网络安全面试题及答案(九)
简述文件包含漏洞 调用文件包含函数时,未严格限制文件名和路径,如include()、require()等函数 业务逻辑漏洞,用户任意密码重置有什么例子,因为什么因素导致的? 普通用户重置管理用户密码 普通用户重置普通用户密码
网络安全面试题及答案(八)
文件上传绕过方法? WAF绕过: 修改上传表单字段 表单字段大小写替换 表单字段增加或减少空格 表单字段字符串拼接 构造双文件上传表单,同时上传双文件 编码绕过 垃圾数据填充绕过 文件名大小写绕过 服务器检测绕过: MIME类型绕过 前端JS检测抓包改包绕过 黑名单绕过:php3、asa、ashx、windows特性(test.asp_、流特性)、apache解析漏洞
网络安全面试题及答案(七)
网络安全事件应急响应 断网:条件允许时优先断网,防止黑客进一步操作或删除痕迹 取证:通过分析登录日志、网站日志、服务日志寻找黑客ip,查看黑客进行的操作 备份:备份服务器文件,对比入侵前后产生变化的文件 查漏:通过上述步骤寻找业务薄弱点,修补漏洞 杀毒...
网络安全面试题及答案(六)
当写入缓冲区的数据量超过该缓冲区所能承受的最大限度时,发生缓冲区溢出,溢出的数据被黑客加以利用,形成远程代码执行漏洞。
网络安全面试题及答案(四)
land攻击是什么? 局域网拒绝服务攻击,DDOS攻击的一种,通过发送精心构造的、具有相同源地址和目标地址的欺骗数据包,致使缺乏相应防护机制的目标设备瘫痪
