歡迎關注我的個人公眾號:小謝backup
1、防止SQL注入有哪兩種方式?
使用參數化查詢(優先)
對不可信數據進行校驗
2、XSS注入分類?
反射型XSS注入
存儲型XSS注入
DOM型XSS注入
3、XSS和CSRF的區別?
XSS 利用的是用戶對指定網站的信任,CSRF 利用的是網站對用戶網頁瀏覽器的信任。
4、XXE注入方式?
基礎的XXE注入
基於盲注的XXE注入
基於錯誤的XXE注入
5、XML由哪3個部分組成?
文檔類型定義(Document Type Definition,DTD)
可擴展的樣式語言(Extensible Style Language,XSL)
可擴展鏈接語言(Extensible Link Language,XLL)。
6、如何防范SSRF?
1)因為SSRF最大的風險是信息泄露探知內網的信息,因此針對SSRF存在如下幾種修復方法:
2)禁用不需要的協議。僅僅允許http和https請求。(Rest服務接口)
3)限制請求的端口為http常用的端口。比如,80,443,8080,8090。
4)過濾返回信息。驗證遠程服務器對請求的響應是比較容易的方法。如果web應用是去獲取某一種類型的文件。那么在把返回結果展示給用戶之前先驗證返回的信息是否符合標准。
5)統一錯誤信息。避免用戶可以根據錯誤信息來判斷遠端服務器的端口狀態。
6)對DNS重綁定,考慮使用DNS緩存或者Host白名單
7、加密系統的保密性由什么決定?
取決於對密鑰的保密
8、密碼算法分為哪兩種?
對稱密碼算法
非對稱密碼算法
9、對稱加密算法分為哪兩種?
流加密算法
分組加密算法
10、加密的過程?
密文 = 明文 * (加密算法 + 密鑰)