【Web安全】想进大厂必须要知道的Web安全问题，成功拿下猿辅导+斗鱼+滴滴+字节+腾讯offer

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

1.XSS攻击是如何产生的？

黑客在你的浏览器中插入一段恶意 JavaScript 脚本，窃取你的隐私信息、冒充你的身份进行操作。这就是 XSS 攻击(Cross-Site Scripting，跨站脚本攻击)

因为浏览器无法区分脚本是被恶意注入的还是正常的内容，它都会执行，况且 HTML 非常灵活，可以在任何时候对它进行修改。

2.知道XSS有哪几种类型吗？

（送分题）

• 反射型 XSS (也叫非持久型)
• 基于 DOM 的 XSS
• 存储型 XSS (也叫持久型 XSS)

3.分别说一下它们的实现原理

反射型：顾名思义，恶意 JavaScript 脚本属于用户发送给网站请求中的一部分，随后网站又将这部分返回给用户，恶意脚本在页面中被执行。一般发生在前后端一体的应用中，服务端逻辑会改变最终的网页代码。

基于DOM型：目前更流行前后端分离的项目，反射型 XSS 无用武之地。 但这种攻击不需要经过服务器，我们知道，网页本身的 JavaScript 也是可以改变 HTML 的，黑客正是利用这一点来实现插入恶意脚本。

存储型：又叫持久型 XSS，顾名思义，黑客将恶意 JavaScript 脚本长期保存在服务端数据库中，用户一旦访问相关页面数据，恶意脚本就会被执行。常见于搜索、微博、社区贴吧评论等。

4.说一说它们之间的区别

反射型的 XSS 的恶意脚本存在 URL 里，存储型 XSS 的恶意代码存在数据库里。

而基于DOM型的XSS 攻击中，取出和执行恶意代码由浏览器端完成，属于前端 JavaScript 自身的安全漏洞，其他两种 XSS 都属于服务端的安全漏洞。

(面试官微微抬起头，递给我一张纸。)

5.再画个图解释一下把

(好的，给你降维解释一波)

反射型

基于DOM型

存储型

（面试官：小伙子图画的不错）

6.黑客可以通过XSS攻击做哪些事儿？

• 盗取用户 Cookie
• 未授权操作
• 修改 DOM
• 刷浮窗广告
• 发动 XSS 蠕虫攻击
• 劫持用户行为，进一步渗透内网

(…太多了)

7.XSS攻击如何进行防护？

• 一切用户输入皆不可信，在输出时进行验证
• 将 HTML 元素内容、属性以及 URL 请求参数、CSS 值进行编码
• 当编码影响业务时，使用白名单规则进行检测和过滤
• 使用 W3C 提出的 CSP (Content Security Policy，内容安全策略)，定义域名白名单
• 设置 Cookie 的 HttpOnly 属性

8.知道哪些XSS攻击案例简单说一下

(没想到你还爱听新闻)

• 2005年，年仅19岁的 Samy Kamkar 发起了对 MySpace.com 的 XSS Worm 攻击。 Samy Kamkar 的蠕虫在短短几小时内就感染了100万用户——它在每个用户的自我简介后边加了一句话：“but most of all, Samy is my hero.”（Samy是我的偶像）。这是 Web 安全史上第一个重量级的 XSS Worm，具有里程碑意义。
• 2007年12月，百度空间收到蠕虫攻击，用户之间开始转发垃圾短消息。
• QQ 邮箱 m.exmail.qq.com 域名被发现反射型 XSS 漏洞
• 2011年新浪微博曾被黑客 XSS 攻击，黑客诱导用户点击一个带有诱惑性的链接，便会自动发送一条带有同样诱惑性链接微博。攻击范围层层扩大，也是一种蠕虫攻击。

9.什么是CSRF攻击？

CSRF 英文全称是 Cross-site request forgery，又称为“跨站请求伪造”。

顾名思义，CSRF 攻击就是黑客引诱用户打开黑客的网站，利用用户的登陆状态发起跨站请求。

降维解释：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。 利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证， 达到冒充用户对被攻击的网站执行某项操作的目的。

10.CSRF攻击一般怎么实现？

• 最容易实现的是 Get 请求，一般进入黑客网站后，可以通过设置 img的 src 属性来自动发起请求
• 在黑客的网站中，构造隐藏表单来自动发起 Post 请求
• 通过引诱链接诱惑用户点击触发请求，利用 a 标签的 href。

点击下载美女视频

11.CSRF攻击和XSS攻击有什么区别？

CSRF 攻击不需要将恶意代码注入用户的页面，仅仅是利用服务器的漏洞和用户的登录状态来实施攻击。

CSRF 攻击成本也比 XSS 低，用户每天都要访问大量网页，无法确认每一个网页的合法性， 从用户角度来说，无法彻底防止 CSRF 攻击。

12.那应该如何防范CSRF攻击？

• 针对实际情况，设置关键 Cookie 的 SameSite 属性为 Strict 或 Lax
• 服务端验证请求来源站点(Referer、Origin)
• 使用 CSRF Token，服务端随机生成返回给浏览器的 Token，每一次请求都会携带不同的 CSRF Token
• 加入二次验证(独立的支付密码)

13.关于Web密码学你了解哪些呢？

• 对称加密算法
  • 对称加密算法就是加密和解密使用同一个密钥，简单粗暴
  • 常见的经典对称加密算法有 DES、AES(AES-128)、IDEA、国密SM1、国密SM4
• 非对称加密算法
  • 非对称加密就是加密和解密使用不同的密钥。发送方使用公钥对信息进行加密，接收方收到密文后，使用私钥进行解密。
  • 主要解决了密钥分发的难题
  • 我们常说的签名就是私钥加密
  • 常见的经典非对称加密算法有RSA、ECC和国密SM2
• 散列算法
  • 不可逆性、鲁棒性、唯一性
  • MD5、SHA(SHA-256)、国密SM3
  • 使用时记得加盐

AES 是国际上最认可的密码学算法，只要算力没有极大的突破性进展，这种算法在可预期的未来都是安全的。

ECC 是目前国际上加密强度最高的非对称加密算法。

MD5 和 SHA 的唯一性被*解了，但是大部分场景下，不会构成安全问题。一般使用 SHA-256 加盐即可满足大部分使用场景。

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）
[外链图片转存中…(img-BBUZNMCa-1713368088549)]

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！