熟悉面试中常见的的 web 安全问题

最新推荐文章于 2021-09-20 06:51:04 发布
最新推荐文章于 2021-09-20 06:51:04 发布
阅读量480 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16229873/article/details/102557537
版权

更多写作与参考学习材料等可登录ZG文库网http://www.zgwenku.com/

背景

之前出去面试的时候, 经常会被问到一些安全方面的问题。

安全涉及的领域很大, 我也仅仅是了解一些皮毛, 每次面试前都要找资料复习, 很麻烦。

所以我就根据之前搜集的一些资料和面试的经验,系统的梳理了一下,希望对大家有所帮助。

正文

首先简单介绍几种常见的攻击方式:

  1. SQL注入
  2. XSS
  3. CSRF
  4. 点击劫持
  5. 中间人攻击

1. SQL 注入

这是一种比较简单的攻击方式。

如果后台人员使用用户输入的数据来组装SQL查询语句的时候不做防范, 遇到一些恶意的输入, 最后生成的SQL就会有问题。

image.png

比如地址栏输入的是:

articlrs/index.php?id=1

发送一个get请求, 调用的查询语句是:

sql = "SELECT * FROM articles WHERE id =", $id

正常情况下, 返回 id = 1 的文章。

如果攻击者想获得所有的文章,语句就可以改成:

articlrs/index.php?id=-1 OR 1 = 1

这样就可以了, 为什么呢?

这是因为,id = -1 永远是 false,1=1 永远是true,所有整个where语句永远是ture.

所以 where 条件相当于没有加where条件,那么查询的结果相当于整张表的内容,攻击者就达到了目的。

现在的系统一般都会加入 过滤 和 验证 机制, 可以有效预防SQL注入问题。

2. XSS

XSS 全称是跨站脚本攻击

通过代码注入的方式来达到攻击的目的。

image.png

我们有个社交网站,允许大家相互访问空间,网站可能是这样做的:

<form action="" method="POST">
     <input type="text" name="text">
     <input type="
最低0.47元/天 解锁文章
qq_16229873
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络基础知识】常见web安全问题有哪些
holysll的博客
07-07 732
常见web安全问题有哪些 (1)SQL注入 SQL注入是一种常见Web安全漏洞,攻击者利用这个漏洞,可以访问或修改数据,或者利用潜在的数据库漏洞进行攻击。SQL危害到数据库的信息,管理员的账号密码、用户的敏感信息等;可以获取服务器权限;植入攻击脚本;读取服务器敏感文件。 常见的一个例子,登陆页面输入用户名admin' --,密码随意输入,这样子后台的SQL语句会由原来的SELECT * FROM user WHERE username='admin' AND psw='password';就会变为
2024年网安最全常见面试题:Web安全的三个攻防姿势
05-01 74
3、DOM-based or local XSS(基于DOM或本地的XSS攻击)主要通过利用系统反馈行为漏洞,并欺骗用户主动触发,从而发起Web攻击。举个栗子:1- 假设,在严选网站搜索商品,当搜索不到时站点会做“xxx未上架提示”。如下图。2- 在搜索框搜索内容,填入“”, 点击搜索。3- 当前端页面没有对填入的数据进行过滤,直接显示在页面上, 这时就会alert那个字符串出来。(当然上图是模拟的)以上3步只是“自娱自乐”,XSS最关键的是第四步。
你想学的黑客(攻击)技术全在这了,一篇打包带走!
MachineGunJoe666
07-30 1333
前言: 大家好,今天给大家介绍一下,Web安全领域常见的一些安全问题。 1. SQL 注入 SQL注入攻击的核心在于让Web服务器执行攻击者期望的SQL语句,以便得到数据库的感兴趣的数据或对数据库进行读取、修改、删除、插入等操作,达到其邪恶的目的。 而如何让Web服务器执行攻击者的SQL语句呢?SQL注入的常规套路在于将SQL语句放置于Form表单或请求参数之提交到后端服务器,后端服务器如果未做输入安全校验,直接将变量取出进行数据库查询,则极易招。 举例如下: 对于一个根据用户ID获取用户信息的接.
面试常见的的 web 安全问题
frontend_frank的博客
10-19 1093
背景之前出去面试的时候,经常会被问到一些安全方面的问题安全涉及的领域很大,我也仅仅是了解一些皮毛, 每次面试前都要找资料复习, 很麻烦。所以我就根据之前搜集的一些资...
Web安全面试题(一)-含解答
热门推荐
qq_30384029的博客
11-08 1万+
Web安全面试题-含解答DomainAjaxSQLiXSSPHPCSRFHTML5JAVA Domain 1、解释一下同源策略 源:协议、域名、端口 同源:若地址的协议、域名、端口都相同,即为同源。反之,有一者不同即为不同源。 同源策略:为浏览器的一个安全功能,不同源的客户端脚本没有明确授权的情况下,无法读写对方的资源。 2、哪些东西是可以同源获取的? 页面的链接、重定向、表单提交 跨域资...
常见web前端面试题(四)
11-01
Web前端面试面试官通常会关注求职者的基础知识、问题解决能力以及对新技术的了解。以下是一些常见面试知识点: 1. HTML/CSS/JS 掌握情况: - HTML是网页的基础,理解各个标签的作用至关重要,例如`<div>`...
网络安全绝地求生-面试之战
08-30
5. **漏洞评估与渗透测试**:了解CVE(Common Vulnerabilities and Exposures)标准,掌握OWASP Top 10常见Web应用安全风险,以及如何进行安全扫描和渗透测试。 6. **恶意软件分析**:面试者应具备对病毒、木马、...
WEB前端面试宝典
09-18
了解XSS、CSRF等常见Web攻击,以及如何防止它们,确保网站的安全性。 10. 测试与调试: 掌握Chrome开发者工具的使用,进行断点调试、性能分析和网络请求监控。理解单元测试、集成测试的重要性。 11. Web组件与...
Python技术面试常见问题解析.docx
07-30
Python 技术面试常见问题解析通常涵盖了许多核心概念和最佳实践,旨在评估候选人的编程技能、问题解决能力以及对 Python 语言特性的理解。以下是一些深入解析的关键知识点: 1. **全局解释器锁(GIL)**:GIL 是 ...
部分网络安全面试题总结
最新发布
06-23
常见Web安全问题包括SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)和文件包含漏洞。面试,可能会涉及如何预防这些攻击,例如通过输入验证、使用预编译SQL语句、设置HTTP头部的安全策略等。 2. **渗透测试**...
Web安全常见面试题总结
jiet07的博客
09-20 3045
SQL注入的原理 SQL注入的分类—尽可能多说 SQL注入的防御 反射性型XSS和DOM型XSS的区别 XSS和UXSS的区别 SSRF的利用方式 SSRF和Gophers协议 护网设备,EDR安全设备---- 奇安信终端安全响应系统(EDR)是传统终端安全产品在高级威胁检测和响应方面的扩展和补充,通过威胁情报、攻防对抗、机器学习等方式,从主机、网络、用户、文件等维度来评估企业网络存在的未知风险,以行为引擎为核心,利用威胁情报,缩短威胁从发现到处置的时间,有效降低业务损失,增加可见性,提升整体安全能力。.
HTTP和web安全常见面试
jiaojsun的博客
06-27 3959
1.web安全和攻击你知道 Reflected XSS(基于反射的XSS攻击) 这种攻击主要依靠 站点服务端 返回脚本,在客户端 触发执行 从而发起Web攻击。 攻击的例子 1、当你在亚马逊 搜索图书的时候 搜不到书的时候显示提交的名称 2、在搜索框搜索内容,填入“<script>alert('handsome boy')</script>”, 点击搜索 3、如果前端...
web安全面试题收集
一个安全研究员
12-27 9854
比较老的面试题了~
面试Web安全
zhalang8324的博客
03-22 6085
转载自90sec根据 Github 上的面经总结的一些安全面试的基础知识,这些基础知识不仅要牢记,而且要熟练操作,分享给大家,共勉。如果有漏掉的大家可以留言或是联系作者补充,谢谢。1.对Web安全的理解我觉得 Web 安全首先得懂 Web、第三方内容、Web 前端框架、Web 服务器语言、Web 开发框架、Web 应用、Web容器、存储、操作系统等这些都要了解,然后较为常见且危害较大的,SQL ...
面试安全
Fly_鹏程万里
10-30 2202
根据 Github 上的面经总结的一些安全面试的基础知识,这些基础知识不仅要牢记,而且要熟练操作,分享给大家,共勉。 1.对Web安全的理解 我觉得 Web 安全首先得懂 Web、第三方内容、Web 前端框架、Web 服务器语言、Web 开发框架、Web 应用、Web容器、存储、操作系统等这些都要了解,然后较为常见且危害较大的,SQL 注入,XSS 跨站、CSRF 跨站请求伪造等漏洞要熟练掌...
html5面试常见问题及答案:Web安全
liuyingv8的博客
03-23 2658
1、你所了解到的Web攻击技术(1)XSS攻击(2)CSRF攻击(3)网络劫持攻击(4)控制台注入代码(5)钓鱼2、如何防止XSS攻击?(1)将前端输出数据都进行转义(2)将输出的字符串的反斜杠进行转义(3)从url获取的信息,防止方法是由后端获取,在前端转义后再行输出(4)使用cookie的HttpOnly属性,保护好cookie3、项目有没有用过加密,哪种加密算法?项目没有用过,但我了...
web安全 基础
BetterMan菜鸟进阶
06-30 1001
web发展史 web1.0 个人网站、门户站 SQL注入、上传漏洞 web2.0 微博、Blog XSS、CSRF web流程 客户端/前段  钓鱼、暗链、XSS、点击劫持、CSRF、URL跳转 服务端/后端  SQL注入、命令注入、文件上传、文件包含、暴力破解 浏览器 浏览器 域名获取web服务器IP地址(DNS解析) 访问 WEB服务器 攻击类型 ...
"Python就业技巧与面试常见问题解析
Python语言随着大数据和人工智能的快速发展,受到了广泛的关注,相关人才需求也随之增加。...因此,我们建议你认真准备面试熟悉常见面试题,展现出自己的技术能力,相信你就能如愿以偿地找到一个称心如意的工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值