前言以下为网络安全各个方向涉及的面试题，星数越多代表问题出现的几率越大，祝各位都能找到满意的工作。注：本套面试题，已整理成pdf文档，但内容还在持续更新中，因为无论如何都不可能覆盖所有的面试问题，更多的还是希望由点达面，查漏补缺。一、渗透测试方向：如何绕过CDN找到真实IP，请列举五种方法(★★★)redis未授权访问如何利用，利用的前提条件是？(★★★)mysql提权方式有哪些?利用条件是什么?(★)windows+mysql，存在sql注入，但是机器无外网权限，可以利用吗?(★)常用的信息收集手段有哪些，除去路径扫描，子域名爆破等常见手段，有什么猥琐的方法收集企业信息?(★★)SRC挖掘与

我想验证我的用户的用户名没有空格。是否有内置验证可以执行此操作？或者最好的方法是什么。这似乎是一个非常普遍的要求。 最佳答案 我会尝试formatvalidator:validates:username,format:{with:/\A[a-zA-Z0-9]+\Z/}大多数情况下，当您不希望用户名中出现空格时，您也不希望出现其他字符。或者当你真的只需要检查空格时，使用without代替:validates:username,format:{without:/\s/}完整文档:http://api.rubyonrails.org/cl

在我看来，自从thisfamousthread以来，Ruby社区一直对自动加载感到恐惧。，出于线程安全原因，不鼓励使用它。有谁知道这在Ruby1.9.1或1.9.2中是否不再是一个问题？我已经看到一些关于在互斥体中包装要求等的讨论，但是1.9变更日志(或者至少是我能够找到的那么多)似乎没有解决这个特定问题。我想知道我是否可以合理地开始在1.9-only库中自动加载而不会有任何合理的悲伤。提前感谢您的任何见解。 最佳答案 因为我也对此感到好奇，所以在2011年对此进行了更新。目前打开了两张工单:http://redmine.ruby-

通过批量分配防止安全风险的官方方法是使用attr_accessible.然而，一些程序员认为这不是模型的工作(或者至少不是仅模型的工作)。在Controller中执行此操作的最简单方法是对params哈希进行切片:@user=User.update_attributes(params[:user].slice(:name))但是文档指出:NotethatusingHash#exceptorHash#sliceinplaceofattr_accessibletosanitizeattributeswon’tprovidesufficientprotection.这是为什么呢？为什么par

我想让我的数据库中几乎没有陈旧的帐户，我正在考虑进行新的注册和邀请，将他们的数据作为加密或散列url放入欢迎电子邮件中。一旦访问url中的链接，信息就会作为帐户添加到数据库中。目前有什么东西可以做到这一点吗？关于以这种方式进行用户注册的任何引用、想法或警告？谢谢!编辑:我做了一个工作示例，url是127个字符。http://localhost/confirm?_=hBRCGVqie5PetQhjiagq9F6kmi7luVxpcpEYMWaxrtSHIPA3rF0Hufy6EgiH%0A%2BL3t9dcgV9es9Zywkl4F1lcMyA%3D%3D%0A显然，更多数据=更大的ur

我希望能够运行不受信任的ruby​​代码。我希望能够将变量传递给它可能使用的所述不受信任的代码。我还希望上述代码将结果返回给我。这是我在想什么的概念性例子input="sweet"output=nilThread.start{$SAFE=4#...untrustedcodegoeshere,itusestheinputvariable(s)#tocalculatesomeresultthatitplacesintheoutputvariable}#parsetheoutputvariableasastring.澄清一下，我基本上是将不受信任的代码用作函数。我想要提供它的一些输入，然后允

我在Windows服务器上编写和托管Web应用程序以供内部网使用。我的服务器堆栈使用Sinatra(使用Rack)、Thin和(在某些情况下)Apache仅用于反向代理。我想在我们的ActiveDirectory支持的域中支持单点登录(使用NTLM或Kerberos)。我已经看到我可以使用mod_ntlm或mod_auth_kerb当我在Apache后面执行我的NTLM身份验证时。我还没有尝试过，但我认为它会起作用。当我不支持Apache时，我的问题是关于NTLM或Kerberos身份验证，仅使用Thin和Sinatra。我看过rack-ntlm，但那里的使用细节非常稀少。请在Sina

我的模型有两个字段，作为验证的一部分，我想将它们相互比较。我想确定end_time在start_time之后。我写了一个验证方法来比较它们，但我一定做错了什么，因为值总是零。有人可以帮忙吗？classLogEntry{:message=>"mustbeavaliddate/time"}validates:end_time,:presence=>{:message=>"mustbeavaliddate/time"}validate:start_must_be_before_end_timedefstart_must_be_before_end_timeerrors.add(:start_

当设计中发生身份验证失败时，我期待一个闪现通知。但是在身份验证失败期间什么也得不到，只是页面刷新并保持静止。我没有改变任何东西。默认设计安装本身不会显示带有无效身份验证尝试的闪存错误。我刚刚将devise作为gem安装并尝试使用它。甚至不要更改生成的代码中的一个字。可能我想是不是由于某些浏览器的可比性问题。但我得到其他手动引入的flash消息，其他工作。关于什么可能被破坏的任何建议。我正在使用rails3.0.1*更新*我收到用户注册(注册)失败消息，但没有收到登录失败消息。一些关于这个主题的谷歌搜索显示，对于注册它期望:-但是对于登录，它希望引用其他一些警报消息标签，但没有得到我必须

我希望使用Puma网络服务器将我的Rails应用程序部署到Heroku。但是，我不太确定是否所有的Gem都是线程安全的。阅读所有Gems的源代码对我们来说不是可行的选择。有没有办法自动检查所有Gem的线程安全性？或者，如果执行/检测到线程不安全代码，Puma会提示/显示特定的错误日志吗？ 最佳答案 一般检测不到线程安全。如果有某种方法可以自动检测到它，您的编译器/解释器可能会警告您。Raceconditions无法被自动系统检测到，它们甚至难以重现。取决于您的解释器:CRuby有GIL，所以使用Puma是没有意义的。如果您使用的是J