前言以下为网络安全各个方向涉及的面试题，星数越多代表问题出现的几率越大，祝各位都能找到满意的工作。注：本套面试题，已整理成pdf文档，但内容还在持续更新中，因为无论如何都不可能覆盖所有的面试问题，更多的还是希望由点达面，查漏补缺。一、渗透测试方向：如何绕过CDN找到真实IP，请列举五种方法(★★★)redis未授权访问如何利用，利用的前提条件是？(★★★)mysql提权方式有哪些?利用条件是什么?(★)windows+mysql，存在sql注入，但是机器无外网权限，可以利用吗?(★)常用的信息收集手段有哪些，除去路径扫描，子域名爆破等常见手段，有什么猥琐的方法收集企业信息?(★★)SRC挖掘与

val1=1val2="1"ifval1==val2#如何比较数字和它的字符串表示？ 最佳答案 将其中一个转换为另一个，所以要么:val1.to_s==val2#returnstrue或者:val1==val2.to_i#returnstrue虽然ruby是dynamicallytyped(类型在运行时已知)，它也是stronglytyped(类型不会隐式类型转换) 关于ruby-比较数字及其字符串表示，我们在StackOverflow上找到一个类似的问题：

或者是否需要外部gem来生成随机且唯一的用户名？这是我现在的工厂:factory:user_4dosequence(:id){|n|n}sequence(:first_name){|n|"Gemini"+n.to_s}sequence(:last_name){|n|"Pollux"+n.to_s}sequence(:profile_name){|n|"GeminiPollux"+n.to_s}sequence(:email){|n|"geminipollus"+n.to_s+"@hotmail.co.uk"}end使用序列方法适用于id、profile_name和电子邮件，但我的REG

我刚刚尝试使用Ruby，然后遇到了String#to_i。假设我有这段代码:var1='6sldasdhkjas'var2='aljdfldjlfjldsfjl6'为什么putsvar1.to_i输出6而putsvar2.to_i给出0？ 最佳答案 to_i方法返回由字符串开头处的所有可解析数字组成的数字。您的第一个字符串以带有数字的a开头，因此to_i返回该字符串，第二个字符串不以数字开头，因此返回0。顺便说一句，空格被忽略，所以"123abc".to_i返回123. 关于ruby-当

我需要使用Ruby检查字符串中是否至少包含一个数字(我假设是某种正则表达式？)。我该怎么做？ 最佳答案 您可以使用String类的=~方法，并将正则表达式/\d/作为参数。这是一个例子:s='abc123'ifs=~/\d/#CallingString's=~method.puts"TheString#{s}hasanumberinit."elseputs"TheString#{s}doesnothaveanumberinit."end 关于ruby-如何使用Ruby检查字符串中是否至少

Time.new.month返回10月之前任何月份的一位数表示(例如6月是6)，但我想要一个2位数格式(即而不是6我想要06)。我写了下面的解决方案，我想看看其他/更好的解决方案。s=6.to_s;s[1]=s[0];s[0]='0';s#=>'06' 最佳答案 为了你的需要我觉得最好的还是Time.strftime("%m")如前所述，但对于一般用例，我使用的方法是str=format('%02d',4)putsstr根据上下文，我也使用这个做同样事情的:str='%02d%s%04d'%[4,"astring",56]putss

在我看来，自从thisfamousthread以来，Ruby社区一直对自动加载感到恐惧。，出于线程安全原因，不鼓励使用它。有谁知道这在Ruby1.9.1或1.9.2中是否不再是一个问题？我已经看到一些关于在互斥体中包装要求等的讨论，但是1.9变更日志(或者至少是我能够找到的那么多)似乎没有解决这个特定问题。我想知道我是否可以合理地开始在1.9-only库中自动加载而不会有任何合理的悲伤。提前感谢您的任何见解。 最佳答案 因为我也对此感到好奇，所以在2011年对此进行了更新。目前打开了两张工单:http://redmine.ruby-

通过批量分配防止安全风险的官方方法是使用attr_accessible.然而，一些程序员认为这不是模型的工作(或者至少不是仅模型的工作)。在Controller中执行此操作的最简单方法是对params哈希进行切片:@user=User.update_attributes(params[:user].slice(:name))但是文档指出:NotethatusingHash#exceptorHash#sliceinplaceofattr_accessibletosanitizeattributeswon’tprovidesufficientprotection.这是为什么呢？为什么par

我希望能够运行不受信任的ruby​​代码。我希望能够将变量传递给它可能使用的所述不受信任的代码。我还希望上述代码将结果返回给我。这是我在想什么的概念性例子input="sweet"output=nilThread.start{$SAFE=4#...untrustedcodegoeshere,itusestheinputvariable(s)#tocalculatesomeresultthatitplacesintheoutputvariable}#parsetheoutputvariableasastring.澄清一下，我基本上是将不受信任的代码用作函数。我想要提供它的一些输入，然后允

我的数据库中的纬度和经度值精确到小数点后10位:+----+---------------+-----------------+|id|lat|lng|+----+---------------+-----------------+|55|34.4208305000|-119.6981901000||56|30.2671530000|-97.7430608000|我需要查询数据库进行匹配，但我当前的变量是一个只有6位小数的float:self.lat=>30.267153如何将我的float转换为具有额外的小数位以便获得匹配项？myloc=Marker.where("lat=?",se