本文汇总了2023年网络安全面试中的关键知识点,包括CTF挑战、Python并发与标准库、Django与Flask框架、密码学原理、风险评估流程、代码审计技巧、应急响应及渗透测试流程。重点讨论了SQL注入、XSS等常见Web安全漏洞,以及MySQL面试常见问题。适合备考渗透工程师职位的读者参考。
技术面试问题
CTF
说一个印象深刻的CTF的题目
-
Padding Oracle->CBC->密码学(RSA/AES/DSA/SM)
-
CRC32
-
反序列化漏洞
sql二次注入
第一次进行数据库插入数据的时候,仅仅只是使用了 addslashes 或者是借助get_magic_quotes_gpc 对其中的特殊字符进行了转义,在写入数据库的时候还是保留了原来的数据,但是数据本身还是脏数据。 在将数据存入到了数据库中之后,开发者就认为数据是可信的。在下一次进行需要进行查询的时候,直接从数据库中取出了脏数据,没有进行进一步的检验和处理,这样就会造成SQL的二次注入。
交友网站,填写年龄处是一个注入点,页面会显示出与你相同年龄的用户有几个。使用and 1=1确定注入点,用order by探测列数,union select探测输出点是第几列,
-
暴库 group_concat(schema_name) from information_schema.schemata
-
暴表 group_concat(table_name) from information_schema.schemata where table_schema='hhh'
-
获取数据 concat(flag) from flag
修复:在从数据库或文件中取数据的时候,也要进行转义或者过滤。
Python
爬虫模块、框架、反爬虫机制(IP->代理池、验证码破解、UA)
并发(多线程、线程池、协程、三个程之间的区别)
进程是cpu资源分配的最小单位,线程是cpu调度的最小单位。以前进程既是资源分
最低0.47元/天 解锁文章
扫一扫
2207
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
