web安全职位面试题目汇总

Domain

解释一下同源策略

同源策略,那些东西是同源可以获取到的

如果子域名和顶级域名不同源,在哪里可以设置叫他们同源

如何设置可以跨域请求数据?jsonp是做什么的?

Ajax

Ajax是否遵循同源策略?

json注入如何利用

浏览器策略

不同浏览器之间,安全策略有哪些不同,比如chrome,firefox,IE

CSP是什么?如何设置CSP?

SQLi

如何判断sql注入,有哪些方法

为什么有的时候没有错误回显,用php举例

宽字符注入的原理?如何利用宽字符注入漏洞,payload如何构造?

你都了解哪些sql 的bypass技巧

CRLF注入的原理

XSS

xss的发生场景?

如果给你一个XSS漏洞,你还需要哪些条件可以构造一个蠕虫?

在社交类的网站中,哪些地方可能会出现蠕虫?

如果叫你来防御蠕虫,你有哪些方法?

如果给你一个XSS盲打漏洞,但是返回来的信息显示,他的后台是在内网,并且只能使用内网访问,那么你怎么利用这个XSS?

PHP

php里面有哪些方法可以不让错误回显?

php.ini可以设置哪些安全特性

php的%00截断的原理是什么?

webshell检测,有哪些方法

php的LFI,本地包含漏洞原理是什么?写一段带有漏洞的代码。手工的话如何发掘?如果无报错回显,你是怎么遍历文件的?

CSRF

CSRF漏洞的本质是什么?

防御CSRF都有哪些方法,JAVA是如何防御CSRF漏洞的,token一定有用么?

HTML5

说说HTML5有哪些新的安全特性

HTML5白名单要有哪些标签

java

你都了解哪些java框架?

java的MVC结构都是做什么的,数据流向数据库的顺序是什么?

了解java沙箱吗?

ibats的参数化查询能不能有效的控制sql注入?有没有危险的方法可以造成sql注入?

说说两次struts2漏洞的原理

ongl在这个payload中起了什么作用?

\u0023是什么字符的16进制编码?为什么在payload中要用他?

java会不会发生执行系统命令的漏洞?java都有哪些语句,方法可以执行系统命令

如果叫你修复一个xss漏洞,你会在java程序的那个层里面进行修复?

xss filter在java程序的哪里设置?

说下java的类反射在安全上可能存在哪些问题

中间件

tomcat要做哪些安全加固?

如果tomcat重启的话,webapps下,你删除的后台会不会又回来?

数据库

mysql数据库默认有哪些库?说出库的名字

mysql的用户名密码是存放在那张表里面?mysql密码采用哪种加密方式?

mysql表权限里面,除了增删改查,文件读写,还有哪些权限?

mysql安全要如何做?

sqlserver public权限要如何提权

Linux

简述Linux系统安全加固需要做哪些方面

你使用什么工具来判断系统是否存在后门

Linux的Selinux是什么?如何设置Selinux?

iptables工作在TCPIP模型中的哪层?

如果无法升级内核,那么如何保证系统不被已知的exp提权?

syslog里面都有哪些日志?安装软件的日志去哪找?

如何查询ssh的登录日志?如何配置syslog的日志格式?

syslog可不可以使用vi等工具直接查看?是二进制文件吗?

信息采集

踩点都要采集哪些信息?

DNS在渗透中的作用

根据回忆总结的,有的问题可能描述的有些问题。安全的体系很大哦,冰山一角而已。

时间: 2024-10-11 22:38:12

web安全职位面试题目汇总的相关文章

HTML5面试题目汇总(二)

HTML5面试题目汇总(二) 标签: javascript 2016-07-19 10:15 639人阅读 评论(0) 收藏 举报  分类: javascript(16)  1.怎样添加.移除.移动.复制.创建和查找节点? 1)创建新节点 createDocumentFragment() //创建一个DOM片段 createElement() //创建一个具体的元素 createTextNode() //创建一个文本节点 2)添加.移除.替换.插入 appendChild() //添加 remo

[转]关于Web前端开发,附:(百度web前端笔试面试题目)

关于Web前端及百度web前端笔试面试题目 随着各大互联网公司设立了Web前端开发工程师.设计工程师等职位,web前端越来越得到互联网企业的认可.而且其重视程度与地位也随着浏览器 端的富客户端的体现而日益提高. 眼前对HTML5的未来和走向,业内的预测是会和Flash.Silverlight等相结合,从而取代传统的客户端应用程序.而实现这个目标的客户端核 心工作是有Web前端工程师来完成的. 从另一个角度,对于web产品来说,交互和用户体验是产品的第一价值,这部分价值的体现就是在web前端.可以

测试开发面试题目汇总一

测试开发面试题目汇总 1. 项目经验 2. 测试的过程 3. 京东登录页面怎么测? 4. 如果一个普通用户,他的百度首页打不开,问题怎么定位?写出定位流程. 5.问简历上的第一个项目的详细情况,包括测试用例怎么写?怎么判断测试通过?项目的原理? 6.如果是做功能测试,能接受吗? 7.说一下你们工作中的测试流程 8.用她的手机给我看了下百度贴吧的发帖功能的界面,给我张纸,让我写出测试点(只需要考虑内容,表情,添加图片,@功能),写完讲一遍逻辑. 9  针对发朋友圈这个功能设计你的测试用例,请给出用

2019最新Android中级面试题目汇总解答

注:因为实际开发与参考答案会有所不同,再者怕误导大家,所以这些面试题答案还是自己去理解!面试官会针对简历中提到的知识点由浅入深提问,所以不要背答案,多理解. Android进阶延伸点 1.如何进行单元测试,如何保证App稳定 ? 参考回答: 要测试Android应用程序,通常会创建以下类型自动单元测试 本地测试:只在本地机器JVM上运行,以最小化执行时间,这种单元测试不依赖于Android框架,或者即使有依赖,也很方便使用模拟框架来模拟依赖,以达到隔离Android依赖的目的,模拟框架如Goog

2016年Web前端面试题目汇总

今天收集了一些web前端工程师的经典面试题以及自己面试过程中无法解决的问题,通过对知识的整理以及经验的总结,重新巩固自身的web前端基础知识(http://www.maiziedu.com/course/web/),如有错误或更好的答案,欢迎指正. HTML/CSS部分 1.什么是盒子模型? 在网页中,一个元素占有空间的大小由几个部分构成,其中包括元素的内容(content),元素的内边距(padding),元素的边框 (border),元素的外边距(margin)四个部分.这四个部分占有的空间

Web前端面试题目汇总

http://www.cnblogs.com/bigboyLin/p/5272902.html HTML/CSS部分 1.什么是盒子模型? 在网页中,一个元素占有空间的大小由几个部分构成,其中包括元素的内容(content),元素的内边距(padding),元素的边框(border),元素的外边距(margin)四个部分.这四个部分占有的空间中,有的部分可以显示相应的内容,而有的部分只用来分隔相邻的区域或区域.4个部分一起构成了css中元素的盒模型. 2.行内元素有哪些?块级元素有哪些? 空(v

Python面试题目--汇总

原文链接-https://github.com/taizilongxu/interview_python Python语言特性 1 Python的函数参数传递 2 Python中的元类(metaclass) 3 @staticmethod和@classmethod 4 类变量和实例变量 5 Python自省 6 字典推导式 7 Python中单下划线和双下划线 8 字符串格式化:%和.format 9 迭代器和生成器 10 *args and **kwargs 11 面向切面编程AOP和装饰器

PHP初级经典面试题目汇总

17.isset.empty.is_null的区别 isset 判断变量是否定义或者是否为空 变量存在返回ture,否则返回false 变量定义不赋值返回false unset一个变量,返回false 变量赋值为null,返回false empty:判断变量的值是否为空,能转换为false的都是空,为空返回true,反之返回false. "",0,"0",NULL,FALSE都认为为空,返回true 没有任何属性的对象都认为是空 is_null:检测传入的值(值.变

PHP经典面试题目汇总(上篇)

1.双引号和单引号的区别 双引号解释变量,单引号不解释变量 双引号里插入单引号,其中单引号里如果有变量的话,变量解释 双引号的变量名后面必须要有一个非数字.字母.下划线的特殊字符,或者用{}讲变量括起来,否则会将变量名后面的部分当做一个整体,引起语法错误 双引号解释转义字符,单引号不解释转义字符,但是解释'\和\\ 能使单引号字符尽量使用单引号,单引号的效率比双引号要高(因为双引号要先遍历一遍,判断里面有没有变量,然后再进行操作,而单引号则不需要判断) 2.常用的超全局变量(8个) $_GET