93道网络安全面试题目

“93道网络安全面试题目” 从给定的文件信息中，我们可以总结出以下知识点： 1. SQL 注入攻击 * 定义：攻击者在 HTTP 请求中注入恶意的 SQL 代码，使服务器使用参数构建数据库 SQL 命令时，恶意 SQL 被一起构造，并在数据库中执行。 * 防范方法： + 使用预编译的 PrepareStatement + 限制字符串输入的长度 + 有效性检验 + 过滤 SQL 需要的参数中的特殊字符 2. XSS 攻击 * 定义：跨站点脚本攻击，指攻击者通过篡改网页，嵌入恶意脚本程序，在用户浏览网页时，控制用户浏览器进行恶意操作的一种攻击方式。 * 防范方法： + 前端和服务端同时需要字符串输入的长度限制 + 前端和服务端同时需要对 HTML 转义处理 + 防 XSS 的核心是必须对输入的数据做过滤处理 3. CSRF 攻击 * 定义：跨站点请求伪造，指攻击者通过跨站请求，以合法的用户的身份进行非法操作。 * 防范方法： + 安全框架，例如 Spring Security + Token 机制 + 验证码 + Referer 识别 4. 文件上传漏洞 * 定义：用户上传一个可执行的脚本文件，并通过此脚本文件获得了执行服务端命令的能力。 * 防范方法： + 文件上传的目录设置为不可执行 + 判断文件类型 + 对上传的文件类型进行白名单校验 + 上传的文件需要进行重新命名 + 限制上传文件的大小 + 单独设置文件服务器的域名 5. DDos 攻击 * 定义：客户端向服务端发送请求链接数据包，服务端向客户端发送确认数据包，客户端不向服务端发送确认数据包，服务器一直等待来自客户端的确认。 * 防范方法： + 限制同时打开 SYN 半连接的数目 + 缩短 SYN 半连接的 Time out 时间 + 关闭不必要的服务 6. 重要协议分布图 * 地址解析协议（ARP） * ARP 协议的工作原理： + 发送 ARP 请求的以太网数据帧广播到以太网上的每个主机 + 目的主机收到了该 ARP 请求之后，会发送一个 ARP 应答，里面包含了目的主机的 MAC 地址 + ARP 协议工作原理：每个主机都会在自己的 ARP 缓冲区中建立一个 ARP 列表，以表示 IP 地址和 MAC 地址之间的对应关系