超全网络安全面试题汇总（新版）零基础入门到精通，收藏这一篇就够了

网络安全大白

于 2024-08-09 11:26:30 发布

阅读量283

点赞数 4

分类专栏：程序员科技网络安全文章标签： web安全安全

本文链接：https://blog.csdn.net/Python_paipai/article/details/141057392

版权

程序员同时被 3 个专栏收录

562 篇文章 12 订阅

订阅专栏

网络安全

487 篇文章 6 订阅

订阅专栏

科技

381 篇文章 0 订阅

订阅专栏

大家好，你正在准备求职面试吗？如果是的话，一定要继续往下看。

每一道题目都特别经典，大厂也非常喜欢问。相信大家看完，会有新的收获~

1、天融信网络安全面试题

防范常见的 Web 攻击``重要协议分布层``arp 协议的工作原理``rip 协议是什么？rip 的工作原理``什么是 RARP？工作原理``OSPF 协议？OSPF 的工作原理``TCP 与 UDP 区别总结``什么是三次握手四次挥手？``tcp 为什么要三次握手？``dns 是什么？dns 的工作原理``一次完整的 HTTP 请求过程``Cookies 和 session 区别``GET 和 POST 的区别``HTTPS 和 HTTP 的区别``session 的工作原理？``http 长连接和短连接的区别``OSI 的七层模型都有哪些？``session 的工作原理？什么是 TCP 粘包/拆包？发生原因？解决方案``TCP 如何保证可靠传输？``URI 和 URL 的区别``什么是 SSL ？``https 是如何保证数据传输的安全（SSL 是怎么工作保证安全的）``TCP 对应的应用层协议，UDP 对应的应用层协议``常见的状态码有哪些？

2、渗透测试面试题

信息收集

服务器的相关信息（真实 ip，系统类型，版本，开放端口，WAF 等）``网站指纹识别（包括，cms，cdn，证书等），dns 记录``whois 信息，姓名，备案，邮箱，电话反查（邮箱丢社工库，社工准备等）``子域名收集，旁站，C 段等``google hacking 针对化搜索，pdf 文件，中间件版本，弱口令扫描等``扫描网站目录结构，爆后台，网站 banner，测试文件，备份等敏感文件泄漏等``7传输协议，通用漏洞，exp，github 源码等

漏洞挖掘

浏览网站，看看网站规模，功能，特点等``   ``端口，弱口令，目录等扫描,对响应的端口进行漏洞探测，比如 rsync,心脏出血，mysql,ftp,ssh 弱口令``等。``   ``XSS，SQL 注入，上传，命令注入，CSRF，cookie 安全检测，敏感信息，通信数据传输，暴力破解，``任意文件上传，越权访问，未授权访问，目录遍历，文件 包含，重放攻击（短信轰炸），服务器漏``洞检测，最后使用漏扫工具等

常见的网站服务器容器

IIS、Apache、nginx、Lighttpd、Tomcat

CSRF 和 XSS 和 XXE 有什么区别，以及修复方式？

XSS 是跨站脚本攻击，用户提交的数据中可以构造代码来执行，从而实现窃取用户信息等攻击。修复``方式：对字符实体进行转义、使用 HTTP Only 来禁止 JavaScript 读取 Cookie 值、输入时校验、浏览``器与 Web 应用端采用相同的字符编码。``   ``CSRF 是跨站请求伪造攻击，XSS 是实现 CSRF 的诸多手段中的一种，是由于没有在关键操作执行时``进行是否由用户自愿发起的确认。修复方式：筛选出需要防范 CSRF 的页面然后嵌入 Token、再次输``入密码、检验 Referer XXE 是 XML 外部实体注入攻击，XML 中可以通过调用实体来请求本地或者远``程内容，和远程文件保护类似，会引发相关安全问题，例如敏感文件读取。修复方式：XML 解析库``在调用时严格禁止对外部实体的解析

sql 注入的几种类型？

报错注入``bool 型注入``延时注入``宽字节注入

owasp 漏洞都有哪些？

SQL 注入防护方法：``失效的身份认证和会话管理``跨站脚本攻击 XSS``直接引用不安全的对象``安全配置错误``敏感信息泄露``缺少功能级的访问控制``跨站请求伪造 CSRF``使用含有已知漏洞的组件``未验证的重定向和转发

…

164道网络安全面试题

什么是SQL注入攻击``什么是XSS攻击``什么是CSRF攻击``什么是文件上传漏洞``DDos 攻击``重要协议分布图``arp协议的工作原理``什么是RARP?工作原理``dns是什么?dns的工作原理``rip协议是什么? rip的工作原理``RIP的缺点``OSPF协议? OSPF的工作原理``TCP与UDP区别总结?``什么是三次握手四次挥手?tcp为什么要三次握手?``GET和 POST的区别``Cookies和session区别``session 的工作原理?1``一次完整的HTTP请求过程``HTTPS和HTTP的区别``OSI 的七层模型都有哪些?``http长连接和短连接的区别``TCP如何保证可靠传输?``常见的状态码有哪些?``什么是SSL? https是如何保证数据传输的安全（SSL是怎么工作保证安全的）``如何保证公钥不被篡改?``php爆绝对路径方法?``你常用的渗透工具有哪些，最常用的是哪个?``xss盲打到内网服务器的利用``鱼叉式攻击和水坑攻击``什么是虚拟机逃逸?``中间人攻击?``TCP三次握手过程?``七层模型?``对于云安全的理解``了解过websocket吗?``DDOS是什么?有哪些?CC攻击是什么?区别是什么?``land攻击是什么?``你会如何进行信息收集?``什么是CRLF注入攻击?``防止XSS，前端后端两个角度?``如何防护一个端口的安全?``webshell检测思路?``GPC是什么?开启了怎么绕过``web常用的加密算法有什么``XSS除了获取cookies还能做什么?``运营商（或其他）网络劫持``DNS欺骗是什么``缓冲区溢出原理和防御``网络安全事件应急响应``企业内部安全``业务上线前，怎么测试，从哪些角度测试``应用有漏洞，但是无法修复和停用，你怎么办``CSRF怎么防护?``文件上传绕过方法?``验证码相关利用点``cookie你会测试什么内容``说出几个业务逻辑漏洞类型?``简述文件包含漏洞``业务逻辑漏洞，用户任意密码重置有什么例子，因为什么因素导致的?``渗透测试过程中发现一个只能上传zip文件的功能，有什么可能的思路?``为什么aspx木马权限比asp大?``只有一个登录页面有哪些思路?``请求头中哪些是有危害的?``谈谈水平/垂直/未授权越权访问的区别?``xss有什么?执行存储型的xss的危害和原理``主机疑似遭到入侵，要看哪里的日志``python常用的标准库``reverse tcp和 bind tcp的区别?``oauth认证过程中可能会出现什么问题，导致什么样的漏洞?``做了cdn的网站如何获取真实IP` `如何实现跨域?``jsonp跨域与CORS跨域的区别?``算法?了解过什么排序?``SSRF漏洞利用?``常见后门方式?``open basedir访问目录限制绕过方法?``PHP代码审计中容易出问题的点?``红蓝对抗中蓝队反杀红队场景和姿势?``linux计划任务，黑客隐藏自己的计划任务会怎么做?``Redis未授权常见getshell的几种方式?``JWT的攻击手法? （头部、负载、签名）``JAVA中间件的漏洞，举几个例子?``DNS外带可以用在哪些漏洞?``中间件漏洞总结?``谈一谈Windows系统与Linux系统提权的思路?``ython有哪些框架，其中出现过哪些漏洞``小程序的渗透和普通渗透的差异``app本身的漏洞测试四大组件``IDS/IPS防护原理及绕过思路``json的csrf的利用``json格式的数据包可以测哪些漏洞``内网服务器，如何进行信息收集?``如果拿下了内网边界层的某一个机器，如何对内网其他进行探测?``......

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。