没有合适的资源?快使用搜索试试~ 我知道了~
200个安全服务工程师-常见基础面试问题.docx
需积分: 49 105 下载量 119 浏览量
2020-07-22
11:31:33
上传
评论 12
收藏 29KB DOCX 举报
温馨提示
试读
11页
精心收集和整理的将近200个安全服务工程师-常见基础面试问题,包含操作系统安全、数据库安全、web安全、安全加固、渗透测试等相关的安全服务工程师内容。
资源推荐
资源详情
资源评论
一、常见基础面试问题
、请描述常见攻击? 有哪些?
、重要协议分布层
、请描述 协议的工作原理
、 协议是什么? 的工作原理
、什么是 ?工作原理
、 协议是什么?并描述 的工作原理。
、 与 区别是什么?
、什么是三次握手四次挥手?
、请描述 三次握手?为什么?
、!" 是什么?请描述 !" 的工作原理
、请描述一次完整的 # 请求过程
、请描述 $$% 和 $" 区别是什么?
、请描述 &'和的区别是什么?
、请描述 # 和 # 的区别是什么?
、请描述 $"的工作原理?
、() 长连接和短连接的区别是什么?
、请描述 *的七层模型都有哪些?
、请描述 $"的工作原理?什么是 粘包+拆包?发生原因?解决方案
、请描述 如何保证可靠传输?
、* 和 , 的区别是什么?
、什么是 ,?() 是如何保证数据传输的安全?
、() 是如何保证数据传输的安全(, 是怎么工作保证安全的)
、 对应的应用层协议, 对应的应用层协议
、常见的状态码有哪些?
、什么是 -, 注入攻击?
答:攻击者在 # 请求中注入恶意的 -, 代码,服务器使用参数构建数据库 -, 命令时,
恶意 -, 被一起构造,并在数据库中执行。用户登录,输入用户名 ."//0$",密码‘$
1232, 如 果 此 时 使 用 参 数 构 造 的 方 式 , 就 会 出 现 . 45$67 ("63
1."//0$"2"!$!312$12312不管用户名和密码是什么内容,使查询出来的用户列
表不为空。
、如何防范 -, 注入攻击
使用预编译的 6" 是必须的,但是一般我们会从两个方面同时入手。
端 )有效性检验。)限制字符串输入的长度。
服务端 )不用拼接 -, 字符串。)使用预编译的 6"。)有效性检验。
8为什么服务端还要做有效性检验?第一准则,外部都是不可信的,防止攻击者绕过
端请求9)过滤 -, 需要的参数中的特殊字符。比如单引号、双引号。
、什么是 : 攻击?
跨站点脚本攻击,指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制
用户浏览器进行恶意操作的一种攻击方式。如何防范 : 攻击 )前端,服务端,同时需要
字符串输入的长度限制。)前端,服务端,同时需要对 #;, 转义处理。将其中的”<=>=?=
等特殊字符进行转义编码。防 :的核心是必须对输入的数据做过滤处理。
、什么是 攻击?跨站点请求伪造,指攻击者通过跨站请求,以合法的用户的身份进
行非法操作。可以这么理解 攻击:攻击者盗用你的身份,以你的名义向第三方网站发
送恶意请求。 能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗
取账号信息。如何防范 攻击安全框架,例如 "/ 7@。$%" 机制。在 # 请求
中进行 $%" 验证,如果请求中没有 $%" 或者 $%" 内容不正确,则认为 攻击而拒绝
该请求。验证码。通常情况下,验证码能够很好的遏制 攻击,但是很多情况下,出于
用户体验考虑,验证码只能作为一种辅助手段,而不是最主要的解决方案。5 识别。
在 ##! 中有一个字段 5,它记录了 # 请求的来源地址。如果 5 是其
他网站,就有可能是 攻击,则拒绝该请求。但是,服务器并非都能取到 5。很
多用户出于隐私保护的考虑,限制了 5 的发送。在某些情况下,浏览器也不会发送
5,例如 # 跳转到 #。)验证请求来源地址;)关键操作添加验证码;)
在请求地址添加$%"并验证。
、什么是文件上传漏洞文件上传漏洞,指的是用户上传一个可执行的脚本文件,并通过
此脚本文件获得了执行服务端命令的能力。许多第三方框架、服务,都曾经被爆出文件上
传漏洞,比如很早之前的 7,以及富文本编辑器等等,可被攻击者上传恶意代码,有
可能服务端就被人黑了。如何防范文件上传漏洞文件上传的目录设置为不可执行。)判断
文件类型。在判断文件类型的时候,可以结合使用 ;*;'@,后缀检查等方式。因为对
于上传文件,不能简单地通过后缀名称来判断文件的类型,因为攻击者可以将可执行文件
的后缀名称改为图片或其他后缀类型,诱导用户执行。)对上传的文件类型进行白名单校
验,只允许上传可靠类型。)上传的文件需要进行重新命名,使攻击者无法猜想上传文件
的访问路径,将极大地增加攻击成本,同时向 (..A(AA 这种文件,因为重命名而无
法成功实施攻击。)限制上传文件的大小。)单独设置文件服务器的域名。
、$攻击,客户端向服务端发送请求链接数据包,服务端向客户端发送确认数据包,
客户端不向服务端发送确认数据包,服务器一直等待来自客户端的确认没有彻底根治的办
法,除非不使用 $预防:)限制同时打开 BC 半链接的数目 )缩短 BC 半链接的
6$7时间 )关闭不必要的服务
、!" 是什么?!" 的工作原理
、防御和检查 -, 注入的主要手段有哪些D
、什么是网络安全中的双因素认证D
、能否解释一下 : $$% 盗窃是什么意思D
、什么是网页挂马D网页挂马都有什么类型D
、网页木马的防御和清除
、如何删除 天前的日志记录
、常见的服务端口号
、渗透测的基本流程
、什么是入侵监测系统
、请说明 ' 算法的基本过程
、代理服务器作用
、简述对称密钥密码体制的原理和特点
、常见加密密钥分配有集中方案,请对比他们的优劣势
、解释身份认证的基本概念
、电子邮件存在哪些安全漏洞
、防火墙应满足的基本条件是什么?
、列举防火墙的几个基本功能
、静态包过滤和动态包过滤有哪些区别?
、什么是同源策略?
、BC 攻击原理
、** 服务器应该做哪些方面的保护措施?
防范常见的攻击
什么是 -, 注入攻击
攻击者在 # 请求中注入恶意的 -, 代码,服务器使用参数构建数据库 -, 命令时,恶意
-, 被一起构造,并在数据库中执行。
用户登录,输入用户名."//0$",密码‘$1232,如果此时使用参数构造的方式,就会
出现
. 45$67("631."//0$"2"!$!312$12312
不管用户名和密码是什么内容,使查询出来的用户列表不为空。如何防范 -, 注入攻击使
用预编译的 6" 是必须的,但是一般我们会从两个方面同时入手。
端
)有效性检验。
)限制字符串输入的长度。
服务端
)不用拼接 -, 字符串。
)使用预编译的 6"。
)有效性检验。8为什么服务端还要做有效性检验?第一准则,外部都是不可信的,防止
攻击者绕过 端请求9
)过滤 -, 需要的参数中的特殊字符。比如单引号、双引号。
什么是 : 攻击
跨站点脚本攻击,指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制
用户浏览器进行恶意操作的一种攻击方式。如何防范 : 攻击
)前端,服务端,同时需要字符串输入的长度限制。
)前端,服务端,同时需要对 #;, 转义处理。将其中的”<=>=?=等特殊字符进行转义编码。
防:的核心是必须对输入的数据做过滤处理。
什么是 攻击
跨站点请求伪造,指攻击者通过跨站请求,以合法的用户的身份进行非法操作。可以这么
理解 攻击:攻击者盗用你的身份,以你的名义向第三方网站发送恶意请求。 能
做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息。
如何防范 攻击
安全框架,例如 "/ 7@。
$%" 机制。在 # 请求中进行 $%" 验证,如果请求中没有 $%" 或者 $%" 内容不正确,
则认为 攻击而拒绝该请求。
验证码。通常情况下,验证码能够很好的遏制 攻击,但是很多情况下,出于用户体验
考虑,验证码只能作为一种辅助手段,而不是最主要的解决方案。
5 识别。在 ##! 中有一个字段 5,它记录了 # 请求的来源地址。如果
5 是其他网站,就有可能是 攻击,则拒绝该请求。但是,服务器并非都能取到
剩余10页未读,继续阅读
资源评论
cyxl0509
- 粉丝: 19
- 资源: 4
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功