、改COOKIE呢
D、CSRF概念比较泛,比如可以系统命令执行,不依赖 XSS
6、OSPF路由协议比RIP路由协议的优势表现在()
A、支持协议报文验证
B、路由协议使用组播技术
C、没有环路
D、支持可变长子网掩码

参考答案:D
RIPv2才开始支持可变长子网掩码
https://www.cnblogs.com/rusty/archive/2011/03/18/1987782.html
7、网关冗余的主流解决方案不包括哪些?()
A、VRRP
B、HRSP
C、GLBP
D、代理ARP

参考答案:B或D
B、书写拼错了,HSRP
D、代理ARP不主流,比较早期了
https://jingyan.baidu.com/article/414eccf64e96bd6b421f0a63.html
8、如果企业内部需要连接入Internet的用户一共有 400 个,但该企业只申请到一个 C 类的合法 IP 地址,则应该使用哪种 NAT 方式实现()
A、NAPT
B、动态NAT
C、TCP负载均衡
D、静态NAT

参考答案:B
D、静态NAT是一对一转换
9、为了将几个已经分片的数据按照顺序重新组装,目的主机需要使用 IP 数据报头中的哪个字段()?
A、偏移字段
B、服务类型ToS字段
C、TTL字段
D、首部长度字段

参考答案:A
10、某个网站,不需要知道密码就可以直接登录任意用户账号,这个网站最可能存在什么漏洞()
A、越权
B、XSS
C、CSRF
D、SQL注入

参考答案:D
11、在 NAT 环境下通过什么技术可以解决多 VPN 连接的问题?()
A、GRE
B、NAT-T
C、TRUNK
D、NAPT

参考答案:B
https://zh.wikipedia.org/zh-hans/NAT%E7%A9%BF%E9%80%8F
IPsec VPN客户普遍使用NAT-T来达到使ESP包通过NAT的目的。
12、关于CSRF,下列说法错误的是()
A、CSRF本质是盗用受害者身份,以受害者名义发送恶意请求
B、CSRF能够获取受害者的 Cookie 信息
C、验证 HTTP 头的 Refer 是防御 CSRF 的方法之一
D、CSRF 的全称是 Cross Site Request Foregery

参考答案:B
13、在实际应用中,我们有时候会将大的数据进行分片,分成多个小的数据进行传输,请问以上分片(分段)归属于OSI哪个层级负责?()
A、数据链路层
B、网络层
C、物理层
D、传输层

参考答案:D
https://www.nowcoder.com/questionTerminal/23e28e5041664bcaabffdaf80d334849
14、请简述SQL漏洞产生的原因?

参考答案:
其成因可以归结为以下两点原因叠加造成的:
1.程序编写者再处理程序和数据库交互的时候,使用字符拼接的方法构造SQL语句
2.未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中

参考:https://blog.csdn.net/qq_29920751/article/details/51661257
参考2:https://www.jianshu.com/p/282a0d3b2afe
15、请简述利用 SQL 漏洞进行脱库的全过程?

参考答案:
1、手动找出注入点
2、sqlmap -u http://www.******.com/subcat.php?id=2 --dump-all

参考:http://www.voidcn.com/article/p-uivrlyls-xe.html
16、请简述 SQL 的防御办法?

参考答案:
采用sql语句预编译和绑定变量,是防御sql注入的最佳方法
但是不是所有场景都能够采用 sql语句预编译,有一些场景必须的采用 字符串拼接的方式,此时,我们严格检查参数的数据类型,还有可以使用一些安全函数,来防止sql注入。

参考:https://www.cnblogs.com/digdeep/p/4715245.html
17、在 NAT 环境下应该使用哪种 VPN 封装格式和传输模式?
18、在 NAT 环境多条 VPN 连接的场景下,标准 IPSEC VPN 存在什么问题?
19、如何解决此问题,请详细说明实现原理?
Previous智安全杯-2019初赛Next软件测试题汇总

Last updated 5 years ago

Was this helpful?