国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

hw藍(lán)隊(duì)初級(jí)的一次面試(基礎(chǔ))

這篇具有很好參考價(jià)值的文章主要介紹了hw藍(lán)隊(duì)初級(jí)的一次面試(基礎(chǔ))。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

OWASP top10

  • 1、失效的訪問(wèn)控制(越權(quán))
  • 2、加密失敗
  • 3、注入
  • 4、不安全的設(shè)計(jì)
  • 5、安全配置錯(cuò)誤
  • 6、易受攻擊和過(guò)時(shí)的組件
  • 7、認(rèn)證和授權(quán)失敗
  • 8、軟件和數(shù)據(jù)完整性故障
  • 9、安全日志記錄和監(jiān)控失效
  • 10、服務(wù)端請(qǐng)求偽造

ssrf和csrf

CSRF:跨站請(qǐng)求攻擊(XSRF)

  • 發(fā)生條件:當(dāng)用戶在安全網(wǎng)站A登錄后保持登錄的狀態(tài),并在此時(shí)瀏覽了保存有惡意代碼的另一個(gè)網(wǎng)站B。此時(shí)B站劫持用戶的瀏覽器并以用戶以登錄的狀態(tài)對(duì)A站發(fā)送非用戶本人的操作。當(dāng)服務(wù)端沒(méi)有對(duì)這次請(qǐng)求驗(yàn)證的情況下,將這次操作作為可信任的用戶的操作。
  • 防御:增加驗(yàn)證碼、怎加refer字段、使用token、

SSRF:服務(wù)端請(qǐng)求偽造

由攻擊者構(gòu)造的攻擊鏈接傳給服務(wù)端執(zhí)行造成的漏洞。有的大型網(wǎng)站在web應(yīng)用上提供了從其他服務(wù)器獲取數(shù)據(jù)的功能(比如獲取別的網(wǎng)站的tittle等信息的)。使用戶指定的URL web應(yīng)用獲取圖片,下載文件,讀取文件內(nèi)容(這些東西都是外網(wǎng)訪問(wèn)不到的內(nèi)網(wǎng)資源)。攻擊者利用有缺陷的web應(yīng)用作為代理攻擊遠(yuǎn)程和內(nèi)網(wǎng)的服務(wù)器(跳板)。

xss幾種類型

  • 反射型:script彈窗腳本,釣魚(yú)鏈接,可以竊取cookie等敏感信息。
  • DOM型:這種攻擊不需要經(jīng)過(guò)服務(wù)器,網(wǎng)頁(yè)本身的JavaScript也是可以改變HTML的,黑客正是利用這一點(diǎn)來(lái)實(shí)現(xiàn)插入惡意腳本。
  • 存儲(chǔ)型:比如評(píng)論功能,用戶評(píng)論(xss腳本)被存儲(chǔ)在了服務(wù)器,每一次加載頁(yè)面的時(shí)候就會(huì)被觸發(fā)一次。

XSS(Cross-Site Scripting)跨站腳本

邏輯漏洞

  • 越權(quán)漏洞
  • 密碼修改
  • 密碼找回
  • 驗(yàn)證碼漏洞
  • 支付漏洞
  • 投票/積分/抽獎(jiǎng)
  • 短信轟炸

端口

  • 20 21ftp21端口是用于控制 數(shù)據(jù)傳輸看情況
  • 23 telnet
  • 25 SMTP
  • 53 DNS
  • 80 web
  • 110 POP3 電子郵件
  • 995 POP3連接
  • 135 RPC
  • 143 IMAP服務(wù)接收郵件
  • 389 LDAP輕量目錄訪問(wèn)
  • 443 https
  • 1433 SQLserver
  • 3306 數(shù)據(jù)庫(kù)
  • 3389 遠(yuǎn)程桌面連接
  • 6379 redis

他還問(wèn)了一個(gè)端口忘了是啥了透文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-430357.html

應(yīng)急響應(yīng):入侵排查思路

  • 檢查系統(tǒng)賬號(hào)安全
  • 檢查異常端口、進(jìn)程
  • 檢查啟動(dòng)項(xiàng)、定時(shí)任務(wù)(計(jì)劃任務(wù))、服務(wù)
  • 檢查系統(tǒng)相關(guān)信息
  • 自動(dòng)化查殺
  • 日志分析

還問(wèn)我有沒(méi)有復(fù)現(xiàn)過(guò)現(xiàn)在的一些漏洞

到了這里,關(guān)于hw藍(lán)隊(duì)初級(jí)的一次面試(基礎(chǔ))的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來(lái)自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • OWASP TOP 10 之敏感數(shù)據(jù)泄露

    ?許多Web應(yīng)用程序和APl都無(wú)法正確保護(hù)敏感數(shù)據(jù),例如: 財(cái)務(wù)數(shù)據(jù)、醫(yī)療數(shù)據(jù)和PII數(shù)據(jù)。攻擊者可以通過(guò)竊取或修改未加密的數(shù)據(jù)來(lái)實(shí)施信用卡詐騙、身份盜竊或其他犯罪行為。未加密的敏感數(shù)據(jù)容易受到破壞,因此我們需要對(duì)敏感數(shù)據(jù)加密,這些數(shù)據(jù)包括: 傳輸過(guò)程中的數(shù)據(jù)

    2024年02月03日
    瀏覽(26)
  • 2023_OWASP TOP10_漏洞詳情

    OWASP TOP 10 漏洞講解 1 、 s q l 注入 1、sql注入 1 、 s ql 注入 原理: SQL 注入就是指 web 應(yīng)用程序?qū)τ脩糨斎氲臄?shù)據(jù)合法性沒(méi)有過(guò)濾或者是判斷,前端傳入的參數(shù)是攻擊者可以控制,并且參數(shù)帶入數(shù)據(jù)庫(kù)的查詢,攻擊者可以通過(guò)構(gòu)造惡意的 sql 語(yǔ)句來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的任意操作。 ?

    2024年02月06日
    瀏覽(23)
  • 網(wǎng)安云知識(shí) | OWASP TOP 10之安全配置錯(cuò)誤

    這些漏洞使攻擊者能經(jīng)常訪問(wèn)一些未授權(quán)的系統(tǒng)數(shù)據(jù)或功能。有時(shí),這些漏洞導(dǎo)致系統(tǒng)的完全攻破。業(yè)務(wù)影響取決于您的應(yīng)用程序和數(shù)據(jù)的保護(hù)需求。 安全配置錯(cuò)誤可能發(fā)生在應(yīng)用程序堆棧的任何級(jí)別,包括網(wǎng)絡(luò)服務(wù)、平臺(tái)、Web服務(wù)器應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)、框架、自定義代碼

    2024年03月09日
    瀏覽(33)
  • OWASP TOP 10漏洞的原理 和攻擊方式以及防御方法

    OWASP TOP 10漏洞是指由Open Web Application Security Project(OWASP)組織發(fā)布的當(dāng)前最嚴(yán)重、最普遍的10種Web應(yīng)用程序安全漏洞。以下是每種漏洞的原理、攻擊方式和防御方法。 注入漏洞(Injection) 原理:攻擊者向應(yīng)用程序中輸入惡意代碼,使其執(zhí)行未經(jīng)授權(quán)的操作。 攻擊方式:SQL注

    2024年02月07日
    瀏覽(29)
  • TWO DAY | WEB安全之OWASP TOP10漏洞

    TWO DAY | WEB安全之OWASP TOP10漏洞

    TWO DAY | WEB安全之OWASP TOP10漏洞 OWASP:開(kāi)放式Web應(yīng)用程序安全項(xiàng)目(Open Web Application Security Project),OWASP是一家國(guó)際性組織機(jī)構(gòu),并且是一個(gè)開(kāi)放的、非盈利組織,它致力于協(xié)助政府、企業(yè)開(kāi)發(fā)、升級(jí)各類應(yīng)用程序以保證其可信任性。所有OWASP的工具、文檔、研討以及所有分會(huì)都對(duì)

    2024年02月12日
    瀏覽(30)
  • 從OWASP API Security TOP 10談API安全

    從OWASP API Security TOP 10談API安全

    應(yīng)用程序編程接口(API)是當(dāng)今應(yīng)用驅(qū)動(dòng)世界創(chuàng)新的一個(gè)基本元素。從銀行、零售、運(yùn)輸?shù)轿锫?lián)網(wǎng)、 自動(dòng)駕駛汽車、智慧城市,API 是現(xiàn)代移動(dòng)、SaaS 和 web 應(yīng)用程序的重要組成部分,可以在面向客 戶、面向合作伙伴和內(nèi)部的應(yīng)用程序中找到。 從本質(zhì)上講,API 暴露了應(yīng)用程序

    2024年04月25日
    瀏覽(29)
  • 網(wǎng)絡(luò)安全入門必知的OWASP top 10漏洞詳解

    0、OWASP Top10是什么? 首先介紹下OWASP,開(kāi)放式Web應(yīng)用程序安全項(xiàng)目(OWASP,Open Web Application Security Project)是一個(gè)非營(yíng)利組織,不附屬于任何企業(yè)或財(cái)團(tuán),它提供有關(guān)計(jì)算機(jī)和互聯(lián)網(wǎng)應(yīng)用程序的公正、實(shí)際、有成本效益的信息。其目的是協(xié)助個(gè)人、企業(yè)和機(jī)構(gòu)來(lái)發(fā)現(xiàn)和使用可信

    2024年02月08日
    瀏覽(25)
  • owasp top10之不安全的反序列化

    ? 更多網(wǎng)絡(luò)安全干貨內(nèi)容: 點(diǎn)此獲取 ——————— Java?提供了一種對(duì)象序列化的機(jī)制,該機(jī)制中,一個(gè)對(duì)象可以被表示為一個(gè)字節(jié)序列,該字節(jié)序列包括該對(duì)象的數(shù)據(jù)、有關(guān)對(duì)象的類型的信息和存儲(chǔ)在對(duì)象中數(shù)據(jù)的類型。 將序列化對(duì)象寫入文件之后,可以從文件中讀取

    2024年01月22日
    瀏覽(23)
  • OWASP TOP10 大主流漏洞原理和防范措施,易理解版

    OWASP TOP10 大主流漏洞原理和防范措施,易理解版

    章節(jié)目錄 回顧2017年和2021年OWASP主流漏洞都有哪些 一、訪問(wèn)控制崩潰 表現(xiàn)形式 防范 二、敏感數(shù)據(jù)暴露 防范 三、注入 sql注入分類 SQL盲注 SQL注入產(chǎn)生點(diǎn) SQL注入的思路 盲注測(cè)試的思路 防范SQL 四、不安全的設(shè)計(jì) 產(chǎn)生的原因 業(yè)務(wù)漏洞的顯現(xiàn)體現(xiàn) 五、安全配置不當(dāng) 風(fēng)險(xiǎn)點(diǎn) 防范

    2024年02月05日
    瀏覽(34)

覺(jué)得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包