面试碰到J2EE系统安全性的问题应该怎么回答？ - 未名空间MITBBS历史存档

国际科技财经博客移民网络热点娱乐民生时事公众号

Redian新闻

>未名空间

>Programming - 葵花宝典

面试碰到J2EE系统安全性的问题应该怎么回答？

面试碰到J2EE系统安全性的问题应该怎么回答？# Programming - 葵花宝典

f*z2014-12-19 08:12

1 楼

本人J1千老，我的保险是学校的，之前为了省钱没有给老婆买学校的保险，买的保险不
包括生育险。现在需要换包括生育的保险，但是学校的保险要7月份才能买。不知道有
没有单独可以单独给J2的包含生育的保险？

h*i2014-12-19 08:12

2 楼

我打算飞到母亲转机的机场接她，票还没定，估计是纽约/芝加哥/华盛顿之一。
想问一下，我拿着机票能走到哪里呢？能走到母亲下飞机的口吗？能到海关那儿吗？取
行李那儿？还是只能到转机的口那儿呢？

l*i2014-12-19 08:12

3 楼

我是H1B签证，国内有个招行账户一直放点小钱钱买买东西用
前年（2015）家里出了点事情，一时情急，我就从BOA往我的招行账户里转了4万多美金
给家里。之后账户还是一直维持在小额
现在想想，那年报税的时候应该要申报海外账户因为存款超过1万美金了
对于这种情况我需要补报吗？不知道有没有被查的风险？现在我可以做什么降低风险？
请高手赐教，谢谢

n*z2014-12-19 08:12

4 楼

请问大家如果公司不是很大可以担保 EB1B 吗？去公司上班前是不是要问清楚？谢谢！

P*e2014-12-19 08:12

5 楼

记者们喜欢给观众们喜欢看
台下的不遗余力捧场得奖的赢得尊重
皆大欢喜一事

s*f2014-12-19 08:12

6 楼

是不是永远就不好被淘汰呢？

s*y2014-12-19 08:12

7 楼

面试被问到web security, vulnerabilities，secure coding practices之类的问题。
我说只知道SQL injection，还有哪些可说的？
如果回答XSS，那么应该怎么解决XSS呢？

s*u2014-12-19 08:12

8 楼

应该有。你必须本人去当地的卫生局详细面谈。应该能够解决，每个州，每个城市，不
同的保险公司覆盖面不同。大部分保险公司是覆盖一定范围，不是全国。
正如北京的保险公司不能覆盖深圳居民的医疗保险一样。

【在 f****z 的大作中提到】

: 本人J1千老，我的保险是学校的，之前为了省钱没有给老婆买学校的保险，买的保险不
: 包括生育险。现在需要换包括生育的保险，但是学校的保险要7月份才能买。不知道有
: 没有单独可以单独给J2的包含生育的保险？

i*n2014-12-19 08:12

9 楼

不知道海关是禁区吗？不知道行李转盘在海关禁区里面吗？还走到下飞机的口，以为自
己是联邦特工？

【在 h****i 的大作中提到】

: 我打算飞到母亲转机的机场接她，票还没定，估计是纽约/芝加哥/华盛顿之一。
: 想问一下，我拿着机票能走到哪里呢？能走到母亲下飞机的口吗？能到海关那儿吗？取
: 行李那儿？还是只能到转机的口那儿呢？

D*U2014-12-19 08:12

10 楼

公司支持的的是eb1b
而且要有3个以上屁挨着地员工

i*t2014-12-19 08:12

11 楼

主持的一般
他的语言能力一般

g*g2014-12-19 08:12

12 楼

这个 topic太大了一点，包括authentication and authorization, https, cookie
generation and protection, xss and xsrf 等等。

【在 s****y 的大作中提到】

: 面试被问到web security, vulnerabilities，secure coding practices之类的问题。
: 我说只知道SQL injection，还有哪些可说的？
: 如果回答XSS，那么应该怎么解决XSS呢？

i*t2014-12-19 08:12

13 楼

j签证哪里有这么多福利？不要因小失大，问学校isso比问这里更靠谱

【在 s**u 的大作中提到】

: 应该有。你必须本人去当地的卫生局详细面谈。应该能够解决，每个州，每个城市，不
: 同的保险公司覆盖面不同。大部分保险公司是覆盖一定范围，不是全国。
: 正如北京的保险公司不能覆盖深圳居民的医疗保险一样。

s*x2014-12-19 08:12

14 楼

http://www.mitbbs.com/article_t2/Travel/31225480.html
faq22-25

【在 h****i 的大作中提到】

n*z2014-12-19 08:12

15 楼

谢谢这位朋友提醒。
请问什么是“3个以上屁挨着地员工“

【在 D******U 的大作中提到】

: 公司支持的的是eb1b
: 而且要有3个以上屁挨着地员工

n*y2014-12-19 08:12

16 楼

他主持我觉得还行，他唱歌我有点hold不住了，特别这次唱这么多。

k*i2014-12-19 08:12

17 楼

owasp

【在 s****y 的大作中提到】

y*g2014-12-19 08:12

18 楼

phd

【在 n**z 的大作中提到】

: 谢谢这位朋友提醒。
: 请问什么是“3个以上屁挨着地员工“

w*z2014-12-19 08:12

19 楼

和J2EE 有啥关系？

【在 s****y 的大作中提到】

a*f2014-12-19 08:12

20 楼

Session Hijacking
Session Fixation
Url Hijacking
User ... (forgot the right word, test if the user id has been used in your
system)
Leave no important or sensitive data in Web Cache
HTTPS
Setup Access Rules for all URL resources
Multi-factor authentication
Certified Password Manager and Generator, Use long password such as 1K (
applicable to some users who can do multi-factor authentication)
字典登录攻击
White-listing IPs for Internal Servers, Never Expose Internal Server to
Public Access
Regular Expression or Other DDoS
Minimum Necessary Rights
Post vs. Get Coding Practice
Audit Log for Security-Required Access or Data Change
Of course, SQL-Injection and XSS are most important

【在 s****y 的大作中提到】

a*f2014-12-19 08:12

21 楼

For XSS, do not trust any user's input or url parameters unless you verify
and escape it.

【在 a*f 的大作中提到】

: Session Hijacking
: Session Fixation
: Url Hijacking
: User ... (forgot the right word, test if the user id has been used in your
: system)
: Leave no important or sensitive data in Web Cache
: HTTPS
: Setup Access Rules for all URL resources
: Multi-factor authentication
: Certified Password Manager and Generator, Use long password such as 1K (