前言以下为网络安全各个方向涉及的面试题，星数越多代表问题出现的几率越大，祝各位都能找到满意的工作。注：本套面试题，已整理成pdf文档，但内容还在持续更新中，因为无论如何都不可能覆盖所有的面试问题，更多的还是希望由点达面，查漏补缺。一、渗透测试方向：如何绕过CDN找到真实IP，请列举五种方法(★★★)redis未授权访问如何利用，利用的前提条件是？(★★★)mysql提权方式有哪些?利用条件是什么?(★)windows+mysql，存在sql注入，但是机器无外网权限，可以利用吗?(★)常用的信息收集手段有哪些，除去路径扫描，子域名爆破等常见手段，有什么猥琐的方法收集企业信息?(★★)SRC挖掘与

在我的一千行Ruby之旅中，我对匿名函数的概念感到非常困难。维基百科sayssomethingabout代码中有一些无名的灵魂，它服从于更高的秩序，但我的理解到此为止。或者换句话说，我将如何(当我理解它时)向我妈妈解释匿名函数？ 最佳答案 匿名函数具有以下特征:它没有名字(因此是匿名的)内联定义在您不想要普通功能的开销/形式时使用没有明确引用超过一次，除非作为参数传递给另一个函数 关于ruby-究竟什么是匿名函数？，我们在StackOverflow上找到一个类似的问题：

在我看来，自从thisfamousthread以来，Ruby社区一直对自动加载感到恐惧。，出于线程安全原因，不鼓励使用它。有谁知道这在Ruby1.9.1或1.9.2中是否不再是一个问题？我已经看到一些关于在互斥体中包装要求等的讨论，但是1.9变更日志(或者至少是我能够找到的那么多)似乎没有解决这个特定问题。我想知道我是否可以合理地开始在1.9-only库中自动加载而不会有任何合理的悲伤。提前感谢您的任何见解。 最佳答案 因为我也对此感到好奇，所以在2011年对此进行了更新。目前打开了两张工单:http://redmine.ruby-

通过批量分配防止安全风险的官方方法是使用attr_accessible.然而，一些程序员认为这不是模型的工作(或者至少不是仅模型的工作)。在Controller中执行此操作的最简单方法是对params哈希进行切片:@user=User.update_attributes(params[:user].slice(:name))但是文档指出:NotethatusingHash#exceptorHash#sliceinplaceofattr_accessibletosanitizeattributeswon’tprovidesufficientprotection.这是为什么呢？为什么par

我想知道如何从一个定义了方法fn的类访问ruby​​中的全局函数fn。我通过像这样给函数起别名来解决这个问题:deffnendclassBaraliasglobal_fnfndeffn#howtoaccesstheglobalfnherewithoutthealiasglobal_fnendend我正在寻找与c++的::类似的东西来访问全局范围，但我似乎无法找到有关它的任何信息。我想我并不清楚自己在寻找什么。 最佳答案 在顶层，def将私有(private)方法添加到Object。我能想到的三种获取顶层函数的方法:(1)使用send

我希望能够运行不受信任的ruby​​代码。我希望能够将变量传递给它可能使用的所述不受信任的代码。我还希望上述代码将结果返回给我。这是我在想什么的概念性例子input="sweet"output=nilThread.start{$SAFE=4#...untrustedcodegoeshere,itusestheinputvariable(s)#tocalculatesomeresultthatitplacesintheoutputvariable}#parsetheoutputvariableasastring.澄清一下，我基本上是将不受信任的代码用作函数。我想要提供它的一些输入，然后允

对于Ruby中的方法，有没有类似javascript的apply的？也就是说，如果某些方法被定义为采用一些参数，比如some_method(a,b,c)并且我有一个包含三个项目的数组，我可以调用some_method.apply(the_context,my_array_of_three_items)?编辑:(消除一些困惑):我不太关心调用的上下文，我只是想避免这种情况:my_params=[1,2,3]some_method(my_params[0],my_params[1],my_params[2])相反，我很想知道是否有这样的东西my_params=[1,2,3]some_met

当在HAML中包含javascript或CSS时，您通常必须执行以下操作以包含CSS:%link{:type=>"text/css",:rel=>"stylesheet",:href=>"/css/mycss.css"}对于javascript:%script{:type=>"text/javascript",:src=>"/js/myscript.js"}我想知道HAML是否没有包含这些标签的简短方法(当然是从源获取内容，而不是内联)，它省略了对type和的需要rel属性，因为它们无论如何都是不变的。请注意，RubyonRails通过函数提供此功能，但我没有使用rails。

我希望使用Puma网络服务器将我的Rails应用程序部署到Heroku。但是，我不太确定是否所有的Gem都是线程安全的。阅读所有Gems的源代码对我们来说不是可行的选择。有没有办法自动检查所有Gem的线程安全性？或者，如果执行/检测到线程不安全代码，Puma会提示/显示特定的错误日志吗？ 最佳答案 一般检测不到线程安全。如果有某种方法可以自动检测到它，您的编译器/解释器可能会警告您。Raceconditions无法被自动系统检测到，它们甚至难以重现。取决于您的解释器:CRuby有GIL，所以使用Puma是没有意义的。如果您使用的是J

例如，如果我输入“ds.35bdg56”，该函数将返回35。是否有类似的预制函数，或者我是否需要遍历字符串，找到第一个数字并查看它有多长去然后返回那个？ 最佳答案 >>'ds.35bdg56'[/\d+/]=>"35"或者，既然你确实要求了一个功能......$irb>>deffx;x[/\d+/]end=>nil>>f'ds.35bdg56'=>"35"你真的可以从中获得一些乐趣:>>classString;deffirstNumber;self[/\d+/];end;end=>nil>>'ds.35bdg56'.firstNum