绿盟面试总结

最新推荐文章于 2025-05-08 09:10:43 发布
原创 最新推荐文章于 2025-05-08 09:10:43 发布 · 3.4k 阅读 · 32 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文总结了绿盟面试中涉及的网络安全问题,包括登录安全、session与cookie的区别、文件上传下载的安全措施以及xss和csrf的区分。在登录安全上,强调了https传输、密码加密、sql防护等;session与cookie的区别在于存储位置和安全性;文件上传要关注文件名处理、大小限制和类型检查;文件下载则需设置响应头和处理文件路径;xss和csrf攻击的不同在于攻击方式和防护策略。

首先说了一下自己的项目,所以要对自己的项目进行深入的了解。

一、在登录界面要考虑的安全问题。

传输:使用https进行传输,对传输内容进行加密,杜绝http明文传输

密码:

  1. 强制用户使用有一定强度并复杂的密码,一定包含英文字母和数字,防止出现123456这样的弱口令    
  2. 密码不要明文存储在数据库,要进行加密处理,同时可以加盐 
  3. 用户名和密码不要单方面提示,不管是用户名还是密码错误都提示“用户名或密码错误”,防止攻击者进行尝试

sql防护:前端进行禁止用户输入导致sql注入的字符,后端也要进行sql注入的防护

异地登录:保存每次用户登录信息日志,当出现异地登录时,进行提醒

cookie防护:不要在cookie中保存账号密码,要将过期时间,ip等考虑进去,cookie要设置成http only,防止脚本获取

设置会话有效期:比如登录后10分钟不操作进登录失效。

加验证码:防止黑客进行撞库攻击

采用单点登录。

二、如何确定用户是否登录。

  1. 当用户输入正确的用户名和密码时,在服务器端创建一个session保存,并设置过期时间
  2. 如果用户选择保存密码,将cookie保存在浏览器端
  3. 每次用户向后台进行请求时,进行状态验证,如果存在session,则继续进行操作,并刷新session的有效时间,如果不存在session,则判断cookie是否正确,如果正确则,完成自动登录,否则返回登录界面。

三、session和cookie的区别是什么?

  1. cookie存放在浏览器端,session存放在服务器端
  2. cookie不是很安全,别人可以分析存放在本地的cookie进行cookie欺骗,考虑到安全性,账号密码等信息应该保存在session端。
  3. session会在一定时间内保存在服务器端,当访问增多时,会影响服务器的性能。
最低0.47元/天 解锁文章
绿盟二面面试
persist213的博客
04-16 1133
若攻击者控制输入,可构造恶意对象,在反序列化时触发危险操作(如动态代理、反射调用)。:使用JSON(如Jackson)或Protocol Buffers替代Java原生序列化。:仅允许已知安全类,安全性更高,但维护成本较大(需覆盖业务所有合法类)。功能允许反序列化时指定任意类。:JDK9+的过滤器机制,通过模式匹配限制反序列化类。)允许加载远程代码,结合反序列化触发类初始化逻辑。:反序列化过程中未对输入数据进行校验,导致恶意类的。),但易被绕过(新增Gadget或组合类)。反序列化入口,触发Map操作。
绿盟 测开|测试开发 面试真题|面经 汇总
jxiang213的博客
09-21 747
网安面试指南》《Java代码审计》《Web安全》
绿盟面试经历
热门推荐
qj15223080209的博客
10-13 1万+
本人普通高校小硕一名,从2018年9月开始找工作,第一家面试的公司就是成都绿盟科技,总共3轮面试,第一轮、第二轮都是技术面,第三轮是北京绿盟的boss面。因为是投的是提前批,正式校招还没开始,三轮面试都是电话面,所以还是有操作的机会。最后由于薪资没谈好,没收到offer,感觉绿盟科技(成都)最多能开到10k吧,因为我报的是12k,最后面了一直没消息,就发邮件问HR,反馈的消息说我的期望薪资过高,诶...
绿盟笔试试题及参考答案
06-09
绿盟笔试资料,吕蒙笔试试题,绿盟笔试答案
绿盟(面经+拒信),有时候,一个面经,或者一封拒信可以让你少走很长一段弯路
11-24
绿盟的面经和拒信,有时候,一个面经,或者一封拒信可以让你少走很长一段弯路
绿盟科技面试
WD_MX的博客
11-23 3387
绿盟科技面试
绿盟面试
加油奋斗吧的博客
05-18 1315
总共三面,岗位:测试开发。 侧重点:数据库、三次握手、四次挥手、TCP/IP、OSI、模拟一个场景这个场景里面在什么时候都用到什么协议、会什么编程语言、写算法
2021年秋招面试复盘|绿盟科技研发工程师123面汇总(已意向)
Java面试精选的博客
11-14 1799
一面 说实话,我对这场面试非常懵。 约好的2点面试面试官在开会,所以推迟到了2.05分。 开局自我介绍 你做过服务器的一个项目啊,说一下HTTP报文格式 说一下Python的内存管理,想到哪说哪?(我的简历里面只有了解python五个字,剩下的全是C++),我回答主要用C++ 说一下你了解的网络攻击.回答 SYN FLOOD CSRF 中间人攻击 你了解过绿盟吗?回答:XXXXX 好了我的问题结束了,反问? 反问面试流程,面试官说有3-4面,反问应该学些什么?面试官让我
秋招面试总结绿盟、淘米、平安科技等(c++开发工程师)
qq_39771637的博客
11-06 933
先简单的进行一个自我介绍吧:学历:普通一本   专业:网络工程    注:CET4未通过(很难受),BATJ美团,滴滴一线都没投,感觉实力不够    下面的一些知识点我面试的公司基本都有问到,大神的话请绕道!!! 绿盟c++开发:我第一家面的公司,我笔试完后绿盟发邮件和短信通知我去第二天早上9:00去面试面试官拿着简历让我进行自我介绍(自我介绍一般三分钟左右吧让面试官看完你的简历),首先对我...
网络工程师秋招面试总结
weixin_46035523的博客
03-16 3679
本人大学学的专业是计算机科学与技术,就读于一所普通二本大学。由于本人看到代码就头疼,在大三那年,学校开了一门计算机网络的课程,当时我就做了一个艰难的决定,希望以后能成为一名网络工程师。为啥艰难,因为身边的同学都是往开发那一方面的,我也不是网络工程专业的,然后我开始了一段曲折而又漫长的自学之路。2020年10月,我加入到秋招的队伍当中(当时比较迷茫,参加秋招的时间比较晚,一般大厂6、7月份就开始秋招,甚至更早,十月份早就招完人了,所以渣渣的我都没面过大厂)面试环节一般包括自我介绍,回答面试官的问题(专业理论知
绿盟笔试面试
10-21
绿盟\绿盟 绿盟\绿盟 绿盟\绿盟 绿盟\绿盟 绿盟\绿盟
锐捷网络2019年秋招售前产品经理面试总结
qq_41054709的博客
10-02 5106
锐捷网络笔试总结 锐捷笔试题一共有41道,包含的内容:数据结构、计算机组成原理、常见的Windows命令以及网络基础等。难度系数还是蛮大的,需要这些知识点有所了解,笔试前复习一下,看一下相关知识点。 总体来说,锐捷售前产品经理的笔试题还是有难度的,但是办法总比人多的。 锐捷网络一面总结 做完锐捷笔试晚上八点过就能收到消息让我下午16:30面试,如果没有收到,恭喜你凉了。相对于锐捷一面,之前因为有深...
绿盟面试题 晕啊!
weixin_33701617的博客
11-05 540
从别人的博客上拿来地。自己做了一下。结果发现会的不到三分之一。。 忧郁。。。。。。。。。。。。 留下来,记住这份郁闷,以此自勉... 1、 基本知识a) 经常使用的搜索引擎(至少三个)。 谷歌: [url]http://www.google.com[/url] 百度:[url]http://www.baidu.com[/url] 酷狗:...
3.3绿盟面试
weixin_34419326的博客
03-04 419
今天和舍友参加了绿盟科技的面试,大三狗的第一次面试,去之前很紧张,不过真的开始了以后倒是一身轻松,问的问题都很基础。 让我对以后的面试多了一份自信,不过还是要继续学习。 以后基本定向了,选自己感兴趣的逆向分析进行深入的学习。 Fight! 转载于:https://www.cnblogs.com/shercy/p/6503224.html...
2015年绿盟面试
GarfieldEr007的专栏
10-26 2401
霸面而来。。后来补做了半个小时左右的异地笔试试题。。 一面 1、自我介绍 2、函数重载(overloading)和覆盖(override)的区别是什么,它们的作用分别是什么? 3、说一下多态,说一下虚函数 4、 用过Linux吗,说几个命令吧 5、了解设计模式吗,用过吗 6、有没有做过正式的项目 7、其他问题想不起来了 二面 1、自我介绍 2、聊项目 3、对
面试题 | 超详细绿盟面试题问答来也!一通电话拿到的offer,还有谁!
jxiang213的博客
09-21 2557
正所谓师傅领进门,修行在个人,拼客学院正是充当了领路人的角色,他可以带领你如果更快,更准确地的进入网络与安全行业的门槛,自己去摸索可能要花大量的精力在搜索安全行业的相关资料或信息上,很没有方向。我便找了一位曾经在拼客学习的直系师兄了解了拼客,了解了当前安全行业的现状,了解了自己应该怎样去进入安全门槛,过了两天我便下了决定报班了。答:SQL注入可能存在的站点中的哪些功能模块可以说一下,如何测试的,手工的方式,burpsuite跑包的方式都可以说,最后我还补充了SQL注入神器sqlmap。
绿盟 java 面试_绿盟2013web实习生面试
weixin_32024145的博客
02-24 283
1、limitn,mlimit 起始位置(0开始算),显示条数;上例:SELECT * FROM `test` limit n,m 他的起始位置写的是n,由于是从0开始算起的,而数据库中的id是从1开始的,所以自然真正的起始位置是n+1,后面的m代表显示m条记录。2、php连接数据库代码//mysql_connect(servername,use...
2025年北京神州绿盟科技有限公司--实习安全工程师---面试题(2025年4月17日)
最新发布
2303_78851087的博客
05-08 657
2025年最新北京神州绿盟科技有限公司-------实习安全工程师---面试题(2025年4月17日)
明天我要去绿盟面试
IT老兵
12-08 2386
        下午快下班的时候,收到了绿盟面试的通知。本来打算下班后回保定,因为明天要进行毕业前的图象采集。看来只能明天中午面试完回去了。        明天一战将会改变我的未来发展方向,如果有幸通过面试的话,以后我将要在安全方面努力了。在我看来,多媒体的传输、网络安全这两方面都是有很好的前途。      希望明天有个好的战果。 
绿盟软件推出新版GIF编辑器功能介绍
绿盟软件 GIF编辑器是一款专门用于编辑和处理GIF动画的软件。GIF(Graphics Interchange Format)是一种广泛使用的位图图像格式,它支持透明度和动画效果,常用于网络动画的展示。下面详细介绍一下绿盟软件 GIF编辑...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值