200个安全服务工程师-常见基础面试问题.docx
需积分: 49 119 浏览量
2020-07-22
11:31:33
上传
评论 12
收藏 29KB DOCX 举报
一、常见基础面试问题
、请描述常见攻击? 有哪些?
、重要协议分布层
、请描述 协议的工作原理
、 协议是什么? 的工作原理
、什么是 ?工作原理
、 协议是什么?并描述 的工作原理。
、 与 区别是什么?
、什么是三次握手四次挥手?
、请描述 三次握手?为什么?
、!" 是什么?请描述 !" 的工作原理
、请描述一次完整的 # 请求过程
、请描述 $$% 和 $" 区别是什么?
、请描述 &'和的区别是什么?
、请描述 # 和 # 的区别是什么?
、请描述 $"的工作原理?
、() 长连接和短连接的区别是什么?
、请描述 *的七层模型都有哪些?
、请描述 $"的工作原理?什么是 粘包+拆包?发生原因?解决方案
、请描述 如何保证可靠传输?
、* 和 , 的区别是什么?
、什么是 ,?() 是如何保证数据传输的安全?
、() 是如何保证数据传输的安全(, 是怎么工作保证安全的)
、 对应的应用层协议, 对应的应用层协议
、常见的状态码有哪些?
、什么是 -, 注入攻击?
答:攻击者在 # 请求中注入恶意的 -, 代码,服务器使用参数构建数据库 -, 命令时,
恶意 -, 被一起构造,并在数据库中执行。用户登录,输入用户名 ."//0$",密码‘$
1232, 如 果 此 时 使 用 参 数 构 造 的 方 式 , 就 会 出 现 . 45$67 ("63
1."//0$"2"!$!312$12312不管用户名和密码是什么内容,使查询出来的用户列
表不为空。
、如何防范 -, 注入攻击
使用预编译的 6" 是必须的,但是一般我们会从两个方面同时入手。
端 )有效性检验。)限制字符串输入的长度。
服务端 )不用拼接 -, 字符串。)使用预编译的 6"。)有效性检验。
8为什么服务端还要做有效性检验?第一准则,外部都是不可信的,防止攻击者绕过
端请求9)过滤 -, 需要的参数中的特殊字符。比如单引号、双引号。
、什么是 : 攻击?
跨站点脚本攻击,指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制
用户浏览器进行恶意操作的一种攻击方式。如何防范 : 攻击 )前端,服务端,同时需要
字符串输入的长度限制。)前端,服务端,同时需要对 #;, 转义处理。将其中的”<=>=?=
等特殊字符进行转义编码。防 :的核心是必须对输入的数据做过滤处理。
剩余10页未读,继续阅读
资源评论
