欧美经典日韩精品_日韩高清亚洲日韩精品一区_日韩精品无码综合视频网_国产v亚洲v天堂?无码久久_中文字幕免费无码专区

千鋒教育-做有情懷、有良心、有品質(zhì)的職業(yè)教育機(jī)構(gòu)

當(dāng)前位置:首頁(yè)  >  IT面試題  >  網(wǎng)絡(luò)安全面試題  >  正文

網(wǎng)絡(luò)攻擊方案有哪些,自己有寫(xiě)過(guò)什么安全性方面的東西嗎?

來(lái)源:千鋒教育
作者:wjy
關(guān)鍵詞: 北京 大連
2022-09-26
分享

  1. iframe

  2. opener

  3. CSRF(跨站請(qǐng)求偽造)

  4. XSS(跨站腳本攻擊)

  5. ClickJacking(點(diǎn)擊劫持)

  6. HSTS(HTTP嚴(yán)格傳輸安全)

  7. CND劫持 很難通過(guò)技術(shù)手段完全避免 XSS,但我們可以總結(jié)以下原則減少漏洞的產(chǎn)生:

網(wǎng)絡(luò)攻擊方案有哪些

  - 利用模板引擎開(kāi)啟模板引擎自帶的HTML轉(zhuǎn)義功能。例如: 在ejs中,盡量使用 <%= data %>而不是 <%- data %>;在doT.js 中,盡量使用 {{! data } 而不是 {{= data };在 FreeMarker中,確保引擎版本高于 2.3.24,并且選擇正確的 freemarker.core.OutputFormat。

  - 避免內(nèi)聯(lián)事件 盡量不要使用 onLoad="onload('{{data}}')"、onClick="go('{{action}}')" 這種拼接內(nèi)聯(lián)事件的寫(xiě)法。在 JavaScript 中通過(guò) .addEventlistener() 事件綁定會(huì)更安全。

  - 避免拼接HTML前端采用拼接HTML的方法比較危險(xiǎn),如果框架允許,使用createElement、 setAttribute 之類(lèi)的方法實(shí)現(xiàn)。或者采用比較成熟的渲染框架,如 Vue/React 等。

  - 時(shí)刻保持警惕在插入位置為DOM屬性、鏈接等位置時(shí),要打起精神,嚴(yán)加防范。

  - 增加攻擊難度,降低攻擊后果通過(guò)CSP、輸入長(zhǎng)度配置、接口安全措施等方法,增加攻擊的難度,降低攻擊的后果。

  - 主動(dòng)檢測(cè)和發(fā)現(xiàn) 可使用 XSS 攻擊字符串和自動(dòng)掃描工具尋找潛在的 XSS 漏洞。

聲明:本站稿件版權(quán)均屬千鋒教育所有,未經(jīng)許可不得擅自轉(zhuǎn)載。

上一篇

下一篇

你常用的滲透工具有哪些,最常用的是哪個(gè)?

學(xué)習(xí)資源站

  • 免費(fèi)全套視頻教程
  • 企業(yè)實(shí)戰(zhàn)項(xiàng)目源碼
  • 大廠筆試真題題庫(kù)
  • 行業(yè)前瞻發(fā)展趨勢(shì)

相關(guān)推薦

  • 電子郵件存在哪些安全性問(wèn)題? 4)通過(guò)電子郵件傳播的病毒通常用VBScript編寫(xiě),且大多數(shù)采用附件的形式夾帶在電子郵件中。當(dāng)收信人打開(kāi)附件后,病毒會(huì)查詢他的通訊簿,給其上所有或部分人發(fā)信,并將自身放入附件中,以此方式繼續(xù)傳播擴(kuò)散。
  • 常規(guī)加密密鑰的分配有幾種方案,請(qǐng)對(duì)比下它們的優(yōu)缺點(diǎn)。 由-一個(gè)中心節(jié)點(diǎn)或者由一-組節(jié) 點(diǎn)組成層次結(jié)構(gòu)負(fù)責(zé)密鑰的產(chǎn)生并分配給通信的雙方,在這種方式下,用戶不需要保存大量的會(huì)話密鑰,只需要保存同中心節(jié)點(diǎn)的加密密鑰,用于安全傳送由中心節(jié)點(diǎn)產(chǎn)生的即將用于與第三方通信的會(huì)話密鑰。這種方式缺點(diǎn)是通信量大,同時(shí)需要較好的鑒別功能以鑒別中心節(jié)點(diǎn)和通信方。
  • 網(wǎng)絡(luò)安全面試題5道 包過(guò)濾是一種安全機(jī)制,它控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò),而哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)拒絕。包過(guò)濾路由器是具有包過(guò)濾特性的一種路由器。在對(duì)包做出路由決定時(shí),普通路由器只依據(jù)包的目的地址引導(dǎo)包,而包過(guò)濾路由器就必須依據(jù)路由器中的包過(guò)濾規(guī)則做出是否引導(dǎo)該包的決定。
  • 網(wǎng)絡(luò)安全面試題4道 1、DDos 攻擊原理及防御  答:客戶端向服務(wù)端發(fā)送請(qǐng)求鏈接數(shù)據(jù)包,服務(wù)端向客戶端發(fā)送確認(rèn)數(shù)據(jù)包,客戶端不向服務(wù)端發(fā)送確認(rèn)數(shù)據(jù)包,服務(wù)器一直等待來(lái)自客戶端的確認(rèn).沒(méi)有徹底根治的辦法,除非不使用TCP.
  • 什么是SQL注入攻擊?如何防范? 攻擊者在HTTP請(qǐng)求中注入惡意的SQL代碼,服務(wù)器使用參數(shù)構(gòu)建數(shù)據(jù)庫(kù)SQL命令時(shí),惡意SQL被一起構(gòu)造,并在數(shù)據(jù)庫(kù)中執(zhí)行。
  • 你常用的滲透工具有哪些,最常用的是哪個(gè)? 你常用的滲透工具有哪些,最常用的是哪個(gè)? 答:burp:Burp Suite與Web瀏覽器配合使用,可發(fā)現(xiàn)給定APP的功能和安全問(wèn)題,是發(fā)起定制攻擊的基礎(chǔ)。目前免費(fèi)版本功能有限,但付費(fèi)版本提供全面的網(wǎng)絡(luò)爬取和掃描功能;多攻擊點(diǎn);基于范圍的配置。它可用于自動(dòng)化重復(fù)功能,提供APP與服務(wù)器互動(dòng)的良好視圖。