千锋教育-做有情怀、有良心、有品质的职业教育机构

手机站
千锋教育

千锋学习站 | 随时随地免费学

千锋教育

扫一扫进入千锋手机站

领取全套视频
千锋教育

关注千锋学习站小程序
随时随地免费学习课程

【热点话题】 零基础学IT IT学习教程 IT学习笔记 IT技术干货 IT培训机构 IT应聘面试 IT职场就业 Java培训机构哪些好
当前位置:首页  >  应聘面试  >  网络安全面试题  > 2022年20个常见的网络安全面试题下(含答案)

2022年20个常见的网络安全面试题下(含答案)

来源:千锋教育
发布人:syq
时间: 2022-07-14 13:21:33 1657776093

  1.目标站禁止注册用户,找回密码处随便输入用户名提示:“此用户不存在”,你觉得这里怎样利用?

  先爆破用户名,再利用被爆破出来的用户名爆破密码。其实有些站点,在登陆处也会这样提示所有和数据库有交互的地方都有可能有注入。

网络安全面试题

  2.目标站发现某 txt 的下载地址为http://www.test.com/down/down.php?file=/upwdown/1.txt,你有什么思路?

  这就是传说中的下载漏洞!在 file=后面尝试输入 index.php 下载他的首页文件,然后在首页文件里继续查找其他网站的配置文件,可以找出网站的数据库密码和数据库的地址。

  3.甲给你一个目标站,并且告诉你根目录下存在/abc/目录,并且此目录下存在编辑器和 admin 目录。请问你的想法是?

  直接在网站二级目录/abc/下扫描敏感文件及目录。

  4.在有 shell 的情况下,如何使用 xss 实现对目标站的长久控制?

  后台登录处加一段记录登录账号密码的 js,并且判断是否登录成功,如果登录成功,就把账号密码记录到一个生僻的路径的文件中或者直接发到自己的网站文件中。(此方法适合有价值并且需要深入控制权限的网络)。

  在登录后才可以访问的文件中插入 XSS 脚本。

  5.后台修改管理员密码处,原密码显示为*。你觉得该怎样实现读出这个用户的密码?

  审查元素 把密码处的 password 属性改成 text 就明文显示了

  6.目标站无防护,上传图片可以正常访问,上传脚本格式访问则 403.什么原因?

  原因很多,有可能 web 服务器配置把上传目录写死了不执行相应脚本,尝试改后缀名绕过

  7.审查元素得知网站所使用的防护软件,你觉得怎样做到的?

  在敏感操作被拦截,通过界面信息无法具体判断是什么防护的时候,F12 看 HTML 体部 比如护卫神就可以在名称那看到内容。

  8.在 win2003 服务器中建立一个 .zhongzi 文件夹用意何为?

  隐藏文件夹,为了不让管理员发现你传上去的工具。

  9.sql 注入有以下两个测试选项,选一个并且阐述不选另一个的理由:

  A. demo.jsp?id=2+1

  B. demo.jsp?id=2-1

  选 B,在 URL 编码中 + 代表空格,可能会造成混淆

  10.以下链接存在 sql 注入漏洞,对于这个变形注入,你有什么思路?

  demo.do?DATA=AjAxNg==DATA 有可能经过了 base64 编码再传入服务器,所以我们也要对参数进行 base64 编码才能正确完成测试

  更多关于网络安全培训的问题,欢迎咨询千锋教育在线强师千锋教育拥有多年IT培训服务经验,采用全程面授高品质、高体验培养模式,拥有国内一体化教学管理及学员服务,助力更多学员实现高薪梦想。

声明:本站稿件版权均属千锋教育所有,未经许可不得擅自转载。

10年以上业内强师集结,手把手带你蜕变精英

请您保持通讯畅通,专属学习老师24小时内将与您1V1沟通

免费领取

今日已有369人领取成功

刘同学 138****2860 刚刚成功领取
王同学 131****2015 刚刚成功领取
张同学 133****4652 刚刚成功领取
李同学 135****8607 刚刚成功领取
杨同学 132****5667 刚刚成功领取
岳同学 134****6652 刚刚成功领取
梁同学 157****2950 刚刚成功领取
刘同学 189****1015 刚刚成功领取
张同学 155****4678 刚刚成功领取
邹同学 139****2907 刚刚成功领取
董同学 138****2867 刚刚成功领取
周同学 136****3602 刚刚成功领取

猜你喜欢LIKE

最新文章NEW

相关推荐HOT

更多>>