应⽤安全岗位⾯试题⽬
常规应⽤漏洞
-
Redis未授权访问漏洞
-
如何⼊侵利⽤?
-
-
SSRF漏洞
-
原理、利⽤⽅式及修复⽅案?
-
Java和PHP的SSRF区别?
-
-
宽字节注⼊漏洞
-
原理、利⽤⽅式及修复⽅案?
-
-
JSONP劫持
-
简述JSONP的业务意义
-
利⽤⽅式及修复⽅案
-
-
CSRF Token
-
如何设计落地⼀个CSRF Token?
-
-
CORS
-
原理、利⽤及修复?
-
-
CRLF注⼊
-
原理?
-
-
URL⽩名单绕过
-
如何绕过?
-
-
XSS持久化
-
如何实现?
-
-
Fastjson漏洞
-
常⻅漏洞原理?
-
如何彻底解决Fastjson漏洞?
-
业务逻辑漏洞
-
业务逻辑漏洞类型
-
身份校验相关⻛险
-
接⼝逻辑实现不⼀致
-
不安全的可信端数据
-
预设要求不符合
-
滥⽤合理业务需求
-
-
账户状态导致的⻛险
-
注销、禁⽤、⻛控、司法冻结等状态下的⻛险
-
-
身份标识明⽂传输⻛险
-
伪造他⼈身份态
-
-
⽔平越权
-
触发点
-
检测⽅式
-
-
流程绕过
-
抽象理解归类
-
-
漏洞测试对业务的影响
-
如何避免?
-
常⽤协议漏洞
-
TLS1.2协议
-
交互过程以及攻击⽅法?
-
-
OAuth的redirect_uri
-
绕过⽩名单的⽅式?
-
-
JWT与SESSION
-
优劣势?
-
漏洞测试软性能⼒
-
评估新技术业务安全性⽅法
-
区块链
-
云原⽣
-
算法安全
-
漏洞处置
-
漏洞修复步骤
-
漏洞修复时间制定
-
考虑因素?
-
-
提升漏洞修复效率⽅法
-
漏洞复盘关键
-
推进修复外部⼚商漏洞⽅法
-
⾼危漏洞应急处置⽅案