阿里巴巴历年技术笔试试题及答案

概要： 公共题也想写写，主要是由我最差的智力题。呵呵，其实智力题很多是需要细心的，诸如逻辑推理之类的题目就不去深究了，毕竟这个是积累啊!看来，智力题中的数组序列、三个水桶问题最容易考了，好多的类似的题目，诸如 DOS 攻击系统漏洞就是纯网络的了：Synflood、Smurf、.Land-based、Ping of Death、Teardrop、PingSweep、Pingflood。缓冲区溢出攻击向缓冲区发送大量数据， 使部分数据溢出到相邻的内存缓冲区， 从而破坏缓冲区或者重写逻辑。这样就能够造成拒绝服务、破坏数据或者在远程服务器上执行恶意代码。防止缓冲区溢出攻击的惟一方法是检查所有用户输入的长度。至于输入法漏洞的 3389 端更是每天听说过快了， 什么玩意! 前两条没有写完呢， 继续吧! 公共题中有考到软件测试方面的知识，涉及测试用例个数， 这个需要巩固软件工程的知识了， 个人觉得软考软件设计师的书重要的!其实无论是语句覆盖还是条件覆盖。 此外， 还考到了 oracle 中 admin 下的几个目录： udump，用户转储文件存放位置[存放用户信息];bdu

 　　公共题也想写写，主要是由我最差的智力题。呵呵，其实智力题很多是需要细心的，诸如逻辑推理之类的题目就不去深究了，毕竟这个是积累啊!看来，智力题中的数组序列、三个水桶问题最容易考了，好多的类似的题目，诸如 DOS 攻击系统漏洞就是纯网络的了：

　　Synflood、Smurf、.Land-based、Ping of Death、Teardrop、PingSweep、Pingflood。缓冲区溢出攻击向缓冲区发送大量数据， 使部分数据溢出到相邻的内存缓冲区， 从而破坏缓冲区或者重写逻辑。这样就能够造成拒绝服务、破坏数据或者在远程服务器上执行恶意代码。防止缓冲区溢出攻击的惟一方法是检查所有用户输入的长度。至于输入法漏洞的 3389 端更是每天听说过快了， 什么玩意! 前两条没有写完呢， 继续吧! 公共题中有考到软件测试方面的知识，涉及测试用例个数， 这个需要巩固软件工程的知识了， 个人觉得软考软件设计师的书重要的!

　　其实无论是语句覆盖还是条件覆盖。 此外， 还考到了 oracle 中 admin 下的几个目录： udump，用户转储文件存放位置[存放用户信息];bdump，后台进程的一些调试、日志信息[后台进程和 ALRET.LOG 文件];cdump，主要是 oracle 的内核转储记录存放位置[存放系统文件]。有一个很好的软件，TureCrypt，源磁盘加密软件，免费软件，加密方法不像普通的加密大师什么的，一下子就能破解。WinwebMail、SendMail 都是典型的邮件服务器，呵呵，这个不知道哦， 可以自己假设这样一个邮件服务器的! 至于使普通用户可执行超级用户文件的就是s 权限了，unix-center 是个学习 unix 的好网站哦!chmod s，创建 s 与 t 权限，是为了让一般用户在执行某些程序的时候，能够暂时具有该程序拥有者的权限。当 s 权限在 user 的 x时，也就是类似 -r-s--x--x，称为 Set UID，简称为 SUID，这个 UID 表示 User 的 ID，而 User表示这个程序(/usr/bin/passwd)的拥有者(root) 。那么，我们就可以知道，当 dmtsai 用户执行 /usr/bin/passwd 时，它就会“暂时”得到文件拥有者 root 的权限。 软件测试并不等于程序测试，软件测试应该贯穿整个软件定义与开发整个期间。因此需求分析、概要设计、详细设计以及程序编码等各阶段所得到的文档，包括需求规格说明、概要设计规格说明、详细设计规格说明以及源程序，都应该是软件测试的对象。 OPenAPI 我觉得单元测试、安全测试和性能测试至少是要的吧， 而验收测试是部署软件之前的最后一个测试操作， 其目的是确保软件准备就绪， 并且可以让最终用户将其用于执行软件的既定功能和任务。 它主要是针对项目型的测试系统， α测试和β测试主要是针对产品型的测试系统， 而不能说验收测试包括α测试和β测试，验收测试也是 UAT-User Acceptance Testing 即用户可接收性测试，它是以用户为主的测试。项目最重要的特性应该是可管理性和可预测性吧。 Web 应用安全漏洞最突出的有：Cross Site Scripting、SQL injection 等。Cross Site Scripting 是一种存在于 Web 应用中，允许黑客向 Web 应用注入恶意脚本，以获取其他用户重要数据和隐私信息为母的一种工具形式。最后一题也得说一说了，有两个有序的整数集合啊，b。请写一个函数，实现找出 a，b 集合中的交集，并打印出来。这个题倒是不难，我想多了，硬是把第一个数组的值与第二个数组的值循环比较， 算法时间复杂确实不敢恭维啊! 实际上只需要从左到右比较就 ok 了。

　　附录：

　　一、IPSec 协议

　　IPSec 协议不是一个单独的协议，它给出了应用于 IP 层上网络数据安全的一整套体系结构，包括网络认证协议 Authentication Header(AH) 、封装安全载荷协议 Encapsulating Security Payload(ESP) 、密钥管理协议 Internet Key Exchange (IKE)和用于网络认证及加密的一些算法等。 IPSec 规定了如何在对等层之间选择安全协议、 确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。

　　IPSec 协议是一个范围广泛、开放的 VPN 安全协议，工作在 OSI 模型中的第三层——网络层。

　　IPSec 协议实际上是一套协议而不是一个单个的协议。

　　二、隧道技术(Tunneling)

　　隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是 ISO 七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装， 取出负载。 被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道” 。

　　要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。目前 VPN 隧道协议主要有 4 种：点到点隧道协议 PPTP、第二层隧道协议 L2TP、网络层隧道协议 IPSec 以及SOCKS v5 协议。其中，PPTP 和 L2TP 工作在数据链路层，IPSec 工作在网络层，SOCK v5工作在会话层。各协议工作在不同层次，我们应该注意，不同的网络环境适合不同的协议，在选择 VPN 产品时，应该注意选择。

　　三、SSL 和 HTTPS

　　SSL 协议位于 TCP/IP 协议与各种应用层协议之间，为数据通讯提供安全支持。SSL 协议可分为两层： SSL 记录协议(SSL Record Protocol)： 它建立在可靠的传输协议(如 TCP)之上，为高层协议提供数据封装、压缩、加密等基本功能的支持;SSL 握手协议(SSL Handshake Protocol)：它建立在 SSL 记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。SSL 协议提供的服务主要有：认证用户和服务器，确保数据发送到正确的客户机和服务器; 加密数据以防止数据中途被窃取; 维护数据的完整性，确保数据在传输过程中不被改变。

　　https 是由 Netscape 开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS 实际上应用了 Netscape 的完全套接字层(SSL)作为 HTTP应用层的子层。(HTTPS 使用端口 443，而不是象 HTTP 那样使用端口 80 来和 TCP/IP 进行通信。 )SSL使用40 位关键字作为RC4流加密算法， 这对于商业信息的加密是合适的。 HTTPS和 SSL 支持使用 X.509 数字认证，如果需要的话用户可以确认发送者是谁。 。https是以安全为目标的 HTTP 通道，简单讲是 HTTP 的安全版。即 HTTP 下加入 SSL 层，https 的安全基础是 SSL。

[1] [2]  下一页