Java网络安全常见面试题

最新推荐文章于 2024-04-27 09:13:51 发布
最新推荐文章于 2024-04-27 09:13:51 发布
阅读量2.5k 收藏 12
点赞数 1
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67392182/article/details/124271621
版权

列举常见的WEB攻击,及解决方案

一、SQL注入

1、什么是SQL注入
  • 攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。
2、如何预防SQL注入
  • 使用预编译语句(PreparedStatement)
  • 对进入数据库的特殊字符(’"尖括号&*;等)进行转义处理,或编码转换。
  • 使用Mybatis框架时,使用#{},防止sql注入

二、XSS攻击

1、什么是XSS
  • XSS攻击:跨站脚本攻击(Cross-SiteScripting)。XSS是一种常见的web安全漏洞,它允许攻击者将恶意代码植入到提供给其它用户使用的页面中。XSS的攻击目标是为了盗取存储在客户端的cookie或者其他网站用于识别客户端身份的敏感信息。一旦获取到合法用户的信息后,攻击者甚至可以假冒合法用户与网站进行交互。
2、XSS通常可以分为两大类
  • 存储型XSS,主要出现在让用户输入数据,供其他浏览此页的用户进行查看的地方,包括留言、评论、博客日志和各类表单等。应用程序从数据库中查询数据,在页面中显示出来,攻击者在相关页面输入恶意的脚本数据后,用户浏览此类页面时就可能受到攻击。这个流程简单可以描述为:恶意用户的Html输入Web程序->进入数据库->Web程序->用户浏览器。
  • 反射型XSS,主要做法是将脚本代码加入URL地址的请求参数里,请求参数进入程序后在页面直接输出,用户点击类似的恶意链接就可能受到攻击。

3、如何预防XSS

  • 过滤特殊字符
    避免XSS的方法之一主要是将用户所提供的内容进行过滤。
  • 使用HTTP头指定类型
    w.Header().Set(“Content-Type”,“text/javascript”)
    让浏览器解析javascript代码,而不会是html输出。

三、DDOS

1、什么是DDOS
  • DDOS:分布式拒绝服务攻击(DistributedDenialofService),简单说就是发送大量请求是使服务器瘫痪。
2、如何预防DDOS
  • 利用DDoS防御产品的检测技术和清洗技术,检测技术就是检测网站是否正在遭受DDoS攻击,而清洗技术就是清洗掉异常流量。

四、CSRF

1、什么是CSRF
  • CSRF(Cross-site request forgery),跨站请求伪造。

理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。

2、CSRF的原理
  • 登录受信任网站A,并在本地生成Cookie。
  • 在不登出A的情况下,访问危险网站B

CSRF 就是网站 A 对用户建立信任关系后,在网站 B 上利用这种信任关系,跨站点向网站 A 发起一些伪造的用户操作请求,以达到攻击的目的。
而之所以可以完成攻击是因为B向A发起攻击的时候会把A网站的cookie带给A网站,也就是说cookie已经不安全了。

3、如何预防CSRF攻击

  • Synchronizer Tokens

    在表单里隐藏一个随机变化的token提交到后台进行验证,如果验证通过则可以继续执行操作

  • Hash加密cookie中csrf_token值

    采用的hash加密方法是JS实现Java的HashCode方法,得到hash值。前端向后台传递hash之后的csrf_token值和cookie中的csrf_token值,后台拿到cookie中的csrf_token值后得到hashCode值然后与前端传过来的值进行比较,一样则通过。

五、越权访问漏洞防护

1、什么是越权访问
  • 越权访问(BrokenAccessControl,简称BAC)是Web应用程序中一种常见的漏洞,分为垂直越权访问和水平越权访问。
  • 垂直越权是指不同用户级别之间的越权,如普通用户执行管理员用户的权限。
  • 水平越权是指相同级别用户之间的越权操作。
2、Web应用程序如果存在越权访问漏洞,可能导致以下危害:
  • 1)导致任意用户敏感信息泄露;
  • 2)导致任意用户信息被恶意修改或删除。
3、如何预防越权访问
  • 配置FILTER拦截器,对请求所有URL进行拦截,对于需要进行授权的URL进行权限校验,防止用户越权访问系统资源。

六、文件上传漏洞

  • 前台仅使用JS对文件后缀做了过滤,这只能针对普通的用户,而恶意攻击者完全可以修改表单去掉JS校验。
    项目中涉及上传下载未对文件大小以及类型进行验证,可能导致不良用户上传有害文件,危害服务器

解决方案:文件上传时在前台对文件后缀名进行验证,为避免通过特殊手段绕过了前端验证,在文件保存时再进行一次验证,即前后台同时验证的道理。

七、敏感信息泄露

  • 敏感信息泄露漏洞,是一种通过提交错误请求,使系统出现异常处理并报错,并且将系统程序、配置 等敏感信息泄露出来的漏洞。工程师发现系统搜索功能模块中普遍将系统的报错通printStackTrace 方法进行反馈,可造成报错信息如实的返回到前端。
    攻击者可以利用此漏洞收集系统报错中泄露的数据信息,包括处理函数,系统版本等等。可以通过此 类问题获得深入和更有目的性攻击的条件。

解决方案:建议统一处理错误页面,将错误信息存储在日志中。

八、短信轰炸

  • 发送短信验证码未进行次数限制,可以不断发送短信验证码,导致一定的经济损失。

解决方案:建议对发送的短信验证码进行频率限制,一段时间内仅仅发送多少条短信。

九、URL跳转漏洞

  • 任意URL恶意跳转可能会导致钓鱼等风险。

解决方案:改变传值方式,可以在前台传入对应type,根据type跳转到页面

bp粉
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java 基础面试题
10-04
该文档主要整理了常见Java基础面试题,包含以下内容: 1. 抽象类和接口的区别 2. 什么时候使用抽象类,什么时候使用接口 3. 八大基本数据类型,所占字节数 4. List、Set、Map的区别 5. 什么情况下使用List、Map、Set? 6. ArrayList和LinckedList 7. LinckedList底层 8. ArrayList底层 9. mybatis的SqlSession如何保证线程安全 10. Io有哪些流,字节流和字符流的区别 11. String常用api 12. 自动拆装箱发生 13. Collections提供的工具方法 14. String、StringBuffer和StringBuilder区别 15. Map的键和值可以为null吗,为什么 16. 集合排序,内排序,外排序 17. 动态代理和静态代理 18. 封装、继承、多态 19. static加载顺序 20. 代理和反射(3分钟),反射泛型还有用吗 21. final关键字 22. 线程wait和sleep相同点和不同点 23. 为什么start调用run方法,调用run不会调用start方法 24. 手写单例模式中的懒汉式和饿汉 25. transient 这个关键字是干啥的 26. 什么是一致性hash算法 27. 构造方法链 28. 谈谈你对线程调度的理解 29. JDK动态代理和CGLIB动态代理 30. 反射机制以及反射的方式 31. 类加载有几种方式 32. Class.forName()和ClassLoader.loadClass()的区别 34. 如何防止创建的类名不能java为已有类名,Java加载双亲委派机制 35. 堆和栈的区别
高级java笔试题-SecurityInterviewGuide:网络信息安全从业者面试指南(持续补充各公司招聘题目和侧重点)
06-03
高级java笔试题 SecurityInterviewGuide 网络信息安全从业者面试指南 1.理解安全行业现状 -> 2.安全从业人员必备素质 -> 3.好的简历 -> 4.如何选择公司 -> 5.招聘渠道 -> 6.安全面试流程 -> 7.安全面试和笔试题目 一、安全行业现状 1.1 安全行业起步晚 安全行业整体起来才没几年,多数企业因为资源投入和建设时间原因导致覆盖面和深入度都不够,这其中甚至包括一些国内大厂,并没有想象的那么安全。其安全水位仅能应付一些白帽子级别,针对专业安全团伙持续定向攻击,大多数都不能防御住,看HW就知道了。 1.2 安全人员薪酬高 正是安全行业起步晚,安全人才紧缺,需求旺盛,导致安全从业者水涨船高。高到什么程度呢?都知道互联网是所有行业中薪酬最高之一,而其中又以技术工程师是互联网中薪酬较高的,而安全工程师又是技术工程师中最高的,和当前的机器学习人才并驾齐驱。可能还是没概念?这么说,应届信安专业优秀本科生能拿到每月20000-35000(当然这里面有很多行业内卷的因素,一些公司的招聘策略是入职即巅峰,后面薪资就不怎么涨了),努力工作三四年的能拿到40000
网络安全面试题.pdf
04-09
1. 什么是网络安全?请说明网络安全的重要性以及在现代社会中的作用。 2. 请介绍一下常见的网络攻击类型,如 DDoS 攻击、SQL 注入、XSS 跨站脚本攻击等。 3. 什么是恶意软件(Malware)?请列举几种常见的恶意软件类型并说明其危害。 4. 什么是防火墙(Firewall)?请介绍防火墙的作用以及在网络安全中的应用。 5. 请解释一下什么是加密(Encryption)以及在网络通信中加密的作用和方式。 6. 什么是公钥加密和私钥加密?请说明二者的区别和在网络安全中的应用。 7. 请介绍一下常用的网络安全协议,如 SSL/TLS 协议、IPSec 协议等,以及它们的作用。 8. 什么是安全漏洞(Security Vulnerability)?请介绍一下常见安全漏洞类型和发现方式。 9. 请解释一下多因素认证(Multi-Factor Authentication)是什么以及在网络安全中的作用。 10. 什么是网络钓鱼(Phishing)?请说明网络钓鱼攻击的特点以及如何防范。 11. 请介绍一下安全评估(Security Assess
java面试题.docx
02-23
java面试题.docx
Java高级面试题整理及答案.md
01-26
Java经典高级2023面试题大全带答案.pdf 发现网上很多Java面试题都没有答案,所以花了很长时间搜集整理出来了这套Java面试题,0积分直接下载
Java 网络安全
编程开发相关技术学习
12-09 1306
DES算法是一种对称密码体制加密算法,为密码体制中的对称密码体制,其 明文按64位进行分组,密钥长64位,密钥是以56位参与DES运算,且第8、16、24、32、40、48、56、64位是校验位,分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。:RSA算法是一种使用不同的加密密钥与解密密钥,是由已知加密密钥推导出解密密钥在计算上是不可行的密码体制,其原理是根据数论,寻求两个大素数比较简单,而将它们的乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。
java常见面试题(160道)
热门推荐
打造专业技术博客
06-30 5万+
java常见面试题
【面试】面试官问的几率较大的网络安全面试题
DreamSun的博客
04-05 1222
攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。用户登录,输入用户名 lianggzone,密码 ‘ or ‘1’=’1 ,如果此时使用参数构造的方式,就会出现不管用户名和密码是什么内容,使查询出来的用户列表不为空。如何防范SQL注入攻击使用预编译的PrepareStatement是必须的,但是一般我们会从两个方面同时入手。Web端1)有效性检验。2)限制字符串输入的长度。服务端1)不用拼接SQL字符串。
Java网络安全与加密
吃不胖.
07-28 252
下面将从Java平台的安全性质,Java安全提供程序,Java安全API三个方面来介绍Java网络安全的相关内容。下面将从Java加密的基础知识,Java安全API支持的加密算法和Java加密程序开发三个方面来介绍Java与加密的相关内容。Java提供的安全提供程序包括Java安全套接字(Java Secure Socket Extension, JSSE)、Java密钥库(Java Key Store, JKS)和Java安全性池等。Java提供了一系列加密API,用于实现对数据的加密和解密。
java面试真题整理
03-29
java开发岗企业常考面试题目 1.GC垃圾回收处理器,回收内存 托管资源: 非托管资源:手动释放资源 2.堆内存:new出来的 栈内存:基本数据类型的变量,方法的返回值,对象的引用(对象的引用地址) 3.static:存放在静态域中和类属于同一个属性,修饰的方法:类名.static 4.Java多态的体现方式方法的重载,重写,对象的多态性 1.编译时的多态:方法重载(个数、类型、顺序) 2.运行时多态:重写,对象的多态性(父类的引用指向子类的实例) 5.CSDN 1.泛型的好处 保护类型安全 避免强制类性转化 2.final 1.修饰的属性是常量 2.修饰的方法不能被重写 3.修饰的类不能被继承 String
Java常见面试题208道.docx
05-17
面试题包括以下十九部分:Java 基础、容器、多线程、反射、对象拷贝、Java Web 模块、异常、网络、设计模式、Spring/Spring MVC、Spring Boot/Spring Cloud、Hibernate、Mybatis、RabbitMQ、Kafka、Zookeeper、MySql...
10G的Java面试题视频课
02-21
10G的Java面试题视频课 囊括了JAVA基础,MySQL,Spring框架,微服务,网络等等Java程序员需要掌握的各个知识领域 1. Java基础包括了:集合,HashMap,JVM等常见考点, 说一下 JVM 的主要组成部分及其作用? 说一下 ...
互联网企业面试真题.zip
02-17
囊括了JAVA基础,MySQL,Spring框架,微服务,网络等等Java程序员需要掌握的各个知识领域 1. Java基础包括了:集合,HashMap,JVM等常见考点, 说一下 JVM 的主要组成部分及其作用? 说一下 JVM 运行时数据区 深拷贝...
2023最全的Java大厂面试题合集.zip
10-29
2023最全的Java大厂面试题合集...Java集合框架常见面试题.pdf Java互联网实时聊天系统源码.zip Java 面试知识点总结.pdf Java 基础核心总结_.pdf Java 工程师进阶知识完全扫盲.pdf BAT面试题汇总及详解(进大厂必看).zip
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 389
都是符合我们的预期的。
java方法重写(重点讲),方法重载
最新发布
weixin_46281068的博客
04-27 460
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实现
m0_73969414的博客
04-23 1489
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 653
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
java数据库面试题常见
10-21
Java数据库面试题常见的包括以下几个方面: 1. 数据库基础知识:如数据库的三范式、ACID等基本概念。 2. SQL语句:如增删改查、联表查询、子查询等。 3. 索引:如索引的类型、索引的优化等。 4. 事务:如事务的四大特性、事务的隔离级别等。 5. 数据库连接池:如连接池的作用、连接池的实现原理等。 6. 主从复制:如主从复制的原理、主从复制的流程等。 7. NoSQL数据库:如MongoDB、Redis等NoSQL数据库的特点、使用场景等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值