2024年关于WEB安全的知识(2),网络安全入门零基础

于 2024-05-05 16:03:31 发布
阅读量302 收藏 6
点赞数 4
分类专栏: 程序员 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60453176/article/details/138468206
版权
本文分享了网络安全面试题集合,包括160+面试题目,适合IT从业者和新手温习。还提供了详细的学习路线图、视频教程、书籍推荐以及实战项目,帮助读者构建知识体系并提升技术能力。
摘要由CSDN通过智能技术生成

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

3.3 XSS防御
  • HttpOnly:主要是为了解决XSS攻击后的cookie劫持攻击。

step1 :浏览器向服务器发送请求,这时候是没有cookie的

step2 :服务器返回set-Cookie头,向客户端浏览器写入Cookie

step3 :在该Cookie到期之前,浏览器访问该域下的所有页面都应该发送Cookie

  • 处理富文本:在标签选择上尽量选择白名单,避免使用黑名单

第四章 跨站请求伪造

攻击者在自己的域内伪造一个页面,比如删除某个博客的文章。然后诱使用户访问一个页面,就以该用户身份在第三方站点执行一次操作。

####CSRF防御

  • 验证码:CSRF攻击通常是用户在不知情的情况之下构造了网络请求,而验证码是用户必须与应用进行交互才能完成最终请求。

  • Referer Check :用于检查请求是否来自于合法的"源"。比如用户需要发帖就会登陆到后台,那么Referer这个值必然是发帖表单所在的页面。但是有一个缺陷,服务器并非什么时候都会去得到Referer。

  • Token:Token 需要同时放在表单中和session中,提交表但时,服务器要验证表单中的Token是否与用户session或者(cookie)中的Token是否一致。

  • token一定要足够随机

第五章 点击劫持

5.1 点击劫持

点击劫持其实就是利用视觉上的欺骗手段。攻击者使用一个不透明、不可见的iframe覆盖在网页上,

5.2 拖拽劫持和数据窃取

诱使用户从不可见的iframe中拖拽出攻击者希望得到的数据。

5.3 触屏劫持

  • touchstart

  • touchend

  • touchmove

  • touchcancel

5.4 防御ClickJacking
  • frame busting

写一段JavaScript代码防止iframe嵌套

  • X-Frame-Options

使用一个HTTP请求头,当值位DENY时浏览器拒绝加载当前页面任何frame页面;若值为sameorigin时允许加载同源页面下的页面;当值为allow-from origin时就允许加载页面的地址

第六章 HTML5安全

6.1 HTML5新标签

使用HTML5新增的标签,比如说video等用于远程加载资源的标签会存在XSS漏洞。

  • iframe的sandbox

为了限制iframe的脚本,为iframe定义了一个sandbox属性,将iframe所加载的内容视为一个独立的"源",其中的脚本被限制执行,表单被限制提交,插件被禁止加载。

  • postMessage----跨窗口传递信息

允许每一个window对象往其他的擦窗口发送文本信息,从而实现跨窗口消息传递,这个功能是不受同源策略限制。

第七章 注入攻击

7.1 SQL注入

注入的本质就是把用户输入的数据当成代码执行。原来程序要执行的数据拼接了用户输入的数据。

第八章 认证与会话管理

  • 认证的目的就是为了认出用户是谁,授权就是为了决定用户能够做什么。

  • 认证实际上就是一个验证凭证的过程。

  • 单点登陆,用户登陆一次就可以访问所有的系统。

一、网安学习成长路线图

网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

前端星级导师
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全——基础知识(计算机网络part1)
学习记录
03-01 8053
一、OSI七层模型 应用层 Application:网络应用程序及应用层协议留存(message) 表示层 Presentation:使通信的应用程序能够释放交换数据的含义 会话层 Session:提供数据交换定界和同步功能,包括建立检查点和恢复方案 运输层 Transport:在应用程序端点间传送用应用层报文(segment) 网络层 Network:将数据报(datagram)从一台主机移动到另一台主机 链路层 Link:相邻网络节点间传递帧(frame) 物理层 Physical:比特从一个节点移
2022零基础自学网络安全/Web安全,看这一篇就够了
欢迎来到技术宅的博客
03-09 4388
随手写写关于web安全的内容,希望对初次遇到web安全问题的同学提供帮助。
关于WEB安全知识
weixin_42724176的博客
03-19 3262
第一章 客户端安全 2.1 同源策略 限制不同的document脚本对当前的document读取或者设置某些属性 端口,协议或者域名之一有一个不一样就会产生跨域问题 2.2 浏览器沙箱 浏览器利用沙箱技术,可以让不受网页信任的代码,JavaScript代码运行在一个收到限制的环境中,从而保护本地的桌面系统安全。 浏览器的多进程架构,将浏览器的各个功能分开,当一个进程崩溃时,也不会影响到其他的进...
Web安全知识
RheaWang的博客
07-25 1165
1. CRSF(跨站脚本伪造) 主要过程就是,用户登录A网站,通过验证产生cookie,在未登出A网站的情况下去访问危险,B网站,发出一条恶意的请求,浏览器发起会话的过程中发送本地保存的cookie到网站A,导致用户信息被盗用。 防范措施: 验证码:应用程序和用户进行交互过程中,特别是账户交易这种核心步骤,强制用户输入验证码,才能完成最终请求 ; Referer Che
web安全知识
sixteen_cicle的博客
04-18 353
前端数据的不信任原则 对用户输入校验包括 表单验证 正则表达式规范数据 限制长度 转换特殊字符 sql注入 不使用动态拼接sql 使用参数化的SQL 使用存储过程查询存取 管理员权限数据库连接 有限的数据库连接(单独权限) 机密信息不可明文存放 加密 或者hash xss(非法获取用户信息) 用户输入做字符过滤 encode cook
Web安全笔记
naiba01的博客
02-21 941
  最近读了吴翰清的《白帽子讲Web安全》,学到了不少东西。现把书中的知识点梳理一遍,以便记忆。以下内容是我根据《白帽子讲Web安全》和自己的理解整理的,如有不够清晰或误导的地方,可以查看原书。   随着网页技术的飞速发展,越来越多的黑客把攻击的目光投向网页。因而,Web安全也愈发显得重要。   评判一个网页是否安全,可以分析网站是否具有具备安全三要素:机密性(Confidentiality)...
【愚公系列】202403月 《CTF实战:从入门到提升》 004-Web安全基础知识(基础工具使用)
时光隧道
02-26 5万+
CTF(Capture The Flag)是一种网络安全竞赛,参赛者通过解决一系列与网络安全相关的问题,获取旗帜并积分。CTFWeb安全基础工具则是在CTF中用于进行Web安全攻防的工具。作用和意义描述简化攻防过程CTFWeb安全基础工具提供了各种自动化和半自动化的工具,可以帮助参赛者快速进行渗透测试、漏洞挖掘和攻击。这些工具可以简化繁琐的攻击过程,提高效率。快速发现漏洞CTFWeb安全基础工具集成了各种漏洞扫描和渗透测试工具,可以帮助参赛者快速发现Web应用程序中的漏洞。
【愚公系列】202403月 《CTF实战:从入门到提升》 003-Web安全基础知识(HTTP安全
时光隧道
02-26 5万+
HTTP安全是指在使用HTTP协议进行通信时,采取的一系列措施和技术,以确保传输过程中的数据的机密性、完整性和可信性。HTTP协议本身是一种明文的协议,数据在传输过程中容易被窃听、篡改或伪造。措施描述HTTPS在HTTP协议基础上增加了SSL/TLS加密层,通过对通信内容进行加密以保护数据的机密性。加密使用对称加密或非对称加密算法对敏感数据如用户登录信息或支付信息进行加密,防止数据被窃听。认证通过身份验证技术验证通信双方的身份,确保通信的可信性。
【愚公系列】202403月 《CTF实战:从入门到提升》 010-Web安全入门(PHP代码执行漏洞)
热门推荐
时光隧道
03-28 5万+
PHP代码执行漏洞是一种常见的安全漏洞,也被称为远程代码执行(Remote Code Execution,RCE)漏洞。这种漏洞的发生通常是由于程序员在编写代码时未正确过滤用户输入,导致用户能够将恶意代码插入到应用程序中,然后被解释器执行。攻击者可以利用这种漏洞执行任意代码,从而获取系统权限、窃取数据或者对系统进行进一步的攻击。未过滤用户输入:开发者在使用用户输入时必须进行严格的输入验证和过滤,避免直接将用户输入作为代码执行。eval() 和 exec() 函数。
2024网络安全最全Wireshark零基础使用教程(超详细)_wireshark使用教程入门
最新发布
2301_82242964的博客
05-01 1421
菜单栏:用于调试、配置工具栏:常用功能的快捷方式过滤栏:指定过滤条件,过滤数据包数据包列表:核心区域,每一行就是一个数据包数据包详情:数据包的详细数据数据包字节:数据包对应的字节流,二进制在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。
Nacos未授权访问漏洞复现,2024最新网络安全基础开发入门
2401_84181309的博客
04-10 705
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Web安全相关知识汇总
qq_45680080的博客
11-18 332
web的关键四点:数据库 编程语言 web容器 优秀的web应用程序的设计者 web容器是当用户通过url访问web处理后的html文档 url是统一资源定位符亦叫网页地址是互联网的标准地址 所谓黑客应该是能找到漏洞 对漏洞做出种种处理方式 我们通常说的bug通常体现在代码出现的漏洞。 1项目上线后的服务器环境有变化。 2管理员密码泄露。 3配置性错误 http协议 它是干什么呢?究竟有什么作用?...
1、web安全基础知识点1
qq_44704184的博客
03-12 691
域名 1. 什么是域名 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置) 由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。 比如www.baidu.com,这就是一个域名,简
web安全相关知识点(持续更新中)
qq_18811919的博客
02-21 1039
1.Whois是一个标准的互联网协议,可以用于收集网络注册信息,注册的域名,IP地址等详细信息,常用查询的网站:https://whois.aizhan.com、https://www.virustotal.com 2.备案信息是是网站备案是根据国家法律规定,需要网站的所有者向国家有关部门申请的备案,这是国家信息产业对网站的一种管理,主要针对国内网站,如果网站搭建在国外则不需要进行备案。 3.Google常用语法级说明 Site 指定域名 Inurl URL中存在关键字的页面 Intext 网页正文中的关键
Web安全该学习哪些知识
bigbangbangbang1的博客
04-19 498
只有搞明白Web是什么,我们才能对Web安全进行深入研究,所以你必须了解HTTP,了解了HTTP,你就会明白安全术语的“输入输出”。黑客通过输入提交“特殊数据”,特殊数据在数据流的每个层处理,如果某个层没处理好,在输出的时候,就会出现相应层的安全问题。关于HTTP,你必须要弄明白以下知识
一、web安全入门基础知识
weixin_45761101的博客
06-01 2万+
一、基础入门—概念名次 域名发现对应网安的意义? 一个网站的域名和他的子域名可能绑定于同一个IP地址,当我们进行漏洞扫描的时候他的主站没有找到漏洞那么我们就可以通过他子域名的网站绑定于同一个IP地址这个特点,对他的二级域名网站进行扫描,发现是否有漏洞,从而通过二级域名拿到主站的权限。 HOST文件和DNS有什么关系? 当我们进行IP地址解析的时候,我们电脑首先会通过本地host文件,去查找域名对应的IP地址。可以通过修改HOST文件当中的域名对应IP地址,例如让taobao.com对应的域名跳转到我们搭建的
web安全知识点(常见web攻击总结)
yin_fei_lnmp的博客
06-03 2062
目录一、XSS—跨站脚本攻击1、原理2、非持久XSS(反射型XSS)2.1、特点2.2、如何防止3、持久性XSS(存储型XSS)3.1、条件3.2、特点二、CSRF—跨站请求伪造攻击1、原理2、条件3、预防CSRF三、SQL注入1、原理2、预防四、命令行注入五、DDOS攻击—分布式拒绝服务攻击1、原理2、网络层DDOS2.1、SYN flood2.2、ACK flood2.3、UDP flood2.4、ICMP flood2.5、网络层DDOS防御3、应用层DDOS3.1、CC攻击3.2、DNS flood
Web安全基础
weixin_50906078的博客
04-16 3757
一、HTTP协议 1、HTTP 什么是HTTP? 超文本传输协议,HTTP是基于B/S架构进行通信的,而HTTP的服务器端实现程序有httpd、nginx等,其客户端的实现程序主要 是Web浏览器,例如Firefox、InternetExplorer、Google chrome、Safari、Opera等 HTTP是基于客户/服务器模式,且面向连接的。典型的HTTP事务处理有如下的过程 (1)客户与服务器建立连接; (2)客户向服务器提出请求; (3)服务器接受请求,并根据请求返回相应的文件作为应答; (4
web 安全知识
weixin_30359021的博客
11-14 93
XSS 新手指南:DVWA-1.9全级别教程(完结篇,附实例)之XSS https://www.jianshu.com/p/303206ae2471 https://www.netsparker.com/blog/web-security/cross-site-scripting-xss/ https://blog.csdn.net/ghsau/article/details/1...
CTF入门网络安全与渗透测试基础知识指南
"这份资料是针对CTF比赛和网络安全竞赛的渗透测试入门指南,涵盖了从基础知识到实战工具的全面内容,旨在帮助初学者系统地学习和掌握网络安全技能。" CTF(Capture The Flag)比赛是一种网络安全竞赛,参赛者通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值