web安全职位面试题目汇总

Domainphp

解释一下同源策略java

同源策略,那些东西是同源能够获取到的mysql

若是子域名和顶级域名不一样源,在哪里能够设置叫他们同源linux

如何设置能够跨域请求数据?jsonp是作什么的?web

Ajaxsql

Ajax是否遵循同源策略?chrome

json注入如何利用shell

浏览器策略数据库

不一样浏览器之间,安全策略有哪些不一样,好比chrome,firefox,IEjson

CSP是什么?如何设置CSP?

SQLi

如何判断sql注入,有哪些方法

为何有的时候没有错误回显,用php举例

宽字符注入的原理?如何利用宽字符注入漏洞,payload如何构造?

你都了解哪些sql 的bypass技巧

CRLF注入的原理

XSS

xss的发生场景?

若是给你一个XSS漏洞,你还须要哪些条件能够构造一个蠕虫?

在社交类的网站中,哪些地方可能会出现蠕虫?

若是叫你来防护蠕虫,你有哪些方法?

若是给你一个XSS盲打漏洞,可是返回来的信息显示,他的后台是在内网,而且只能使用内网访问,那么你怎么利用这个XSS?

PHP

php里面有哪些方法能够不让错误回显?

php.ini能够设置哪些安全特性

php的%00截断的原理是什么?

webshell检测,有哪些方法

php的LFI,本地包含漏洞原理是什么?写一段带有漏洞的代码。手工的话如何发掘?若是无报错回显,你是怎么遍历文件的?

CSRF

CSRF漏洞的本质是什么?

防护CSRF都有哪些方法,JAVA是如何防护CSRF漏洞的,token必定有用么?

HTML5

说说HTML5有哪些新的安全特性

HTML5白名单要有哪些标签

java

你都了解哪些java框架?

java的MVC结构都是作什么的,数据流向数据库的顺序是什么?

了解java沙箱吗?

ibats的参数化查询能不能有效的控制sql注入?有没有危险的方法能够形成sql注入?

说说两次struts2漏洞的原理

ongl在这个payload中起了什么做用?

\u0023是什么字符的16进制编码?为何在payload中要用他?

java会不会发生执行系统命令的漏洞?java都有哪些语句,方法能够执行系统命令

若是叫你修复一个xss漏洞,你会在java程序的那个层里面进行修复?

xss filter在java程序的哪里设置?

说下java的类反射在安全上可能存在哪些问题

中间件

tomcat要作哪些安全加固?

若是tomcat重启的话,webapps下,你删除的后台会不会又回来?

数据库

mysql数据库默认有哪些库?说出库的名字

mysql的用户名密码是存放在那张表里面?mysql密码采用哪一种加密方式?

mysql表权限里面,除了增删改查,文件读写,还有哪些权限?

mysql安全要如何作?

sqlserver public权限要如何提权

Linux

简述Linux系统安全加固须要作哪些方面

你使用什么工具来判断系统是否存在后门

Linux的Selinux是什么?如何设置Selinux?

iptables工做在TCPIP模型中的哪层?

若是没法升级内核,那么如何保证系统不被已知的exp提权?

syslog里面都有哪些日志?安装软件的日志去哪找?

如何查询ssh的登陆日志?如何配置syslog的日志格式?

syslog可不能够使用vi等工具直接查看?是二进制文件吗?

信息采集

踩点都要采集哪些信息?

DNS在渗透中的做用

根据回忆总结的,有的问题可能描述的有些问题。安全的体系很大哦,冰山一角而已。

相关文章
相关标签/搜索