安服仔10大灵魂拷问

程序员小强_

已于 2024-01-19 15:10:30 修改

阅读量296

点赞数 1

文章标签： php 开发语言

于 2023-02-28 23:45:09 首次发布

本文链接：https://blog.csdn.net/dzqxwzoe/article/details/129272616

版权

最近作为新员工的第一轮面试官，我也不懂怎么面试，那就来给我解释解释专有名词吧，谁解释的好，解释的通俗，那么通过面试的机会就大，我的面试问题如下，请使用一句话解释以下漏洞概念：

什么是SQL注入？

把SQL命令插入到web表单中，欺骗服务器执行SQL命令【Web安全】SQL注入攻击防范 SQL注入攻击语义引擎分析

什么是跨站脚本(XSS)注入？

向web表单中提交JavaScript恶意脚本代码，典型的script、alert 【Web安全】XSS攻击防范 XSS注入攻击语义引擎分析

什么是跨站请求伪造(CSRF)？

引诱用户访问黑客伪造的网站，触发自动提交正常网站业务的恶意操作【Web安全】CSRF攻击防范

什么是文件上传漏洞？

上传一个可执行的脚本，获得执行命令的能力

什么是文件下载漏洞？

下载网站源码、配置信息

什么是目录遍历漏洞？

暴力遍历web服务目录

什么是本地文件包含漏洞(LFI)?

包含另一个本地php文件的功能

什么是远程文件包含漏洞(RFI)?

包含另一个远程php文件的功能

什么是全局变量覆盖漏洞？

将Environment、GET、POST、Cookie、Server注册为全局变量

什么是代码执行漏洞？

向web页面提交恶意代码，如system()、eval()、exec()

什么是信息泄露漏洞？

web页面返回过多信息

什么是弱口令漏洞？

密码强度太弱，比如123456

什么是缓冲区溢出漏洞？

字符串长度超过预期，导致函数栈被破坏【软件安全】缓冲区溢出攻防【软件安全】R-2-Libc攻防从春节12响浅谈漏洞利用

什么是Cookie欺骗？

常见QQ空间，诱骗别人点击，获得别人Cookie 然后使用Cookie绕过登陆页面，发送涩情广告

什么是命令注入？

涉及到cmd，bash命令行的恶意操作

下面有请【漏洞课代表】回答一下：什么是反序列化漏洞？

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览，小伙伴们记得点个收藏！

编辑

阶段一：基础入门

编辑

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二：技术进阶（到了这一步你才算入门）

编辑

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

编辑

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四：蓝队课程

编辑

蓝队基础

蓝队进阶

该部分主攻蓝队的防御，即更容易被大家理解的网络安全工程师。

攻防兼备，年薪收入可以达到40w+

阶段五：面试指南&阶段六：升级内容

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

网络安全入门学习路线

其实入门网络安全要学的东西不算多，也就是网络基础+操作系统+中间件+数据库，四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机使用等...

别被这些看上去很多的东西给吓到了，其实都是很简单的基础知识，同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过，这部分可以直接略过。没学过的同学也不要慌，可以去B站搜索相关视频，你搜关键词网络安全工程师会出现很多相关的视频教程，我粗略的看了一下，排名第一的视频就讲的很详细。当然你也可以看下面这个视频教程仅展示部分截图：学到http和https抓包后能读懂它在说什么就行。