2020 Java面试题最新(十二安全篇)

本文介绍了Java安全面试中常见的STRIDE威胁模型和如何防范Web攻击,包括SQL注入、XSS、CSRF和文件上传漏洞。同时,讨论了服务端通信的安全策略,如Base64、DES、AES加密以及HTTPS和RSA双向认证的重要性。
摘要由CSDN通过智能技术生成

开发的系统一定要求安全,稳定,可靠,这一章节就写一些关于安全防护的面试题,希望对大家有用

1.说说安全要素与 STRIDE 威胁

STRIDE 威胁

STRIDE 威胁,代表六种安全威胁:

  1. 身份假冒(Spoofing)
    身份假冒,即伪装成某对象或某人。例如,我们通过伪造别人的 ID 进行操作

  2. 篡改(Tampering)
    篡改,即未经授权修改数据或者代码。例如,我通过网络抓包或者某种途径修改某个请求包,而服务端没有进行进一步的防范措施,使得我篡改的请求包提交成功

  3. 抵赖(Repudiation)
    抵赖,即拒绝执行他人无法证实也无法反对的行为而产生抵赖。例如,我攻击了某个产品,他们并不知道是我做的,没有证据证明是我做的,我就可以进行抵赖,换句话说,我可以死不承认

  4. 信息泄露(Information Disclosure)
    信息泄露,即将信息暴露给未授权用户。例如,我通过某种途径获取未经加密的敏感信息,例如用户密码

  5. 拒绝服务(Denial of Service)
    拒绝服务,即拒绝或降低有效用户的服务级别。例如,我通过拒绝服务攻击,使得其他正常用户无法使用产品的相关服务功能

  6. 特权提升(Elevation of Privilege)
    特权提升,即通过非授权方式获得更高权限。例如,我试图用管理员的权限进行业务操作

安全要素

为了防范上面的 STRIDE 威胁,我们需要采用一些防范措施:
在这里插入图片描述

2.怎么防范常见的 Web 攻击

2.1SQL 注入攻击

SQL

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值