web安全職位面試題目匯總

標籤：

Domain

解釋一下同源策略

同源策略，那些東西是同源可以擷取到的

如果子網域名稱和頂級網域名稱不同源，在哪裡可以設定叫他們同源

如何設定可以跨域請求資料？jsonp是做什麼的？

Ajax

Ajax是否遵循同源策略？

json注入如何利用

瀏覽器策略

不同瀏覽器之間，安全性原則有哪些不同，比如chrome，firefox，IE

CSP是什嗎？如何設定CSP？

SQLi

如何判斷sql注入，有哪些方法

為什麼有的時候沒有錯誤回顯，用php舉例

寬字元注入的原理？如何利用寬字元注入漏洞，payload如何構造？

你都瞭解哪些sql 的bypass技巧

CRLF注入的原理

XSS

xss的發生情境？

如果給你一個XSS漏洞，你還需要哪些條件可以構造一個蠕蟲？

在社交類的網站中，哪些地方可能會出現蠕蟲？

如果叫你來防禦蠕蟲，你有哪些方法？

如果給你一個XSS盲打漏洞，但是返回來的資訊顯示，他的後台是在內網，並且只能使用內網訪問，那麼你怎麼利用這個XSS？

PHP

php裡面有哪些方法可以不讓錯誤回顯？

php.ini可以設定哪些安全特性

php的%00截斷的原理是什嗎？

webshell檢測，有哪些方法

php的LFI，當地套件含漏洞原理是什嗎？寫一段帶有漏洞的代碼。手工的話如何發掘？如果無報錯回顯，你是怎麼遍曆檔案的？

CSRF

CSRF漏洞的本質是什嗎？

防禦CSRF都有哪些方法，JAVA是如何防禦CSRF漏洞的，token一定有用嗎？

HTML5

說說HTML5有哪些新的安全特性

HTML5白名單要有哪些標籤

java

你都瞭解哪些java架構？

java的MVC結構都是做什麼的，資料流向資料庫的順序是什嗎？

瞭解java沙箱嗎？

ibats的參數化查詢能不能有效控制sql注入？有沒有危險的方法可以造成sql注入？

說說兩次struts2漏洞的原理

ongl在這個payload中起了什麼作用？

\u0023是什麼字元的16進位編碼？為什麼在payload中要用他？

java會不會發生執行系統命令的漏洞？java都有哪些語句，方法可以執行系統命令

如果叫你修複一個xss漏洞，你會在java程式的那個層裡面進行修複？

xss filter在java程式的哪裡設定？

說下java的類反射在安全上可能存在哪些問題

中介軟體

tomcat要做哪些安全強化？

如果tomcat重啟的話，webapps下，你刪除的後台會不會又回來？

資料庫

mysql資料庫預設有哪些庫？說出庫的名字

mysql的使用者名稱密碼是存放在那張表裡面？mysql密碼採用哪種加密方式？

mysql表許可權裡面，除了增刪改查，檔案讀寫，還有哪些許可權？

mysql安全要如何做？

sqlserver public許可權要如何提權

Linux

簡述Linux系統安全強化需要做哪些方面

你使用什麼工具來判斷系統是否存在後門

Linux的Selinux是什嗎？如何設定Selinux？

iptables工作在TCPIP模型中的哪層？

如果無法升級核心，那麼如何保證系統不被已知的exp提權？

syslog裡面都有哪些日誌？安裝軟體的日誌去哪找？

如何查詢ssh的登入日誌？如何配置syslog的日誌格式？

syslog可不可以使用vi等工具直接查看？是二進位檔案嗎？

資訊採集

踩點都要採集哪些資訊？

DNS在滲透中的作用

根據回憶總結的，有的問題可能描述的有些問題。安全的體系很大哦，冰山一角而已。

web安全職位面試題目匯總