网络安全面试常见问题
常见基础面试问题
1、请描述常见 Web 攻击?Owasp TOP10有哪些?
2、重要协议分布层
3、请描述arp协议的工作原理
4、rip协议是什么?rip的工作原理
5、什么是RARP?工作原理
6、OSPF协议是什么?并描述OSPF的工作原理。
7、TCP与UDP区别是什么?
8、什么是三次握手四次挥手?
9、请描述tcp三次握手?为什么?
10、dns是什么?请描述dns的工作原理
11、请描述一次完整的HTTP请求过程
12、请描述Cookies和session区别是什么?
13、请描述GET 和 POST 的区别是什么?
14、请描述HTTPS和HTTP的区别是什么?
15、请描述session 的工作原理?
16、http长连接和短连接的区别是什么?
17、请描述OSI 的七层模型都有哪些?
18、请描述session 的工作原理?什么是TCP粘包/拆包?发生原因?解决方案
19、请描述TCP如何保证可靠传输?
20、URI和URL的区别是什么?
21、什么是SSL ?https是如何保证数据传输的安全?
22、https是如何保证数据传输的安全(SSL是怎么工作保证安全的)
23、TCP对应的应用层协议,UDP对应的应用层协议
24、常见的状态码有哪些?
25、什么是SQL注入攻击
攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。
用户登录,输入用户名lianggzone,密码 ‘ or ‘1’=’1 ,如果此时使用参数构造的方式,就会出现
select * from user where name = ‘lianggzone’ and password = ‘’ or ‘1’=‘1’
不管用户名和密码是什么内容,使查询出来的用户列表不为空。
如何防范SQL注入攻击使用预编译的PrepareStatement是必须的,但是一般我们会从两个方面同时入手。
Web端
1)有效性检验。
2)限制字符串输入的长度。
服务端
1)不用拼接SQL字符串。
2)使用预编译的PrepareStatement。
3)有效性检验。(为什么服务端还要做有效性检验?第一准则,外部都是不可信的,防止攻击者绕过Web端请求)
4)过滤SQL需要的参数中的特殊字符。比如单引号、双引号。
26、什么是XSS攻击?
跨站点脚本攻击,指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。
如何防范XSS攻击
1)前端,服务端,同时需要字符串输入的长度限制。
2)前端,服务端,同时需要对HTML转义处理。将其中的”<”,”>”等特殊字符进行转义编码。
防XSS 的核心是必须对输入的数据做过滤处理。
27.什么是CSRF攻击?
跨站点请求伪造,指攻击者通过跨站请求,以合法的用户的身份进行非法操作。可以这么理解CSRF攻击:攻击者盗用你的身份,以你的名义向第三方网站发送恶意请求。
CRSF能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息。
如何防范CSRF攻击
安全框架,例如Spring Security。oken机制。
在HTTP请求中进行token验证,如果请求中没有token或者token内容不正确,则认为CSRF攻击而拒绝该请求。
验证码
通常情况下,验证码能够很好的遏制CSRF攻击,但是很多情况下,出于用户体验考虑,验证码只能作为一种辅助手段,而不是最主要的解决方案。
referer识别
在HTTP Header中有一个字段Referer,它记录了HTTP请求的来源地址。
如果Referer是其他网站,就有可能是CSRF攻击,则拒绝该请求。但是,服务器并非都能取到Referer。
很多用户出于隐私保护的考虑,限制了Referer的发送。
在某些情况下,浏览器也不会发送Referer,例如HTTPS跳转到HTTP。
1)验证请求来源地址;
2)关键操作添加验证码;
3)在请求地址添加 token 并验证。
28、什么是文件上传漏洞
文件上传漏洞,指的是用户上传一个可执行的脚本文件,并通过此脚本文件获得了执行服务端命令的能力。
许多第三方框架、服务,都曾经被爆出文件上传漏洞,比如很早之前的Struts2,以及富文本编辑器等等,可被攻击者上传恶意代码,有可能服务端就被人黑了。
如何防范文件上传漏洞
文件上传的目录设置为不可执行。
1)判断文件类型。在判断文件类型的时候,可以结合使用MIME Type,后缀检查等方式。
因为对于上传文件,不能简单地通过后缀名称来判断文件的类型,因为攻击者可以将可执行文件的后缀名称改为图片或其他后缀类型,诱导用户执行。
2)对上传的文件类型进行白名单校验,只允许上传可靠类型。
3)上传的文件需要进行重新命名,使攻击者无法猜想上传文件的访问路径,将极大地增加攻击成本,同时向shell.php.rar.ara这种文件,因为重命名而无法成功实施攻击。
4)限制上传文件的大小。
5)单独设置文件服务器的域名。
29、DDos 攻击
客户端向服务端发送请求链接数据包,服务端向客户端发送确认数据包
客户端不向服务端发送确认数据包,服务器一直等待来自客户端的确认
没有彻底根治的办法,除非不使用TCP
DDos 预防:
1)限制同时打开SYN半链接的数目
2)缩短SYN半链接的Time out 时间
3)关闭不必要的服务
30、dns是什么?dns的工作原理
31、防御和检查SQL注入的主要手段有哪些?
32、什么是网络安全中的双因素认证?
33、能否解释一下XSS cookie盗窃是什么意思?
34、什么是网页挂马?网页挂马都有什么类型?
35、网页木马的防御和清除
36、如何删除10天前的日志记录
37、常见的服务端口号
38、渗透测的基本流程
39、什么是入侵监测系统
40、请说明DES算法的基本过程
41、代理服务器作用
42、简述对称密钥密码体制的原理和特点
43、常见加密密钥分配有集中方案,请对比他们的优劣势
44、解释身份认证的基本概念
45、电子邮件存在哪些安全漏洞
46、防火墙应满足的基本条件是什么?
47、列举防火墙的几个基本功能
48、静态包过滤和动态包过滤有哪些区别?
49、什么是同源策略?
50、SYN攻击原理
51、IIS服务器应该做哪些方面的保护措施?
几率大的网络安全面试题(含答案)
网络安全面试常见问题相关推荐
- 网路学员面试常见问题:
网路学员面试常见问题: 1.请你修改一下LINUX的视频驱动和声音驱动 答: redhatlinux中用sndconfig来设置声卡,如果没有某个模块,就需要重新编译内核(编译最新发布的linux 内 ...
- 网络安全面试指南(CybersecurityInterviewGuide)
多年来筛选了数以千记的简历,为何很多人连面试的机会都没有?参与了数以百记的应聘者的面试,为何如此多的人没有通过最终面试?能力当然是最重要的,可我却见过很多能力不比已经入职的同事差却应聘失败的人,到底该 ...
- 【基础概念】 Redis简介和面试常见问题
Redis简介和面试常见问题 简介: Redis是一个开源的使用ANSI C语言编写.支持网络.可基于内存亦可持久化的日志型.Key-Value数据库,并提供多种语言的API.从2010年3月15日起 ...
- html手机端适配怎么调试,html5面试常见问题及答案:移动端布局与适配篇
原标题:html5面试常见问题及答案:移动端布局与适配篇 1. 移动布局自适应不同屏幕的几种方式 (1)响应式布局 (2)100%布局(弹性布局) (3)等比缩放布局(rem) 2. iscroll安 ...
- python面试常见问题-Python面试常见问题,涉及Python各个方面
原标题:Python面试常见问题,涉及Python各个方面 爬虫面试常见问题 一.项目问题: 1.你写爬虫的时候都遇到过什么反爬虫措施,你是怎样解决的 2.用的什么框架.为什么选择这个框架 二.框架问 ...
- 【面试】Java面试常见问题汇总(不含答案)、面试指导学习笔记
面试常见问题角度 String是基本数据类型吗? int和Integer有什么区别? HashMap和HashTable的区别,及其实现原理. ArrayList/HashMap的源码.如何实现源码 ...
- tcp当主动发出syn_一文读懂TCP四次挥手工作原理及面试常见问题汇总
简述 本文主要介绍TCP四次挥手的工作原理,以及在面试中常见的问题. 字段含义 seq序号:Sequence Number,占32位,用来标识从TCP源端向目的端发送的字节流,发起方发送数据时对此进行 ...
- 面试pythone_python面试常见问题有哪些
python面试常见问题有:1.Python是如何被解释的:2.什么是PEP8:3.Python是怎样管理内存的:4.什么是Python装饰器:5.Python提供哪些内置类型等等. 大量免费学习推荐 ...
- 复旦计算机考研复试要口试吗,2017复旦大学考研复试:英语口语面试常见问题汇总...
2017复旦大学考研复试:英语口语面试常见问题汇总本站小编 辅仁网/2017-12-29 A magazine publisher is trying to decide how many magaz ...
- C++面试常见问题一
C++面试常见问题一 转自:https://oldpan.me/archives/c-interview-answer-1 原作者:[oldpan][https://oldpan.me/] 前言 这里 ...
最新文章
- Oracle数据库日常维护知识总结
- hdu1589(枚举+并查集)
- python精要(73)-函数传递任意参数
- LeetCode 1921. 消灭怪物的最大数量(排序)
- 谷歌AI算法 助力可控核聚变研究
- 强强联手 SAP Ariba与苏宁易购共建中国企业智慧采购
- 39行代码实现JS HTML模板(轻量+高效+易用)
- 80%的销售来源于第4至11次的跟踪!
- Mysql数据库自动备份
- 8、鼠标控制与32位模式切换
- 我用最独特的方式为情人节准备了这些。。。
- 冰火两重天----评NBA2009-12-28快船和凯尔特人的比赛
- android蓝牙传文件在哪里找,手机蓝牙传输的文件在哪里_华为手机蓝牙传输记录在哪-系统城...
- 数字转日期 pl/sql_PL / SQL程序检查数字是奇数还是偶数
- 【绘画板绘】SAI仿水墨笔刷教程(干货)
- 读thinking in java笔记(四):初始化
- DP线和HDMI的区别?
- 读后感---图像分割的新理论和新方法
- php singlewidget_天天团购整理笔记一
- 服务器信息更新是什么意思,正在联系iphone软件更新服务器是什么意思?怎么解决?...
热门文章
- JS正则表达式(5) = 正则的捕获方法
- 计算机找网络共享盘快捷键,电脑共享快捷键不见了怎么办
- java der decode_支付宝进行签名时爆DER input, Integer tag error异常
- 宽带连接蓝屏,或者显示813占用端口
- Gary Rong:以太坊的轻节点协议
- 使用Hex view编写脚本生成特定格式刷写文件
- python库缺少pkg_resource_Python pkg_resources.ResourceManager方法代码示例
- 移动开发技术【安卓】——Android_Studio【Part 1】
- 知乎上的有哪些较好的壁纸网站?
- 诗词教育不过是老虎嘴上的胡子