网络安全方面的岗位面试题目集合(二)
单针对金融业务的 主要是数据的篡改(涉及金融数据,或部分业务的判断数据),由竞争条件或者设计不当引起的薅羊毛,交易/订单信息泄露,水平越权对别人的账户查看或恶意操作,交易或业务步骤绕过。
中间人攻击
中间人攻击是一个(缺乏)相互认证的攻击;由于客户端与服务器之间在 SSL 握手的过程中缺乏相互认证而造成的漏洞防御中间人攻击的方案通常基于一下几种技术:
1.公钥基础建设 PKI 使用 PKI 相互认证机制,客户端验证服务器,服务器验证客户端;上述两个例子中都是只验证服务器,这样就造成了 SSL 握手环节的漏洞,而如果使用相互认证的的话,基本可以更强力的相互认证。
2.延迟测试
使用复杂加密哈希函数进行计算以造成数十秒的延迟;如果双方通常情况下都要花费 20 秒来计算,并且整个通讯花费了 60 秒计算才到达对方,这就能表明存在第三方中间人。
3.使用其他形式的密钥交换形式
ARP 欺骗
原理
每台主机都有一个 ARP 缓存表,缓存表中记录了 IP 地址与 MAC 地址的对应关系,而局域网数据传输依靠的是 MAC 地址。在 ARP 缓存表机制存在一个缺陷,就是当请求主机收到 ARP 应答包后,不会去验证自己是否向对方主机发送过 ARP 请求包,就直接把这个返回包中的 IP 地址与 MAC 地址的对应关系保存进 ARP 缓存表中,如果原有相同 IP 对应关系,原有的则会被替换。这样攻击者就有了偷听主机传输的数据的可能
防护
1.在主机绑定网关 MAC 与 IP 地址为静态(默认为动态),命令:arp -s 网关 IP 网关 MAC
2.在网关绑定主机 MAC 与 IP 地址
3.使用 ARP 防火墙
DDOS
Ddos 原理
利用合理的请求造成资源过载,导致服务不可用
syn 洪流的原理
伪造大量的源 IP 地址,分别向服务器端发送大量的 SYN 包,此时服务器端会返回 SYN/ACK 包,因为源地址是伪造的,所以伪造的 IP 并不会应答,服务器端没有收到伪造 IP 的回应,会重试 3~5 次并且等待一个 SYNTime(一般为 30 秒至 2 分钟),如果超时则丢弃这个连接。攻击者大量发送这种伪造源地址的 SYN 请求,服务器端将会消耗非常多的资源(CPU 和内存)来处理这种半连接,同时还要不断地对这些 IP 进行 SYN+ACK 重试。最后的结果是服务器无暇理睬正常的连接请求,导致拒绝服务。
CC 攻击原理
对一些消耗资源较大的应用页面不断发起正常的请求,以达到消耗服务端资源的目的。
DDOS 防护
SYN Cookie/SYN Proxy、safereset 等算法。SYN Cookie 的主要思想是为每一个 IP 地址分配一个“Cookie”,并统计每个 IP 地址的访问频率。如果在短时间内收到大量的来自同一个 IP 地址的数据包,则认为受到攻击,之后来自这个 IP 地址的包将被丢弃。
特殊漏洞
Struts2-045
Redis 未授权访问
产生原因
Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取Redis 的数据。攻击者在未授权访问 Redis 的情况下可以利用 Redis 的相关方法,可以成功在 Redis服务器上写入公钥,进而可以使用对应私钥直接登录目标服务器
更多关于“网络安全培训”的问题,欢迎咨询千锋教育在线名师。千锋教育多年办学,课程大纲紧跟企业需求,更科学更严谨,每年培养泛IT人才近2万人。不论你是零基础还是想提升,都可以找到适合的班型,千锋教育随时欢迎你来试听。
10年以上业内强师集结,手把手带你蜕变精英
请您保持通讯畅通,专属学习老师24小时内将与您1V1沟通
今日已有369人领取成功
开班信息
北京校区
- 北京校区
- 大连校区
- 广州校区
- 成都校区
- 杭州校区
- 长沙校区
- 合肥校区
- 南京校区
- 上海校区
- 深圳校区
- 武汉校区
- 郑州校区
- 西安校区
- 青岛校区
- 重庆校区
- 太原校区
- 沈阳校区
- 北京校区
- 大连校区
- 广州校区
- 成都校区
- 杭州校区
- 长沙校区
- 合肥校区
- 南京校区
- 上海校区
- 深圳校区
- 武汉校区
- 郑州校区
- 西安校区
- 青岛校区
- 重庆校区
- 太原校区
- 沈阳校区
IT头条热榜
面试题库更多>>
Linux云计算工程师面试题汇总(二)
Linux云计算工程师面试题汇总(一)
进大厂必须掌握的python面试题(二)
进大厂必须掌握的python面试题(一)
缓存的淘汰策略有几种方式?都怎么用
Java常用开发工具之常用源码编辑工具
热搜问题
云计算培训费用多少钱?贵不贵?
沸零基础如何学html5?自学好还是参加培训好
热java培训班要多少钱
热如何选择新媒体培训机构?
新旅行自媒体如何赚钱?你知道吗?
Python就业方向怎么选择?
Python培训效果好不好?
UI设计培训费用多少钱?可靠吗
Java的就业方向是什么?
web前端可以从事哪些工作?
现在学习UI设计晚吗?
大数据培训机构有用吗
大数据培训就业情况如何?
移动App性能测试都测试什么
IT技术那个比较好就业?
北京软件测试培训多少钱?
IT前景好吗?值得学习么?
Linux云计算可以学会吗