常见基础面试问题

1、请描述常见 Web 攻击?Owasp TOP10有哪些?

2、重要协议分布层

3、请描述arp协议的工作原理

4、rip协议是什么?rip的工作原理

5、什么是RARP?工作原理

6、OSPF协议是什么?并描述OSPF的工作原理。

7、TCP与UDP区别是什么?

8、什么是三次握手四次挥手?

9、请描述tcp三次握手?为什么?

10、dns是什么?请描述dns的工作原理

11、请描述一次完整的HTTP请求过程

12、请描述Cookies和session区别是什么?

13、请描述GET 和 POST 的区别是什么?

14、请描述HTTPS和HTTP的区别是什么?

15、请描述session 的工作原理?

16、http长连接和短连接的区别是什么?

17、请描述OSI 的七层模型都有哪些?

18、请描述session 的工作原理?什么是TCP粘包/拆包?发生原因?解决方案

19、请描述TCP如何保证可靠传输?

20、URI和URL的区别是什么?

21、什么是SSL ?https是如何保证数据传输的安全?

22、https是如何保证数据传输的安全(SSL是怎么工作保证安全的)

23、TCP对应的应用层协议,UDP对应的应用层协议

24、常见的状态码有哪些?

25、什么是SQL注入攻击

攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。

用户登录,输入用户名lianggzone,密码 ‘ or ‘1’=’1 ,如果此时使用参数构造的方式,就会出现
select * from user where name = ‘lianggzone’ and password = ‘’ or ‘1’=‘1’
不管用户名和密码是什么内容,使查询出来的用户列表不为空。

如何防范SQL注入攻击使用预编译的PrepareStatement是必须的,但是一般我们会从两个方面同时入手。

Web端

1)有效性检验。

2)限制字符串输入的长度。

服务端

1)不用拼接SQL字符串。

2)使用预编译的PrepareStatement。

3)有效性检验。(为什么服务端还要做有效性检验?第一准则,外部都是不可信的,防止攻击者绕过Web端请求)

4)过滤SQL需要的参数中的特殊字符。比如单引号、双引号。

26、什么是XSS攻击?

跨站点脚本攻击,指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。

如何防范XSS攻击

1)前端,服务端,同时需要字符串输入的长度限制。

2)前端,服务端,同时需要对HTML转义处理。将其中的”<”,”>”等特殊字符进行转义编码。

防XSS 的核心是必须对输入的数据做过滤处理。

27.什么是CSRF攻击?

跨站点请求伪造,指攻击者通过跨站请求,以合法的用户的身份进行非法操作。可以这么理解CSRF攻击:攻击者盗用你的身份,以你的名义向第三方网站发送恶意请求。

CRSF能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息。

如何防范CSRF攻击

安全框架,例如Spring Security。oken机制。

在HTTP请求中进行token验证,如果请求中没有token或者token内容不正确,则认为CSRF攻击而拒绝该请求。

验证码

通常情况下,验证码能够很好的遏制CSRF攻击,但是很多情况下,出于用户体验考虑,验证码只能作为一种辅助手段,而不是最主要的解决方案。

referer识别

在HTTP Header中有一个字段Referer,它记录了HTTP请求的来源地址。

如果Referer是其他网站,就有可能是CSRF攻击,则拒绝该请求。但是,服务器并非都能取到Referer。

很多用户出于隐私保护的考虑,限制了Referer的发送。

在某些情况下,浏览器也不会发送Referer,例如HTTPS跳转到HTTP。

1)验证请求来源地址;
2)关键操作添加验证码;
3)在请求地址添加 token 并验证。

28、什么是文件上传漏洞

文件上传漏洞,指的是用户上传一个可执行的脚本文件,并通过此脚本文件获得了执行服务端命令的能力。

许多第三方框架、服务,都曾经被爆出文件上传漏洞,比如很早之前的Struts2,以及富文本编辑器等等,可被攻击者上传恶意代码,有可能服务端就被人黑了。

如何防范文件上传漏洞

文件上传的目录设置为不可执行。

1)判断文件类型。在判断文件类型的时候,可以结合使用MIME Type,后缀检查等方式。

因为对于上传文件,不能简单地通过后缀名称来判断文件的类型,因为攻击者可以将可执行文件的后缀名称改为图片或其他后缀类型,诱导用户执行。

2)对上传的文件类型进行白名单校验,只允许上传可靠类型。

3)上传的文件需要进行重新命名,使攻击者无法猜想上传文件的访问路径,将极大地增加攻击成本,同时向shell.php.rar.ara这种文件,因为重命名而无法成功实施攻击。

4)限制上传文件的大小。

5)单独设置文件服务器的域名。

29、DDos 攻击

客户端向服务端发送请求链接数据包,服务端向客户端发送确认数据包

客户端不向服务端发送确认数据包,服务器一直等待来自客户端的确认

没有彻底根治的办法,除非不使用TCP

DDos 预防:

1)限制同时打开SYN半链接的数目

2)缩短SYN半链接的Time out 时间

3)关闭不必要的服务

30、dns是什么?dns的工作原理

31、防御和检查SQL注入的主要手段有哪些?

32、什么是网络安全中的双因素认证?

33、能否解释一下XSS cookie盗窃是什么意思?

34、什么是网页挂马?网页挂马都有什么类型?

35、网页木马的防御和清除

36、如何删除10天前的日志记录

37、常见的服务端口号

38、渗透测的基本流程

39、什么是入侵监测系统

40、请说明DES算法的基本过程

41、代理服务器作用

42、简述对称密钥密码体制的原理和特点

43、常见加密密钥分配有集中方案,请对比他们的优劣势

44、解释身份认证的基本概念

45、电子邮件存在哪些安全漏洞

46、防火墙应满足的基本条件是什么?

47、列举防火墙的几个基本功能

48、静态包过滤和动态包过滤有哪些区别?

49、什么是同源策略?

50、SYN攻击原理

51、IIS服务器应该做哪些方面的保护措施?

几率大的网络安全面试题(含答案)

网络安全面试常见问题相关推荐

  1. 网路学员面试常见问题:

    网路学员面试常见问题: 1.请你修改一下LINUX的视频驱动和声音驱动 答: redhatlinux中用sndconfig来设置声卡,如果没有某个模块,就需要重新编译内核(编译最新发布的linux 内 ...

  2. 网络安全面试指南(CybersecurityInterviewGuide)

    多年来筛选了数以千记的简历,为何很多人连面试的机会都没有?参与了数以百记的应聘者的面试,为何如此多的人没有通过最终面试?能力当然是最重要的,可我却见过很多能力不比已经入职的同事差却应聘失败的人,到底该 ...

  3. 【基础概念】 Redis简介和面试常见问题

    Redis简介和面试常见问题 简介: Redis是一个开源的使用ANSI C语言编写.支持网络.可基于内存亦可持久化的日志型.Key-Value数据库,并提供多种语言的API.从2010年3月15日起 ...

  4. html手机端适配怎么调试,html5面试常见问题及答案:移动端布局与适配篇

    原标题:html5面试常见问题及答案:移动端布局与适配篇 1. 移动布局自适应不同屏幕的几种方式 (1)响应式布局 (2)100%布局(弹性布局) (3)等比缩放布局(rem) 2. iscroll安 ...

  5. python面试常见问题-Python面试常见问题,涉及Python各个方面

    原标题:Python面试常见问题,涉及Python各个方面 爬虫面试常见问题 一.项目问题: 1.你写爬虫的时候都遇到过什么反爬虫措施,你是怎样解决的 2.用的什么框架.为什么选择这个框架 二.框架问 ...

  6. 【面试】Java面试常见问题汇总(不含答案)、面试指导学习笔记

    面试常见问题角度 String是基本数据类型吗? int和Integer有什么区别? HashMap和HashTable的区别,及其实现原理. ArrayList/HashMap的源码.如何实现源码 ...

  7. tcp当主动发出syn_一文读懂TCP四次挥手工作原理及面试常见问题汇总

    简述 本文主要介绍TCP四次挥手的工作原理,以及在面试中常见的问题. 字段含义 seq序号:Sequence Number,占32位,用来标识从TCP源端向目的端发送的字节流,发起方发送数据时对此进行 ...

  8. 面试pythone_python面试常见问题有哪些

    python面试常见问题有:1.Python是如何被解释的:2.什么是PEP8:3.Python是怎样管理内存的:4.什么是Python装饰器:5.Python提供哪些内置类型等等. 大量免费学习推荐 ...

  9. 复旦计算机考研复试要口试吗,2017复旦大学考研复试:英语口语面试常见问题汇总...

    2017复旦大学考研复试:英语口语面试常见问题汇总本站小编 辅仁网/2017-12-29 A magazine publisher is trying to decide how many magaz ...

  10. C++面试常见问题一

    C++面试常见问题一 转自:https://oldpan.me/archives/c-interview-answer-1 原作者:[oldpan][https://oldpan.me/] 前言 这里 ...

最新文章

  1. Oracle数据库日常维护知识总结
  2. hdu1589(枚举+并查集)
  3. python精要(73)-函数传递任意参数
  4. LeetCode 1921. 消灭怪物的最大数量(排序)
  5. 谷歌AI算法 助力可控核聚变研究
  6. 强强联手 SAP Ariba与苏宁易购共建中国企业智慧采购
  7. 39行代码实现JS HTML模板(轻量+高效+易用)
  8. 80%的销售来源于第4至11次的跟踪!
  9. Mysql数据库自动备份
  10. 8、鼠标控制与32位模式切换
  11. 我用最独特的方式为情人节准备了这些。。。
  12. 冰火两重天----评NBA2009-12-28快船和凯尔特人的比赛
  13. android蓝牙传文件在哪里找,手机蓝牙传输的文件在哪里_华为手机蓝牙传输记录在哪-系统城...
  14. 数字转日期 pl/sql_PL / SQL程序检查数字是奇数还是偶数
  15. 【绘画板绘】SAI仿水墨笔刷教程(干货)
  16. 读thinking in java笔记(四):初始化
  17. DP线和HDMI的区别?
  18. 读后感---图像分割的新理论和新方法
  19. php singlewidget_天天团购整理笔记一
  20. 服务器信息更新是什么意思,正在联系iphone软件更新服务器是什么意思?怎么解决?...

热门文章

  1. JS正则表达式(5) = 正则的捕获方法
  2. 计算机找网络共享盘快捷键,电脑共享快捷键不见了怎么办
  3. java der decode_支付宝进行签名时爆DER input, Integer tag error异常
  4. 宽带连接蓝屏,或者显示813占用端口
  5. Gary Rong:以太坊的轻节点协议
  6. 使用Hex view编写脚本生成特定格式刷写文件
  7. python库缺少pkg_resource_Python pkg_resources.ResourceManager方法代码示例
  8. 移动开发技术【安卓】——Android_Studio【Part 1】
  9. 知乎上的有哪些较好的壁纸网站?
  10. 诗词教育不过是老虎嘴上的胡子