网络安全常见面试题(一)
1、防止SQL注入有哪两种方式?
使用参数化查询(优先)
对不可信数据进行校验
2、XSS注入分类?
反射型XSS注入
存储型XSS注入
DOM型XSS注入
3、XSS和CSRF的区别?
XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
4、XXE注入方式?
基础的XXE注入
基于盲注的XXE注入
基于错误的XXE注入
5、XML由哪3个部分组成?
文档类型定义(Document Type Definition,DTD)
可扩展的样式语言(Extensible Style Language,XSL)
可扩展链接语言(Extensible Link Language,XLL)。
6、如何防范SSRF?
1)因为SSRF最大的风险是信息泄露探知内网的信息,因此针对SSRF存在如下几种修复方法:
2)禁用不需要的协议。仅仅允许http和https请求。(Rest服务接口)
3)限制请求的端口为http常用的端口。比如,80,443,8080,8090。
4)过滤返回信息。验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。
5)统一错误信息。避免用户可以根据错误信息来判断远端服务器的端口状态。
6)对DNS重绑定,考虑使用DNS缓存或者Host白名单
7、加密系统的保密性由什么决定?
取决于对密钥的保密
8、密码算法分为哪两种?
对称密码算法
非对称密码算法
9、对称加密算法分为哪两种?
流加密算法
分组加密算法
10、加密的过程?
密文 = 明文 * (加密算法 + 密钥)