久久精品国产亚洲高清|精品日韩中文乱码在线|亚洲va中文字幕无码久|伊人久久综合狼伊人久久|亚洲不卡av不卡一区二区|精品久久久久久久蜜臀AV|国产精品19久久久久久不卡|国产男女猛烈视频在线观看麻豆

千鋒教育-做有情懷、有良心、有品質(zhì)的職業(yè)教育機構(gòu)

手機站
千鋒教育

千鋒學(xué)習(xí)站 | 隨時隨地免費學(xué)

千鋒教育

掃一掃進入千鋒手機站

領(lǐng)取全套視頻
千鋒教育

關(guān)注千鋒學(xué)習(xí)站小程序
隨時隨地免費學(xué)習(xí)課程

當前位置:首頁  >  應(yīng)聘面試  >  網(wǎng)絡(luò)安全面試題  > 2022年滲透測試初級面試題集錦來啦!

2022年滲透測試初級面試題集錦來啦!

來源:千鋒教育
發(fā)布人:syq
時間: 2022-07-13 17:47:00 1657705620

  1. 為何一個 MYSQL 數(shù)據(jù)庫的站,只有一個 80 端口開放?

  答:更改了端口,沒有掃描出來;站庫分離;3306 端口不對外開放。

滲透測試初級面試題

  2. 一個成熟并且相對安全的 CMS,滲透時掃目錄的意義?

  答:敏感文件、二級目錄掃描;站長的誤操作比如:網(wǎng)站備份的壓縮文件、說明.txt、二級目錄可能存放著其他站點。

  3. 在某后臺新聞編輯界面看到編輯器,應(yīng)該先做什么?

  答:查看編輯器的名稱版本,然后搜索公開的漏洞。

  4. 審查上傳點的元素有什么意義?

  答:有些站點的上傳文件類型限制是在前端實現(xiàn)的,這時只要增加上傳類型就能

  突破限制了。

  5. CSRF、XSS 及 XXE 有什么區(qū)別,以及修復(fù)方式?

  答:xSS 是跨站腳本攻擊,用戶提交的數(shù)據(jù)中可以構(gòu)造代碼來執(zhí)行,從而實現(xiàn)竊取用戶信息等攻擊。修復(fù)方式:對字符實體進行轉(zhuǎn)義、使用 HTTP Only 來禁 JavaScript 讀取 Cookie 值、輸入時校驗、瀏覽器與 Web 應(yīng)用端采用相同的字符編碼。

  CSRF 是跨站請求偽造攻擊,XSS 是實現(xiàn) CSRF 的諸多手段中的一種,是由于沒有在關(guān)鍵操作執(zhí)行時進行是否由用戶自愿發(fā)起的確認。修復(fù)方式:篩選出需要防范 CSRF 的頁面然后嵌入Token、再次輸入密碼、檢驗 Referer。

  XXE 是 XML 外部實體注入攻擊,XML 中可以通過調(diào)用實體來請求本地或者遠程內(nèi)容,和遠程文件保護類似,會引發(fā)相關(guān)安全問題,例如敏感文件讀取。修復(fù)方式:XML 解析庫在調(diào)用時嚴格禁止對外部實體的解析。

  6. 3389 無法連接的幾種情況

  答:沒開放 3389 端口;端口被修改;防護攔截;處于內(nèi)網(wǎng)(需進行端口轉(zhuǎn)發(fā))

  7. 列舉出 owasp top10 2019

  答:1)注入;2)失效的身份認證;3)敏感信息泄露;4)XML 外部實體(XXE);5)失效的訪問控制;6)安全配置錯誤;7)跨站腳本(XSS);8)不安全的反序列化;9)使用含有已知漏洞的組件;10)不足的日志記錄和監(jiān)控。

  8. 說出至少三種業(yè)務(wù)邏輯漏洞,以及修復(fù)方式?

  答:密碼找回漏洞中存在密碼允許暴力破解、存在通用型找回憑證、可以跳過驗證步驟、找回憑證可以攔包獲取等方式來通過廠商提供的密碼找回功能來得到密碼;身份認證漏洞中最常見的是會話固定攻擊和 Cookie 仿冒,只要得到 Session 或 Cookie 即可偽造用戶身份;驗證碼漏洞中存在驗證碼允許暴力破解、驗證碼可以通過 Javascript 或者改包的方法來進行繞過。

  9. 目標站無防護,上傳圖片可以正常訪問,上傳腳本格式訪問則 403,什么原因?

  答:原因很多,有可能 Web 服務(wù)器配置把上傳目錄寫死了不執(zhí)行相應(yīng)腳本,嘗試改后綴名繞過。

  10. 目標站禁止注冊用戶,找回密碼處隨便輸入用戶名提示:“此用戶不存在”,你覺得這里怎樣利用?

  答:先爆破用戶名,再利用被爆破出來的用戶名爆破密碼;其實有些站點,在登陸處也會這樣提示;所有和數(shù)據(jù)庫有交互的地方都有可能有注入。

  更多關(guān)于“網(wǎng)絡(luò)安全培訓(xùn)”的問題,歡迎咨詢千鋒教育在線名師。千鋒教育多年辦學(xué),課程大綱緊跟企業(yè)需求,更科學(xué)更嚴謹,每年培養(yǎng)泛IT人才近2萬人。不論你是零基礎(chǔ)還是想提升,都可以找到適合的班型,千鋒教育隨時歡迎你來試聽。

tags:
聲明:本站稿件版權(quán)均屬千鋒教育所有,未經(jīng)許可不得擅自轉(zhuǎn)載。
10年以上業(yè)內(nèi)強師集結(jié),手把手帶你蛻變精英
請您保持通訊暢通,專屬學(xué)習(xí)老師24小時內(nèi)將與您1V1溝通
免費領(lǐng)取
今日已有369人領(lǐng)取成功
劉同學(xué) 138****2860 剛剛成功領(lǐng)取
王同學(xué) 131****2015 剛剛成功領(lǐng)取
張同學(xué) 133****4652 剛剛成功領(lǐng)取
李同學(xué) 135****8607 剛剛成功領(lǐng)取
楊同學(xué) 132****5667 剛剛成功領(lǐng)取
岳同學(xué) 134****6652 剛剛成功領(lǐng)取
梁同學(xué) 157****2950 剛剛成功領(lǐng)取
劉同學(xué) 189****1015 剛剛成功領(lǐng)取
張同學(xué) 155****4678 剛剛成功領(lǐng)取
鄒同學(xué) 139****2907 剛剛成功領(lǐng)取
董同學(xué) 138****2867 剛剛成功領(lǐng)取
周同學(xué) 136****3602 剛剛成功領(lǐng)取
相關(guān)推薦HOT
網(wǎng)絡(luò)安全面試題及答案

1.什么是網(wǎng)絡(luò)安全?為什么網(wǎng)絡(luò)安全重要?答:網(wǎng)絡(luò)安全是保護計算機網(wǎng)絡(luò)和網(wǎng)絡(luò)連接的機制和措施,防止未經(jīng)授權(quán)的訪問、攻擊和損害。網(wǎng)絡(luò)安全對于保...詳情>>

2023-07-20 15:29:47
什么是防火墻?

我們知道,原是指古代人們房屋之間修建的那道墻,這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋?!《@里所說的防火墻當然不是指物理上的防火墻...詳情>>

2022-10-28 09:50:00
常見6種WAF繞過和防護原理

今天就聊聊關(guān)于上傳繞過WAF的姿勢,WAF(Web Application Firewall)簡單的來說就是執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護...詳情>>

2022-10-28 09:37:00
網(wǎng)絡(luò)安全方面的崗位面試題目集合(二)

單針對金融業(yè)務(wù)的 主要是數(shù)據(jù)的篡改(涉及金融數(shù)據(jù),或部分業(yè)務(wù)的判斷數(shù)據(jù)),由競爭條件或者設(shè)計不當引起的薅羊毛,交易/訂單信息泄露,水平越權(quán)...詳情>>

2022-07-21 17:50:00
【SQL篇】大廠網(wǎng)絡(luò)安全面試題集合(一)

SQL 注入防護1、使用安全的 API2、對輸入的特殊字符進行 Escape 轉(zhuǎn)義處理3、使用白名單來規(guī)范化輸入驗證方法 4、對客戶端輸入進行控制,不允許...詳情>>

2022-07-14 13:44:00