腾讯综合笔试题

嗯，趁着兴头再写一篇吧，反正明天是放假，一年里有两三个晚上睡得
晚一点也不算太过份~~
上一篇讲到在客户端安全方面，我们可以做些什么事情，又是怎么做的。
这一篇就讲一下另一块，在web 安全这方面，我们在做的，又是什么样的事
情，使用的是什么样的技术。让我先把时间回退到大学时代：那时候听

到很多故事，什么中美黑客大战啦，大陆与台湾的黑客大战啦，白宫的官方 www.qz26.com
网站被黑啦，谁家的小孩因为入侵什么重要的系统被抓啦，诸如此类的非常
多，那时觉得很神奇，也对信息安全这个专业充满幻想，以为学到最后，我
们也能如传说中的黑客那样，在网络上自由自在地游弋。不过幻想始终是幻
想，直到毕业了我也不知道在实际中我怎样才能“黑”掉一台服务器。虽然幻想
没有实现，不过我也知道不要把传说太当真。不过在大三的时候，发生了一
件让我难以接受的事情：同班同学告诉我，我们学院网站的数据库被别的学
校的一个学生用什么方法下载了！这个消息让我非常沮丧：一是我们计算机
学院的网站（很多人都会有一种看法，即某个机构的网站在一定程度上代表
这个机构的计算水平）竟然这样不堪一击；二是我们一直引以为傲的信息安
全，所教导的学生，却无法做到一件一个不太入流的大学里的一个普通学生
所能做到的事情，这很让我对自己所受的教育产生怀疑。
直到参加工作一段时间之后，当初的怀疑与沮丧才消除：从根本上来说，
怎样攻占站点其实只是一种实际的技术而已，这种技术和学习某一门编程语
言一样，是可以通过自学与实践很快就掌握的，会与不会只是一个谁先学谁
后学的问题。但更重要的，却是解决问题的思维方式与方法论，而这则会决
定一个人以后能在多大的天地做出贡献。
有点罗嗦了，呵呵。把主题集中回web 安全这里：web 安全往具体里说
也包括很多，渗透测试是其中很重要的一个方面。我在腾讯一年半的时间里，
做的都是这个事情。从本质上来说，web 渗透测试就是一种黑盒测试，但比
起客户端软件来说，做起来就容易很多。这是由web 应用的特点所决定的：

传统上，每一个web 程序都是一个功能单一、体积小巧的独立程序，输入有
限，输出有限，能访问的资源也有限。这样无论是普通的功能与性能测试，
还是安全渗透测试，都比较容易进行。
总的来说，web 渗透测试就是给目标程序提交各种“变态”的参数，看这
个程序能不能访问到正常情况下不允许访问的数据、文件，是否输出了一些
不太安全的内容到返回页面上。所需的全部家当呢，就是一个浏览器了，可
能还得加上一个可以查看HTTP 请求的工具。
比如说，我们查看山水的一篇帖子，是在浏览器地址栏里面输入这样形
式的地址来进行的：

在这里，bbsrecon.php 就是一个web 程序，id 就是这个程序的输入参数，
2525 就是一个具体的输入数据实例。我们可以猜测，这个web 程序以这个id
为索引，去后台数据库里查找一条匹配的记录，然后把内容复制到一个网页
框架里，再返回来给我们的浏览器；也有可能，论坛的帖子是以文件形式存
放的，这个web 程序用这个id 形成一个具体的文件名，然后
首先，这个程序是一个黑盒子，我是不知道它里面的具体实现的。但是
我可以通过一些固定的模式来测试去得到足够的信息来猜测它是怎么做的。
这样的模式是通用而且非常简单的：我在看到“?id=2525”这样形式的链接地
址时，就会习惯地在参数后面多加一个引号（或者是双引号），再按下回车
让浏览器发送这样的一个请求：

 为什么是单双引号
呢？因为这个符号可以构成一个很奇妙的测试用例：（1）原本是一串数字的
2525，现在因为末尾的引号而变成了一个不合法的数字，程序怎样处理一个
原本期望是数字串但实际却含有非数字字符的输入呢？（2）对于使用数据来
做存储的应用来说，它极有可能利用输入参数来构造一个SQL 语句传给后台
数据库，才能最终完成的请求，我们可以猜想这个语句具有这样的形式：
select * from article where aid=2525 。而我们额外添加的引号有可能原封不
动地添加到这个SQL 语句的末尾----而这如果传到DB 中去的话，势必会引起

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14]  下一页