全部标签

网络安全面试题

    • 网络安全面试路线最全整理(附面试题精选及答案)
      网络安全面试路线最全整理(附面试题精选及答案)

      网络安全面试路线最全整理(附面试题精选及答案)

      网络安全面试路线最全整理,附网络安全高频必考面试题及答案。 搞定网络安全面试题,看这一篇就够了,不用四处找资料,节约大量时间。 1    网络安全面试题及答案 什么是DNS攻击 怎么防御DNS攻击 什么是CSRF攻击 怎么防御CSRF攻击 什么是DOS & DDOS攻击 如何防御DDOS攻击 什么是SQL注入攻击 怎么防御SQL注入攻击 什么是XSS攻击 怎么防御XSS攻击 什么是会话固定…...
      • 常见的企业安全问题有哪些
        常见的企业安全问题有哪些

        常见的企业安全问题有哪些

        参考答案 常见的企业安全问题主要有7个: 人为的无意失误 人为的恶意攻击 网络软件的漏洞 互联网络的不安全因素 病毒入侵 远程访问工具 安全管理问题 以上,是网络安全面试题【常见的企业安全问题】的参考答案。 输出,是最好的学习方法。 欢迎在评论区留下你的问题、笔记或知识点补充~ ---end---...
        • 作为网站管理者应当如何防范 XSS ?
          作为网站管理者应当如何防范 XSS ?

          作为网站管理者应当如何防范 XSS ?

          参考答案 网站管理者防范 XSS 方法 防御的总体思路: 对输入(和 URL 参数)进行过滤,对输出进行编码,白名单和黑名单结合。 1  过滤 根据业务需求过滤、在留言板或论坛等,则可以过滤掉特殊字符或命令字符。 开启浏览器的HTTPonly,使得无法通过js获取cookie。 2  转义 所有输出到前端的数据,都要做转义。 以上,是网络安全面试题【作为网站管理者应当如何防范 XSS ?】的参考答…...
          • 常见的 Web 漏洞有哪些?
            常见的 Web 漏洞有哪些?

            常见的 Web 漏洞有哪些?

            参考答案 11种常见的 Web 漏洞 数据溢出 webshell 密码暴力破解 sql注入 XSS漏洞 CSRF 文件上传漏洞 文件包含漏洞 SSRF漏洞 XXE漏洞 反序列化漏洞 以上,是网络安全面试题【常见的Web漏洞有哪些】的参考答案。 输出,是最好的学习方法。 欢迎在评论区留下你的问题、笔记或知识点补充~ ---end---...
            • 如何保证公钥不被篡改?
              如何保证公钥不被篡改?

              如何保证公钥不被篡改?

              参考答案 公钥不被篡改的实现方法 将公钥放在数字证书中,只要证书是可信的,公钥就是可信的。 当公钥加密计算量太大时,该如何减少耗用的时间呢? 每一次对话(session),客户端和服务器端都生成一个"对话密钥"(session key),用它来加密信息。 由于"对话密钥"是对称加密,运算速度非常快,而服务器公钥只用于加密"对话密钥"本身,…...
              • 什么是 SSL ?HTTPS 是如何保证数据传输的安全( SSL 是怎么工作保证安全的)
                什么是 SSL ?HTTPS 是如何保证数据传输的安全( SSL 是怎么工作保证安全的)

                什么是 SSL ?HTTPS 是如何保证数据传输的安全( SSL 是怎么工作保证安全的)

                参考答案   什么是 SSL SSL 代表安全套接字层。 它是一种用于加密和验证应用程序(如浏览器)和 Web 服务器之间发送的数据的协议。 身份验证、加密 HTTPS 的加密机制,是一种共享密钥加密和公开密钥加密并用的混合加密机制。   SSL / TLS 协议的作用 认证用户和服务 加密数据   HTTPS 是如何保证数据传输的安全( SSL 是怎么工作保证安全的…...
                • 常见的 HTTP 状态码有哪些?
                  常见的 HTTP 状态码有哪些?

                  常见的 HTTP 状态码有哪些?

                  参考答案 常见 HTTP 状态码 2   开头 (请求成功)表示成功处理了请求的状态代码。 200   (成功)  服务器已成功处理了请求。 通常,这表示服务器提供了请求的网页。 201   (已创建)  请求成功并且服务器创建了新的资源。 202   (已接受)  服务器已接受请求,但尚未处理。 203   (非授权信息)  服务器已成功处理了请求,但返回的信息可能来自另一来源。 204   (…...
                  • TCP 如何保证可靠传输
                    TCP 如何保证可靠传输

                    TCP 如何保证可靠传输

                    参考答案 TCP 保证可靠传输的实现方式 三次握手 将数据截断为合理的长度。应用数据被分割成 TCP 认为最适合发送的数据块(按字节编号,合理分片) 超时重发。当 TCP 发出一个段后,它启动一个定时器,如果不能及时收到一个确认就重发 确认应答:对于收到的请求,给出确认响应 校验和:校验出包有错,丢弃报文段,不给出响应 序列号:对失序数据进行重新排序,然后才交给应用层 丢弃重复数据:对于重复数据 …...
                    • 什么是 TCP 粘包/拆包,发生原因、以及解决方案?
                      什么是 TCP 粘包/拆包,发生原因、以及解决方案?

                      什么是 TCP 粘包/拆包,发生原因、以及解决方案?

                      参考答案 TCP 粘包/拆包 一个完整的业务可能会被TCP拆分成多个包进行发送,也有可能把多个小的包封装成一个大的数据包发送,这个就是TCP的拆包和粘包问题。 TCP 粘包/拆包发生原因 应用程序写入数据的字节大小大于套接字发送缓冲区的大小 进行MSS大小的TCP分段。( MSS=TCP报文段长度-TCP首部长度) 以太网的payload大于MTU进行IP分片。( MTU指:一种通信协议的某一层上…...
                      • OSI 的七层模型都是什么?
                        OSI 的七层模型都是什么?

                        OSI 的七层模型都是什么?

                        参考答案 OSI 的七层模型 物理层:利用传输介质为数据链路层提供物理连接,实现比特流的透明传输 数据链路层:接收来自物理层的位流形式的数据,并封装成帧,传送到上一层 网络层:将网络地址翻译成对应的物理地址,并通过路由选择算法为分组通过通信子网选择最适当的路径 传输层:在源端与目的端之间提供可靠的透明数据传输 会话层:负责在网络中的两节点之间建立、维持和终止通信 表示层:处理用户信息的表示问题,数…...
                        • HTTPS 和 HTTP 的区别
                          HTTPS 和 HTTP 的区别

                          HTTPS 和 HTTP 的区别

                          参考答案 HTTPS 和 HTTP 的区别主要有3点: HTTP 协议传输的数据都是未加密的,也就是明文的,因此使用 HTTP 协议传输隐私信息非常不安全;HTTPS 协议是由 SSL+HTTP 协议构建的,可进行加密传输、身份认证的网络协议,要比HTTP 协议安全。 HTTPS 协议需要到 ca 申请证书,可能需要一定费用。 HTTPS 和 HTTP 使用的是完全不同的连接方式,用的端口也不一样…...
                          • Session 的工作原理是什么?
                            Session 的工作原理是什么?

                            Session 的工作原理是什么?

                            参考答案 Session 的工作原理 客户端登录完成之后,服务器会创建对应的 Session Session 创建完之后,会把 Session 的 id 发送给客户端,客户端再存储到浏览器中 这样客户端每次访问服务器时,都会带着 Sessionid,服务器拿到 Sessionid 之后,在内存找到与之对应的 Session ,这样就可以正常工作了 一次完整的 HTTP 请求过程 域名解析 发起 T…...
                            • Cookies 和 Session 的区别是什么
                              Cookies 和 Session 的区别是什么

                              Cookies 和 Session 的区别是什么

                              参考答案 Cookie 和 Session 都是客户端与服务器之间保持状态的解决方案. Cookie 和 Session 的区别主要有如下4点: 1  存储的位置不同 Cookie:存放在客户端 Session:存放在服务端。Session存储的数据比较安全 2  存储的数据类型不同 两者都是 key-value 的结构,但针对 value 的类型是有差异的。 Cookie:value只能是字符串…...
                              • GET 和 POST 的区别
                                GET 和 POST 的区别

                                GET 和 POST 的区别

                                参考答案 GET 和 POST 的区别主要有以下6点: GET 是获取数据,POST 是修改数据; GET 把请求的数据放在 URL 上, 以 ? 分割 URL 和传输数据,参数之间以 & 相连,所以 GET 不太安全。而 POST 把数据放在 HTTP 的包体内(requrest body); GET 提交的数据最大是 2k( 限制实际上取决于浏览器), POST 理论上没有限制; GE…...
                                • 什么是三次握手、四次挥手?TCP 为什么要三次握手?
                                  什么是三次握手、四次挥手?TCP 为什么要三次握手?

                                  什么是三次握手、四次挥手?TCP 为什么要三次握手?

                                  参考答案 TCP 三次握手 第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认; 第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态; 第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1…...
                                  • TCP 与 UDP 有什么区别
                                    TCP 与 UDP 有什么区别

                                    TCP 与 UDP 有什么区别

                                    参考答案 TCP 与 UDP 的区别 TCP 面向连接(如打电话要先拨号建立连接),提供可靠的服务。UDP是无连接的,即发送数据之前不需要建立连接;UDP尽最大努力交付,即不保证可靠交付。(由于UDP无需建立连接,因此UDP 不会引入建立连接的时延,TCP 需要在端系统中维护连接状态,比如接受和发送缓存,拥塞控制,序号与确认号的参数等,故 TCP 会比 UDP 慢); UDP 具有较好的实时性,工…...
                                    • OSPF 协议是什么,以及 OSPF 的工作原理
                                      OSPF 协议是什么,以及 OSPF 的工作原理

                                      OSPF 协议是什么,以及 OSPF 的工作原理

                                      参考答案 OSPF 协议是什么 OSPF 协议英文全称 Open Shortest Pass First ,中文全称开放最短路径优先协议; OSPF 协议是一个最常用的内部网管协议,是一个链路状态协议(网络层协议)。 OSPF 协议的原理 OSPF 组播的方式在所有开启 OSPF 的接口发送 Hello 包,用来确定是否有OSPF 邻居。 若发现了,则建立 OSPF 邻居关系,形成邻居表,之后互相…...
                                      • RIP 协议是什么?RIP 的工作原理、以及缺点?
                                        RIP 协议是什么?RIP 的工作原理、以及缺点?

                                        RIP 协议是什么?RIP 的工作原理、以及缺点?

                                        参考答案 1  RIP 协议 RIP 是一种基于距离矢量(Distance-Vector)算法的协议,又称动态路由选择协议(网络层协议)。它使用跳数(Hop Count)作为度量来衡量到达目的网络的路由距离。 RIP 通过 UDP 报文进行路由信息的交换,使用的端口号为 520 。 2   RIP 工作原理 RIP 路由协议使用“更新(UNPDATES)”和“请求(REQUESTS)”这两种分组来…...
                                        • 什么是 ARP 协议,ARP 协议的工作原理是什么?
                                          什么是 ARP 协议,ARP 协议的工作原理是什么?

                                          什么是 ARP 协议,ARP 协议的工作原理是什么?

                                          参考答案 ARP 协议是什么 ARP(Address Resolution Protocol)的中文全称是地址解析协议,它是根据 IP 地址获取物理地址的一个 TCP/IP 协议。 发送 ARP 请求的以太网数据帧广播到以太网上的每个主机,ARP 请求帧中包含了目的主机的 IP 地址; 目的主机收到了该 ARP 请求之后,会发送一个 ARP 应答,里面包含了目的主机的 MAC 地址。  …...
                                          • 如何防范文件上传漏洞
                                            如何防范文件上传漏洞

                                            如何防范文件上传漏洞

                                            参考答案 防范文件上传漏洞的方法: 文件上传的目录设置为不可执行; 判断文件类型。在判断文件类型的时候,可以结合使用 MIME Type 、后缀检查等方式。因为对于上传文件,不能简单地通过后缀名称来判断文件的类型,因为攻击者可以将可执行文件的后缀名称改为图片或其他后缀类型,诱导用户执行; 对上传的文件类型进行白名单校验,只允许上传可靠类型; 上传的文件需要进行重新命名,使攻击者无法猜想上传文件的访…...
                                            • 什么是文件上传漏洞
                                              什么是文件上传漏洞

                                              什么是文件上传漏洞

                                              参考答案 文件上传漏洞: 指的是用户上传一个可执行的脚本文件,并通过此脚本文件获得了执行服务端命令的能力。 很多第三方框架、服务,都曾经被爆出文件上传漏洞。 例如: 早前的 Struts2 、富文本编辑器等,可被攻击者上传恶意代码。   以上,是网络安全面试题【什么是文件上传漏洞】的参考答案。 输出,是最好的学习方法。 欢迎在评论区留下你的问题、笔记或知识点补充~ ---end---...
                                              • 网络安全学习进阶路线及资料(附大厂面试题合集)
                                                网络安全学习进阶路线及资料(附大厂面试题合集)

                                                网络安全学习进阶路线及资料(附大厂面试题合集)

                                                社交、电商、游戏、网银、邮箱、OA…..等几乎所有能联网的应用,都可以直接基于 Web 技术来提供。 针对 Web 的攻击技术也是层出不穷。比较常见的攻击:SQL 注入、XSS 跨站脚本攻击、CSRF 跨站请求伪造、Webshell 网站木马……等。 可能因此造成重大损失及影响。例如:网站不能访问、网站页面被恶意篡改、网站被黑客入侵并泄露核心数据等。 学习掌握一定的 Web 安全技术,在设计及编码…...
                                                • 怎么防御 CSRF 攻击
                                                  怎么防御 CSRF 攻击

                                                  怎么防御 CSRF 攻击

                                                  参考答案 CSRF 是什么 CSRF,英文全称 Cross-site request forgery,攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。   CSRF 攻击的危害   CSRF 攻击的原理   一个典型的 CSRF 攻击流…...
                                                  • 怎么防御会话固定攻击
                                                    怎么防御会话固定攻击

                                                    怎么防御会话固定攻击

                                                    参考答案 防御会话固定攻击的方法 这个问题的根源在 sessionid 不变,如果用户在未登录时拿到的是一个 sessionid,登录之后服务端给用户重新换一个 sessionid,就可以防止会话固定攻击了。 如果使用了 Spring Security ,那么就不用担心这个问题,因为Spring Security 中默认已经做了防御工作。 Spring Security 中的防御主要体现在三个方面…...