常見基礎面試問題
1、請描述常見 web 攻擊?owasp top10有哪些?
2、重要協議分布層
3、請描述arp協議的工作原理
4、rip協議是什麼?rip的工作原理
5、什麼是rarp?工作原理
6、ospf協議是什麼?並描述ospf的工作原理。
7、tcp與udp區別是什麼?
8、什麼是三次握手四次揮手?
9、請描述tcp三次握手?為什麼?
10、dns是什麼?請描述dns的工作原理
11、請描述一次完整的http請求過程
12、請描述cookies和session區別是什麼?
13、請描述get 和 post 的區別是什麼?
14、請描述https和http的區別是什麼?
15、請描述session 的工作原理?
16、http長連線和短連線的區別是什麼?
17、請描述osi 的七層模型都有哪些?
18、請描述session 的工作原理?什麼是tcp粘包/拆包?發生原因?解決方案
19、請描述tcp如何保證可靠傳輸?
20、uri和url的區別是什麼?
21、什麼是ssl ?https是如何保證資料傳輸的安全?
22、https是如何保證資料傳輸的安全(ssl是怎麼工作保證安全的)
23、tcp對應的應用層協議,udp對應的應用層協議
24、常見的狀態碼有哪些?
25、什麼是sql注入攻擊
攻擊者在http請求中注入惡意的sql**,伺服器使用引數構建資料庫sql命令時,惡意sql被一起構造,並在資料庫中執行。
使用者登入,輸入使用者名稱lianggzone,密碼 『 or 『1』=』1 ,如果此時使用引數構造的方式,就會出現
select * from user where name = 『lianggzone』 and password = 『』 or 『1』=『1』
不管使用者名稱和密碼是什麼內容,使查詢出來的使用者列表不為空。
如何防範sql注入攻擊使用預編譯的preparestatement是必須的,但是一般我們會從兩個方面同時入手。
web端
1)有效性檢驗。
2)限制字串輸入的長度。
服務端
1)不用拼接sql字串。
2)使用預編譯的preparestatement。
3)有效性檢驗。(為什麼服務端還要做有效性檢驗?第一準則,外部都是不可信的,防止攻擊者繞過web端請求)
4)過濾sql需要的引數中的特殊字元。比如單引號、雙引號。
26、什麼是xss攻擊?
跨站點指令碼攻擊,指攻擊者通過篡改網頁,嵌入惡意指令碼程式,在使用者瀏覽網頁時,控制使用者瀏覽器進行惡意操作的一種攻擊方式。
如何防範xss攻擊
1)前端,服務端,同時需要字串輸入的長度限制。
2)前端,服務端,同時需要對html轉義處理。將其中的」<」,」>」等特殊字元進行轉義編碼。
防xss 的核心是必須對輸入的資料做過濾處理。
27.什麼是csrf攻擊?
crsf能做的事情包括利用你的身份發郵件,發簡訊,進行交易轉賬,甚至盜取賬號資訊。
如何防範csrf攻擊
安全框架,例如spring security。oken機制。
在http請求中進行token驗證,如果請求中沒有token或者token內容不正確,則認為csrf攻擊而拒絕該請求。
驗證碼
通常情況下,驗證碼能夠很好的遏制csrf攻擊,但是很多情況下,出於使用者體驗考慮,驗證碼只能作為一種輔助手段,而不是最主要的解決方案。
referer識別
在http header中有乙個欄位referer,它記錄了http請求的**位址。
如果referer是其他**,就有可能是csrf攻擊,則拒絕該請求。但是,伺服器並非都能取到referer。
很多使用者出於隱私保護的考慮,限制了referer的傳送。
在某些情況下,瀏覽器也不會傳送referer,例如https跳轉到http。
1)驗證請求**位址;
2)關鍵操作新增驗證碼;
3)在請求位址新增 token 並驗證。
28、什麼是檔案上傳漏洞
檔案上傳漏洞,指的是使用者上傳乙個可執行的指令碼檔案,並通過此指令碼檔案獲得了執行服務端命令的能力。
許多第三方框架、服務,都曾經被爆出檔案上傳漏洞,比如很早之前的struts2,以及富文字編輯器等等,可被攻擊者上傳惡意**,有可能服務端就被人黑了。
如何防範檔案上傳漏洞
檔案上傳的目錄設定為不可執行。
1)判斷檔案型別。在判斷檔案型別的時候,可以結合使用mime type,字尾檢查等方式。
因為對於上傳檔案,不能簡單地通過字尾名稱來判斷檔案的型別,因為攻擊者可以將可執行檔案的字尾名稱改為或其他字尾型別,誘導使用者執行。
2)對上傳的檔案型別進行白名單校驗,只允許上傳可靠型別。
3)上傳的檔案需要進行重新命名,使攻擊者無法猜想上傳檔案的訪問路徑,將極大地增加攻擊成本,同時向shell.php.rar.ara這種檔案,因為重新命名而無法成功實施攻擊。
4)限制上傳檔案的大小。
5)單獨設定檔案伺服器的網域名稱。
29、ddos 攻擊
客戶端向服務端傳送請求鏈結資料報,服務端向客戶端傳送確認資料報
客戶端不向服務端傳送確認資料報,伺服器一直等待來自客戶端的確認
沒有徹底**的辦法,除非不使用tcp
ddos 預防:
1)限制同時開啟syn半鏈結的數目
2)縮短syn半鏈結的time out 時間
3)關閉不必要的服務
30、dns是什麼?dns的工作原理
31、防禦和檢查sql注入的主要手段有哪些?
32、什麼是網路安全中的雙因素認證?
33、能否解釋一下xss cookie盜竊是什麼意思?
34、什麼是網頁掛馬?網頁掛馬都有什麼型別?
35、網頁木馬的防禦和清除
36、如何刪除10天前的日誌記錄
37、常見的服務埠號
38、滲透測的基本流程
39、什麼是入侵監測系統
40、請說明des演算法的基本過程
41、**伺服器作用
42、簡述對稱金鑰密碼體制的原理和特點
43、常見加密金鑰分配有集中方案,請對比他們的優劣勢
44、解釋身份認證的基本概念
45、電子郵件存在哪些安全漏洞
46、防火牆應滿足的基本條件是什麼?
47、列舉防火牆的幾個基本功能
48、靜態包過濾和動態包過濾有哪些區別?
49、什麼是同源策略?
50、syn攻擊原理
51、iis伺服器應該做哪些方面的保護措施?
機率大的網路安全面試題(含答案)
面試常見問題之網路基礎
1.五層協議 2.osi 3.tcp ip協議 將五層協議中的資料鏈路層和物理層合併為網路介面層 tcp ip體系結構不嚴格遵循osi分層概念,應用層可能會直接使用ip層或網路介面層.4.資料在各層之間的傳遞過程 在向下的過程中,需要新增下層協議所需要的首部或者尾部,而在向下的過程中不斷拆開首部和尾...
面試常見問題
面試時,有幾個問題是公司面試人員常常會提出的,針對這些問題好好準備,在面試時也就不會啞口無言,無言以對了,下面就面試十大必考題做出分析,也許對hr經理也是乙個 1 為什麼想進本公司?這通常是面試官最先問到的問題。此時面試官就開始評斷錄用與否了,建議大家先判斷自己去應徵的工作性質,是專業能力導向呢,或...
面試常見問題
1.如果我們不能提供你所要求的薪水,你還願意來我們公司嗎?你的期望薪水是多少?你想得到的薪水是多 少?如果達不到你的要求,怎麼辦?答 我認為工作最重要的是合作開心,薪酬是其次的,不過我原來的月薪是 元,如果跳槽的話就希望 自己能有點進步,如果不是讓您太為難的話,您看這個工資是不是可以有一點提高?2....