2301_76786857的博客

收集整理的一些网络安全相关面试题。

SQL注入原理的种类？防御呢？预编译原理？原理：在数据交互中，前端的数据传入到后台处理时，由于后端没有做严格的判断，导致其传入的“数据”拼接到SQL语句中后，被当作SQL语句的一部分执行。种类：字符，数字，布尔，报错，延迟，联合，堆叠，宽字节，XFF等修复：使用预编译，PDO，正则表达式过滤，开启魔术引号，加装WAF等

中间件是一种处于应用程序和操作系统之间的软件，用于实现跨平台、跨语言、跨网络的通信和集成。中间件漏洞是指在中间件中存在的安全漏洞，可能导致攻击者获取权限、窃取数据、控制系统等危害。

一些与漏洞相关的面试题。

过滤关键字应该是最常见的过滤了，因为只要把关键字一过滤，你的注入语句基本就不起作用了。（3）既然是过滤关键字，大小写应该都会被匹配过滤，所以大小写绕过一般是行不通的。常见的几种注入方法基本上都要使用逗号，要是逗号被过滤了，那就只能想办法绕过了。（2）对于盲注的那几个函数substr(),mid(),limit。（1）最常用的绕过方法就是用/**/，，分割关键字。（2）根据过滤程度，有时候还可以用双写绕过。（1）简单注入可以使用join方法绕过。（4）有时候还可以使用编码绕过。

它是一种利用用户在已登录的网站中提交非法请求的行为，攻击者通过伪造用户提交的请求，将恶意请求发送至受信任的网站，导致用户在不知情的情况下执行恶意操作。两者区别：CSRF是用户端发起请求，攻击者利用用户的Cookie信息伪造用户请求发送至服务器；而SSRF是服务端发起的请求，攻击者通过构造指定URL地址获取网页文本内容、加载指定地址的图片、下载等方式，利用存在缺陷的Web应用作为代理攻击远程和本地的服务器。5.限制请求的端口为http常用的端口，例如80、443、8080、8090等；

服务器被攻击了，该如何做应急响应

攻击者会查找与网站相关的敏感文件和命令，例如网站源代码、配置文件、数据库连接文件等，以进一步了解目标网站的结构和功能。：攻击者会尝试了解目标网站的网络拓扑结构，包括与外部系统的连接情况、内部系统的分布等，以判断可能存在的攻击面和风险。：攻击者还会关注其他可能与目标网站相关的敏感信息，如访问日志、数据库备份文件等，以寻找可能的漏洞和机会。：攻击者会查看服务器的操作系统、版本、配置等信息，以便了解目标服务器的环境及可能存在的漏洞。