以下は、ネットワーク セキュリティのさまざまな側面に関わる面接の質問です。星の数が多いほど、問題が発生する可能性が高くなります。皆様が満足のいく仕事を見つけることができることを願っています。
注: この一連の面接質問は PDF 文書にまとめられていますが、いずれにせよすべての面接質問を網羅することは不可能であり、表面を指してギャップを埋めることを望む人が依然として多いため、内容はまだ更新されています。 。
スペースの都合上、これはほんの一部です
1. SQL インジェクションを防ぐ 2 つの方法は何ですか?
パラメータ化されたクエリを使用する (推奨)
信頼できないデータを検証する
2. XSS インジェクションの分類?
リフレクト XSS インジェクション
保存された XSS インジェクション
DOM タイプ XSS インジェクション
3. XSS と CSRF の違いは何ですか?
XSS は指定された Web サイトに対するユーザーの信頼を利用し、CSRF はユーザーの Web ブラウザーに対する Web サイトの信頼を利用します。
4. XXE注入法は?
基本的な XXE インジェクション
ブラインドベースの XXE インジェクション
バグベースの XXE インジェクション
5. XML の 3 つの部分は何ですか?
文書型定義 (DTD)
拡張可能なスタイル言語 (XSL)
拡張可能リンク言語 (拡張可能リンク言語、XLL)。
6. SSRFを防ぐにはどうすればよいですか?
1) SSRF の最大のリスクは情報漏洩とイントラネット情報の検出であるため、SSRF の修復方法は次のとおりです。
2) 不要なプロトコルを無効にします。http および https リクエストのみが許可されます。(レストサービスインターフェース)
3) リクエストのポートを http で一般的に使用されるポートに制限します。たとえば、80,443,8080,8090などです。
4) 返された情報をフィルタリングします。リクエストに対するリモート サーバーの応答を確認する方が簡単な方法です。Web アプリケーションが特定の種類のファイルを取得する場合。次に、返された結果をユーザーに表示する前に、返された情報が基準を満たしているかどうかを確認します。
5) エラーメッセージを統合しました。ユーザーがエラー情報に基づいてリモートサーバーのポート状態を判断できないようにします。
6) DNS 再バインドの場合は、DNS キャッシュまたはホスト ホワイトリストの使用を検討してください。
7. 暗号化システムの機密性は何によって決まりますか?
キーの機密性によって異なります
8. 2 種類の暗号アルゴリズムとは何ですか?
対称暗号化アルゴリズム
非対称暗号アルゴリズム
9. 2 種類の対称暗号化アルゴリズムとは何ですか?
ストリーム暗号化アルゴリズム
ブロック暗号化アルゴリズム
10. 暗号化プロセスとは何ですか?
暗号文 = 平文 * (暗号化アルゴリズム + キー)
11. RSA アルゴリズムでできることは何ですか?
キーペアの生成: 公開キーと秘密キーを生成します。
非対称暗号化: 公開キーで暗号化し、秘密キーで復号化します。
デジタル署名: 秘密キーでメッセージ ダイジェストを暗号化し、公開キーで署名を検証します。
注: 暗号化と署名では異なる鍵ペアが使用されます。
12. ブロック暗号化アルゴリズムの動作モードは何ですか?
5 つの基本暗号化モード (ECB、CBC、CFB、OFB、CTR)
2 つの認証暗号化モード (CCM、GCM)
13. 署名と暗号化の順序ではどちらを先に行う必要がありますか?
最初に署名してから暗号化する
14. 業界が現在推奨している対称暗号化アルゴリズムの動作モードは何ですか?
GCMモード
15. パスワード セキュリティ プロトコルにはどのような種類がありますか?
TLS、SSH、HTTPS
16. 業界で推奨されている 2 つの対称暗号化アルゴリズムは何ですか?
AES、チャチャ
17. 2 つの鍵合意アルゴリズムとは何ですか?
DH
ecdh
18. インターフェース呼び出しがあります
アプリ認証
IAM認証
カスタム認証
19. APP 認定には 2 種類ありますか?
非単純な認証: 通話要求は、統合アプリケーションのキーとシークレットによって認証されます。
簡易認証: AppCode 認証による呼び出しリクエスト。
APP 認証は、API へのアクセス制御をサポートします。
20. IAM 認証の 2 種類とは何ですか?
トークン認証: トークン認証を通じてリクエストを呼び出します。トークン認証では SDK 署名を使用する必要はなく、トークン認証が推奨されます。
AK/SK 認証: AK/SK を通じて通話要求の内容に対して署名認証が実行されます。
このうち、IAM 認証は API へのアクセス制御をサポートしていません。
21. トークン認証において、X-Subject-Token と X-Auth-Token の違いは何ですか?
トークン インターフェイスを呼び出し、応答が成功した後の応答メッセージ ヘッダーに含まれる「X-Subject-Token」の値がトークン値です。ビジネス インターフェイスを呼び出し、「X-Auth-Token」と「X-Auth」を追加します
。 -Token」は、以前に「X-Subject-Token」から取得したトークンです。
22. AK/SK 認定はどのように機能しますか?
AK と SK を組み合わせてリクエストの暗号化と署名を行うことで、送信者を特定し、リクエストの変更を防ぐことができます。
23. 送信者のデジタル署名を生成するにはどうすればよいですか?
メッセージ - (ハッシュ アルゴリズム) -> ダイジェスト - (秘密キー) -> デジタル署名
24. 受信者がデジタル署名を取得した後、メッセージが改ざんされていないことを確認するにはどうすればよいですか?
デジタル署名 - (公開鍵) -> ダイジェスト 1
メッセージ - (ハッシュ アルゴリズム) -> ダイジェスト 2
ダイジェスト 1 がダイジェスト 2 と等しい場合、メッセージは改ざんされていません。
25. デジタル署名では中間者攻撃を解決できないのはなぜですか?
秘密鍵と公開鍵、特に受信者に置かれた公開鍵が攻撃者のものとして偽造される可能性があるため
26. 中間者攻撃を解決するにはどうすればよいですか?
デジタル証明書
27. 送信者はどのようにしてデジタル証明書を生成しますか?
公開鍵 -- (CA の秘密鍵) --> デジタル証明書
28. 受信者は送信者の公開鍵をどのように検証しますか?
デジタル証明書 -- (CA の公開キー) --> 公開キー、公開キーとデジタル署名を使用して、メッセージが改ざんされていないかどうかを確認します。
29. デジタル証明書はどのようにして信頼できるのでしょうか?
証明書がブラウザのプリセット証明書リストと一致する場合、その証明書は信頼されます。
30. Linuxシステムでログをクエリする方法
- 最後にログインしたログ。
- 操作ログ履歴;
- 起動情報とエラーログ /var/log/message;
- セキュリティログ /var/log/secure;
- メールログ /var/log/maillog;
- スケジュールされたタスクのログ /var/log/cron;
- ユーザーのログインやログアウトなどのイベント システム起動 /var/log/wtmp
京東両面配置:
1. 通常どのようにテストしますか (ターゲットを指定する、ドメイン名を指定するなど)
2. ログイン ボックスをテストする方法
3. バックグラウンドで何を行うか
4. ファイル アップロードのバイパス
5. シェルを使用して何を行うか
6シェルを使用して情報を収集する方法
7. nmap はイントラネットを直接スキャンできますか、または nmap を使用してイントラネットをスキャンする方法は?
8. cs を使用してイントラネットをスキャンする速度についてはどう思いますか?
9. ターゲットまたはゲートウェイを見つける方法プロキシを取得するとき、またはクロスネットワークセグメントの10.イントラネット
での認証やドメイン制御について何か知っていますか?
脆弱性利用の連鎖15. 通常のプロジェクトではどのような種類の脆弱性に遭遇しますか? 16. 不正な脆弱性がなぜ発生するのか存在する? 17.論理的脆弱性は大きく分けていくつかのカテゴリーに分けられるテストのポイント、インジェクション脆弱性の種類、攻撃支援方法、インジェクションを遅らせる機能とは? mysqlデータベースのシェルを取得するにはいくつかの方法がある23. sqlmap はどのようにしてシェルを取得するのか24. csrf を紹介します25. ssrf 脆弱性テストのポイントとは26. ローカルファイルインクルードとリモートファイルインクルードの違い、何ができるのか
あまり知られていない大企業からの質問
1. xss 攻撃の種類
2. xss でよく使われる文
3. xss と csrf の違い
4. csrf の中国語名、csrf の例を挙げてください
5. xss は何に使用できるかfor
6. SQL と xss を防ぐ方法
7. PDO の前処理について説明する
8. SQL インジェクションに対する絶対的な防御
9. 垂直方向のオーバーリーチとは何ですか? 水平オーバーライドとは何ですか?
10. cve などの脆弱性を再現したことがありますか? 11. どのようなツール
を使用しましたか? 12.
権限昇格について知っていますか? インターセプト ルールとは何ですか? 16. SQL インジェクションは WAF をバイパスします
面接の質問
JD.com、360、Tianrongxin などの企業からテストの問題を収集する専用チャンネル! 大きな工場への入場はもうすぐです!