“93道网络安全面试题目” 从给定的文件信息中,我们可以总结出以下知识点: 1. SQL 注入攻击 * 定义:攻击者在 HTTP 请求中注入恶意的 SQL 代码,使服务器使用参数构建数据库 SQL 命令时,恶意 SQL 被一起构造,并在数据库中执行。 * 防范方法: + 使用预编译的 PrepareStatement + 限制字符串输入的长度 + 有效性检验 + 过滤 SQL 需要的参数中的特殊字符 2. XSS 攻击 * 定义:跨站点脚本攻击,指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。 * 防范方法: + 前端和服务端同时需要字符串输入的长度限制 + 前端和服务端同时需要对 HTML 转义处理 + 防 XSS 的核心是必须对输入的数据做过滤处理 3. CSRF 攻击 * 定义:跨站点请求伪造,指攻击者通过跨站请求,以合法的用户的身份进行非法操作。 * 防范方法: + 安全框架,例如 Spring Security + Token 机制 + 验证码 + Referer 识别 4. 文件上传漏洞 * 定义:用户上传一个可执行的脚本文件,并通过此脚本文件获得了执行服务端命令的能力。 * 防范方法: + 文件上传的目录设置为不可执行 + 判断文件类型 + 对上传的文件类型进行白名单校验 + 上传的文件需要进行重新命名 + 限制上传文件的大小 + 单独设置文件服务器的域名 5. DDos 攻击 * 定义:客户端向服务端发送请求链接数据包,服务端向客户端发送确认数据包,客户端不向服务端发送确认数据包,服务器一直等待来自客户端的确认。 * 防范方法: + 限制同时打开 SYN 半连接的数目 + 缩短 SYN 半连接的 Time out 时间 + 关闭不必要的服务 6. 重要协议分布图 * 地址解析协议(ARP) * ARP 协议的工作原理: + 发送 ARP 请求的以太网数据帧广播到以太网上的每个主机 + 目的主机收到了该 ARP 请求之后,会发送一个 ARP 应答,里面包含了目的主机的 MAC 地址 + ARP 协议工作原理:每个主机都会在自己的 ARP 缓冲区中建立一个 ARP 列表,以表示 IP 地址和 MAC 地址之间的对应关系
剩余21页未读,继续阅读
- 粉丝: 2728
- 资源: 80
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 生菜生长记录数据集(3K+ 记录,7特征) CSV
- 国际象棋检测2-YOLO(v5至v9)、COCO、CreateML、Darknet、Paligemma、TFRecord数据集合集.rar
- RGMII delay问题
- Python结合Pygame库实现圣诞主题动画和音乐效果的代码示例
- 国际象棋检测2-YOLO(v5至v11)、COCO、CreateML、Paligemma、TFRecord、VOC数据集合集.rar
- ssd5课件图片记录保存
- 常用算法介绍与学习资源汇总
- Python与Pygame实现带特效的圣诞节场景模拟程序
- 国际象棋检测11-YOLO(v7至v9)、COCO、Darknet、Paligemma、VOC数据集合集.rar
- 使用Python和matplotlib库绘制爱心图形的技术教程
评论0