网络安全常见面试题(一)

1、防止SQL注入有哪两种方式?

使用参数化查询(优先)

对不可信数据进行校验


2XSS注入分类?

反射型XSS注入

存储型XSS注入

DOM型XSS注入


3XSSCSRF的区别?

XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。


4XXE注入方式?

基础的XXE注入

基于盲注的XXE注入

基于错误的XXE注入


5XML由哪3个部分组成?

文档类型定义(Document Type Definition,DTD)

可扩展的样式语言(Extensible Style Language,XSL)

可扩展链接语言(Extensible Link Language,XLL)。


6、如何防范SSRF

1)因为SSRF最大的风险是信息泄露探知内网的信息,因此针对SSRF存在如下几种修复方法:

2)禁用不需要的协议。仅仅允许http和https请求。(Rest服务接口)

3)限制请求的端口为http常用的端口。比如,80,443,8080,8090。

4)过滤返回信息。验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。

5)统一错误信息。避免用户可以根据错误信息来判断远端服务器的端口状态。

6)对DNS重绑定,考虑使用DNS缓存或者Host白名单


7、加密系统的保密性由什么决定?

取决于对密钥的保密


8、密码算法分为哪两种?

对称密码算法

非对称密码算法


9、对称加密算法分为哪两种?

流加密算法

分组加密算法


10、加密的过程?

密文 = 明文 * (加密算法 + 密钥)

作者:小谢backup
内容来源公众号:小谢backup
来源:牛客网@小谢backup 

全部评论

相关推荐

球球别再泡了:坏,我单9要了14
点赞 评论 收藏
分享
评论
3
24
分享
牛客网
牛客企业服务