看看这些面试题目,目的是了解安全测试的基本概念。每一道题目都可以展开到一定的深度和广度。
这里仅仅是一个抛砖引玉,点到为止。
Question 1. 什么是安全测试(Security Testing)?
在所有类型的软件测试中,安全测试可以被认为是最重要的。其主要目的是在任何软件(Web或基于网络)的应用程序中找到漏洞,并保护其数据免受可能的攻击或入侵者。由于许多应用程序包含机密数据,需要被保护泄漏。软件测试需要定期在这样的应用程序上进行,以识别威胁并立即采取行动。
Question 2. 什么是漏洞(Vulnerability)?
漏洞可以被定义为任何系统的弱点(Vulnerability),入侵者或bug可以通过该系统进行攻击。如果系统没有严格执行安全性测试,那么漏洞的机会就会增加。有时补丁或修复程序需要防止系统出现漏洞。
Question 3. 什么是入侵检测(Intrusion Detection)?
入侵检测(Intrusion Detection)是帮助确定和处理可能的攻击的系统。入侵检测包括从多个系统和源收集信息,分析信息,找出可能的攻击方式。
入侵检测检查如下:
1.可能的攻击
2.任何异常活动
3.审核系统数据
4.不同采集数据的分析等。
Question 4. 什么是SQL注入(SQL injection)?
SQL注入是黑客获取关键数据的常用攻击技术之一。
黑客检查系统中的任何循环漏洞,通过这些漏洞,他们可以通过SQL查询传递安全检查并返回关键数据。这就是所谓的SQL注入。它可以允许黑客窃取关键数据,甚至使系统崩溃。
SQL注入非常关键,需要避免。定期的安全测试可以防止此类攻击。SQL数据库安全性需要正确定义,输入框和特殊字符应该正确处理。
Question 5. 列举安全测试的关注点?
- Authentication
- Authorization
- Confidentiality
- Availability
- Integrity
- Non-repudiation
- Resilience
Question 6. 什么是XSS?
XSS或跨站点脚本是黑客用来攻击web应用程序的漏洞类型。
它允许黑客将HTML或JAVASCRIPT代码注入网页,网页可以从cookie中窃取机密信息并返回给黑客。这是最关键和最常见的技术之一,需要加以预防。
Question 7. 什么是SSL连接和SSL Session?
SSL或安全套接字层连接是瞬态对等通信链路,其中每个连接与一个SSL会话(SSL Session)相关联。
SSL会话可以定义为通常由握手协议列出的客户端和服务器之间的关联。定义了一组参数,并且可以由多个SSL连接共享。
Question 8. 什么是渗透测试(Penetration Testing)?</