网络安全面试题

    以下为网络安全各个方向涉及的面试题,星数越多代表问题出现的几率越大,祝各位都能找到满意的工作。

注:本套面试题,已整理成pdf文档,但内容还在持续更新中,因为无论如何都不可能覆盖所有的面试问题,更多的还是希望由点达面,查漏补缺。

由于篇幅受限这只是一部分

1、防止SQL注入有哪两种方式?

使用参数化查询(优先)

对不可信数据进行校验


2、XSS注入分类?

反射型XSS注入

存储型XSS注入

DOM型XSS注入


3、XSS和CSRF的区别?

XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。


4、XXE注入方式?

基础的XXE注入

基于盲注的XXE注入

基于错误的XXE注入


5、XML由哪3个部分组成?

文档类型定义(Document Type Definition,DTD)

可扩展的样式语言(Extensible Style Language,XSL)

可扩展链接语言(Extensible Link Language,XLL)。


6、如何防范SSRF?

1)因为SSRF最大的风险是信息泄露探知内网的信息,因此针对SSRF存在如下几种修复方法:

2)禁用不需要的协议。仅仅允许http和https请求。(Rest服务接口)

3)限制请求的端口为http常用的端口。比如,80,443,8080,8090。

4)过滤返回信息。验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。

5)统一错误信息。避免用户可以根据错误信息来判断远端服务器的端口状态。

6)对DNS重绑定,考虑使用DNS缓存或者Host白名单


7、加密系统的保密性由什么决定?

取决于对密钥的保密


8、密码算法分为哪两种?

对称密码算法

非对称密码算法


9、对称加密算法分为哪两种?

流加密算法

分组加密算法


10、加密的过程?

密文 = 明文 * (加密算法 + 密钥)

11、RSA算法能干什么?

密钥对生成:产生公钥和私钥

非对称加密:采用公钥加密,私钥解密

数字签名:私钥对消息摘要加密,公钥验签

注意:加密和签名要使用不同的密钥对


12、分组加密算法的工作模式有哪些?

五种基本加密模式(ECB、CBC、CFB、OFB、CTR)

两种认证加密模式(CCM、GCM)


13、签名和加密的顺序哪个先做?

先签名后加密


14、目前业界推荐使用的对称加密算法工作模式是哪种?

GCM模式


15、密码安全协议有哪几种?

TLS、SSH、HTTPS


16、业界推荐的对称加密算法有那两种?

AES、ChaCha


17、密钥协商算法有哪两种?

DH

ECDH


18、接口调用有

APP认证

IAM认证

自定义认证


19、APP认证分为哪两种?

非简易认证:通过集成应用的Key和Secret认证调用请求。

简易认证:通过AppCode认证调用请求。

APP认证支持对API进行访问权限控制。


20、IAM认证分为哪两种?

Token认证:通过Token认证调用请求。Token认证无需使用SDK签名,优先使用Token认证。

AK/SK认证:通过AK/SK对调用请求内容进行签名认证。

其中, IAM认证不支持对 API进行访问权限控制。

21、Token认证中,X-Subject-Token和X-Auth-Token的区别?

调用token接口,响应成功后在响应消息头中包含的“X-Subject-Token”的值即为Token值;
调用业务接口,在请求消息头中增加“X-Auth-Token”,“X-Auth-Token”的取值为前面从“X-Subject-Token”获取的Token。

22、AK/SK认证的工作原理?

AK和SK配合使用对请求进行加密签名,可标识发送方,并防止请求被修改。

23、发送方的数字签名如何生成?

消息——(哈希算法)——> 摘要 ——(私钥)——> 数字签名

24、接收方拿到数字签名后,如何验证消息未篡改?

数字签名——(公钥)——> 摘要1
消息——(哈希算法)——> 摘要2

如果摘要1等于摘要2,说明消息没被篡改

25、数字签名为何无法解决中间人攻击?

因为私钥和公钥可能被伪造为攻击者的,尤其是放在接收方的公钥

26、如何解决中间人攻击?

数字证书

27、发送方如何生成数字证书?

公钥 ——(CA的私钥)——> 数字证书

28、接收方如何验证发送方的公钥?

数字证书 ——(CA的公钥)——> 公钥,然后再用公钥和数字签名验证消息是否篡改

29、数字证书如何保证可信?

如果证书与浏览器预置的证书列表符合,则可信

30、Linux系统中查询日志方法

  • 登录日志last;
  • 操作日志history;
  • 启动信息和错误日志/var/log/message;
  • 安全日志/var/log/secure;
  • 邮件日志/var/log/maillog;
  • 计划任务日志/var/log/cron;
  • 用户登录注销系统启动等事件/var/log/wtmp

京东二面整理:


1、平时测试是怎么做的(给个目标、给个域名这类嘛)
2、一个登录框大概怎么测试
3、进入后台大概干什么
4、文件上传绕过
5、拿个一个shell一般会怎么做
6、拿到一个shell怎么进行信息收集
7、nmap可以直接扫内网嘛 或者说 nmap怎么扫内网
8、你感觉cs扫内网的速度怎么样呢
9、拿到代理怎么去找靶标或者网关或者跨网段这个问题
10、对于内网的啥啥啥认证或者域控有了解过嘛
11、如何拿域控
12、如何通过cdn找真实IP
13、反序列化漏洞成因利用
14、反序列化漏洞利用链
15、平时项目里面遇到的比较多的是哪种漏洞
16、越权漏洞为什么存在
17、逻辑漏洞大致可以分为几类
18、你感觉自己擅长什么点(熟悉的漏洞)
19、注入测试点,注入漏洞都有哪些类型呢,攻击支持的方式,延迟注入的函数有哪些
20、使用sqlmap遇到封ip的情况怎么处理除了用代理
21、宽字节注入需要什么前提,成因
22、mysql数据库拿shell有几种方法
23、sqlmap是通过什么方式拿的shell
24、csrf介绍一下
25、ssrf漏洞测试点都有哪些具体说一下
26、本地文件包含和远程文件包含的区别,本地文件包含可以进行干什么
非知名大公司的问题
1.xss攻击类型
2.xss常用语句
3.xss跟csrf的区别
4.csrf中文名,举个csrf的例子
5.xss能用来做什么
6.防范sql,xss的方法
7.解释一下PDO预处理
8.绝对防御sql注入的方法
9.什么是垂直越权?什么是水平越权?
10.有没有复现过漏洞 比如cve这种的
11.你都用过什么工具
12.提权有没有了解过
13.编程这块擅长的语言
14.waf的拦截机制
15.waf拦截机制中的拦截规则是什么
16.SQL注入绕过waf

面试题

独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/41267.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

45、Spring Boot自动配置原理

Spring Boot自动配置原理 lmport Configuration Spring spi 自动配置类由各个starter提供,使用Configuration Bean定义配置类,放到META-INF/spring.factories下使用Spring spi扫描META-INF/spring.factories下的配置类使用lmport导入自动配置类

C# WPF实现动画渐入暗黑明亮主题切换效果

C# WPF实现动画渐入暗黑明亮主题切换效果 效果图如下最近在Bilibili的桌面端看到一个黑白主题切换的效果感觉,挺有意思。于是我使用WPF尝试实现该效果。 主要的切换效果,基本实现不过还存在一些小瑕疵,比如字体等笔刷不能跟随动画进入进行切…

手写数字识别Minst(CNN)

文章目录 手写数字识别网络结构加载数据集数据集可视化CNN网络结构训练模型保存模型和加载模型测试模型 手写数字识别 网络结构 网上给出的基本网络结构: 然而在本数据集中,输入图不是1*32*32,是1*28*28。所以正确的网络结构应该是 level…

好用的思维导图软件有哪些?这几款简单好用

好用的思维导图软件有哪些?思维导图是一种非常有用的思维工具,可以帮助我们组织和理清复杂的信息。在如今的数字时代,有很多软件可以帮助我们创建和编辑思维导图。下面介绍几款简单好用的思维导图软件。 第一款:迅捷画图 这是一款…

生成式AI时代,亚马逊云科技致力推动技术的普惠,让更多企业受益

当谈及AIGC时, 我们该谈些什么? 生成式AI技术与应用的不断发展,为各个行业都注入了全新的机会与活力。AIGC成为了今年最为激动人心的技术话题。亚马逊云科技也一马当先,在6月27-28日,2023亚马逊云科技中国峰会上分享…

babel兼容低版本游览器

文章目录 1. webpack项目的搭建2. babel 命令行使用3. babel的预设与编译器流程4. babel项目中配置4.1 babel-loader与插件的使用4.2 babel-preset使用 5. 游览器兼容性使用5.1 browserslist工具与编写规则5.2 browserslist配置5.3 优化babel的配置文件 6. polyfill6.1 useBuil…

Redis基础 进阶项目实战总结笔记

文章目录 一、启动的三种方式1.默认启动2.指定配置启动3.开机自启动 二、数据类型1.string:字符串2. hash:哈希3. list:列表4. set:集合5. sorted set:有序集合 三、黑马课程的进阶项目实战总结博文笔记Redis实现短信登…

配置spark

配置spark Yarn 模式Standalone 模式Local 模式 Yarn 模式 tar -zxvf spark-3.0.0-bin-hadoop3.2.tgz -C /opt/module cd /opt/module mv spark-3.0.0-bin-hadoop3.2 spark-yarn修改 hadoop 配置文件/opt/module/hadoop/etc/hadoop/yarn-site.xml, 并分发 <!--是否启动一…

Vue3统计数值(Statistic)

可自定义设置以下属性&#xff1a; 数值的标题&#xff08;title&#xff09;&#xff0c;类型&#xff1a;string | slot&#xff0c;默认&#xff1a;‘’数值的内容&#xff08;value&#xff09;&#xff0c;类型&#xff1a;string | number&#xff0c;默认&#xff1a;…

【Python】数据可视化利器PyCharts在测试工作中的应用

点击跳转原文&#xff1a;【Python】数据可视化利器PyCharts在测试工作中的应用 实际应用&#xff1a;常态化性能压测数据统计 import random from pyecharts.charts import Line, Bar, Grid, Pie, Page from pyecharts import options as opts # 查询过去 8 次数据 time_rang…

Low-Light Image Enhancement via Self-Reinforced Retinex Projection Model 论文阅读笔记

这是马龙博士2022年在TMM期刊发表的基于改进的retinex方法去做暗图增强&#xff08;非深度学习&#xff09;的一篇论文 文章用一张图展示了其动机&#xff0c;第一行是估计的亮度层&#xff0c;第二列是通常的retinex方法会对估计的亮度层进行RTV约束优化&#xff0c;从而产生…

NFTScan 与 Decert 达成合作伙伴,双方在 NFT 数据方面展开合作

近日&#xff0c;NFT 数据基础设施 NFTScan 与 Decert 达成合作伙伴关系&#xff0c;双方在多链 NFT 数据层面展开合作。在 Decert 产品中&#xff0c;由 NFTScan 为其提供专业的多链 NFT 数据支持&#xff0c;为用户带来优质的 NFT 搜索查询等相关交互功能&#xff0c;提升用户…

事务@transactional执行产生重复数据

背景 系统设计之初&#xff0c;每次来新请求&#xff0c;业务层会先查询数据库&#xff0c;判断是否存在相同的id数据&#xff08;id是唯一标识产品的&#xff09;&#xff0c;有则返回当前数据库查到的数据&#xff0c;根据数据决定下一步动作&#xff0c;没有则认为是初次请…

一则 MySQL 参数设置不当导致复制中断的故障案例

本文分享了一个数据库参数错误配置导致复制中断的问题&#xff0c;以及对参数配置的建议。 作者&#xff1a;秦福朗 爱可生 DBA 团队成员&#xff0c;负责项目日常问题处理及公司平台问题排查。热爱互联网&#xff0c;会摄影、懂厨艺&#xff0c;不会厨艺的 DBA 不是好司机&…

wsl2中安装docker

1、安装docker 执行以下脚本&#xff1a; 这个脚本在执行之前需要先执行chmod x install-docker.sh这个命令 # install docker curl -fsSL get.docker.com -o get-docker.sh sh get-docker.shif [ ! $(getent group docker) ]; thensudo groupadd docker; elseecho "doc…

UE4/5AI制作基础AI跳跃(适合新手)

目录 制作 添加逻辑 添加导航链接代理 结果 在上一章中&#xff0c;我们讲解了简单的AI跟随玩家&#xff0c;制作了一个基础的ai。 UE4/5AI制作基础AI&#xff08;适合新手入门&#xff0c;运用黑板&#xff0c;行为树&#xff0c;ai控制器&#xff0c;角色类&#xff0c;任…

数据库应用:CentOS 7离线安装PostgreSQL

目录 一、理论 1.PostgreSQL 2.PostgreSQL离线安装 3.PostgreSQL初始化 4.PostgreSQL登录操作 二、实验 1.CentOS 7离线安装PostgreSQL 2.登录PostgreSQL 3.Navicat连接PostgreSQL 三、总结 一、理论 1.PostgreSQL &#xff08;1&#xff09;简介 PostgreSQL 是一个…

性能测试工具 jmeter 录制脚本,传递 cookie,循环执行接口

目录 前言&#xff1a; 代理录制脚本 循环重复添加接口 登录并传递 cookie 给新建产品接口 循环执行脚本 前言&#xff1a; 在使用JMeter进行性能测试时&#xff0c;录制脚本是一种常用的方法。录制脚本可以帮助你捕获和重放用户与应用程序之间的交互&#xff0c;以模拟真…

matlab中画有重影的机器人运动过程【给另一个机器人设置透明度】

1、前言如题 2、参考连接如下 How to plot two moving robot in the same figure and change one of them transparency&#xff1f; - MATLAB Answers - MATLAB Central (mathworks.cn)3、代码&#xff1a;【找到figure中对应对象并设置属性】 % Create two instances of a…

什么是70v转12v芯片?

问&#xff1a;什么是70v转12v芯片&#xff1f; 答&#xff1a;70v转12v芯片是一种电子器件&#xff0c;其功能是将输入电压范围在9v至100v之间的电源转换为稳定的12v输出电压。这种芯片通常被用于充电器、车载电池充电器和电源适配器等设备中。 问&#xff1a;这种芯片的最大…