web安全職位面試題目彙總

Domain

解釋一下同源策略

同源策略，那些東西是同源能夠獲取到的

若是子域名和頂級域名不一樣源，在哪裏能夠設置叫他們同源

如何設置能夠跨域請求數據？jsonp是作什麼的？

Ajax

Ajax是否遵循同源策略？

json注入如何利用

瀏覽器策略

不一樣瀏覽器之間，安全策略有哪些不一樣，好比chrome，firefox，IE

CSP是什麼？如何設置CSP？

SQLi

如何判斷sql注入，有哪些方法

爲何有的時候沒有錯誤回顯，用php舉例

寬字符注入的原理？如何利用寬字符注入漏洞，payload如何構造？

你都瞭解哪些sql 的bypass技巧

CRLF注入的原理

XSS

xss的發生場景？

若是給你一個XSS漏洞，你還須要哪些條件能夠構造一個蠕蟲？

在社交類的網站中，哪些地方可能會出現蠕蟲？

若是叫你來防護蠕蟲，你有哪些方法？

若是給你一個XSS盲打漏洞，可是返回來的信息顯示，他的後臺是在內網，而且只能使用內網訪問，那麼你怎麼利用這個XSS？

PHP

php裏面有哪些方法能夠不讓錯誤回顯？

php.ini能夠設置哪些安全特性

php的%00截斷的原理是什麼？

webshell檢測，有哪些方法

php的LFI，本地包含漏洞原理是什麼？寫一段帶有漏洞的代碼。手工的話如何發掘？若是無報錯回顯，你是怎麼遍歷文件的？

CSRF

CSRF漏洞的本質是什麼？

防護CSRF都有哪些方法，JAVA是如何防護CSRF漏洞的，token必定有用麼？

HTML5

說說HTML5有哪些新的安全特性

HTML5白名單要有哪些標籤

java

你都瞭解哪些java框架？

java的MVC結構都是作什麼的，數據流向數據庫的順序是什麼？

瞭解java沙箱嗎？

ibats的參數化查詢能不能有效的控制sql注入？有沒有危險的方法能夠形成sql注入？

說說兩次struts2漏洞的原理

ongl在這個payload中起了什麼做用？

\u0023是什麼字符的16進制編碼？爲何在payload中要用他？

java會不會發生執行系統命令的漏洞？java都有哪些語句，方法能夠執行系統命令

若是叫你修復一個xss漏洞，你會在java程序的那個層裏面進行修復？

xss filter在java程序的哪裏設置？

說下java的類反射在安全上可能存在哪些問題

中間件

tomcat要作哪些安全加固？

若是tomcat重啓的話，webapps下，你刪除的後臺會不會又回來？

數據庫

mysql數據庫默認有哪些庫？說出庫的名字

mysql的用戶名密碼是存放在那張表裏面？mysql密碼採用哪一種加密方式？

mysql表權限裏面，除了增刪改查，文件讀寫，還有哪些權限？

mysql安全要如何作？

sqlserver public權限要如何提權

Linux

簡述Linux系統安全加固須要作哪些方面

你使用什麼工具來判斷系統是否存在後門

Linux的Selinux是什麼？如何設置Selinux？

iptables工做在TCPIP模型中的哪層？

若是沒法升級內核，那麼如何保證系統不被已知的exp提權？

syslog裏面都有哪些日誌？安裝軟件的日誌去哪找？

如何查詢ssh的登陸日誌？如何配置syslog的日誌格式？

syslog可不能夠使用vi等工具直接查看？是二進制文件嗎？

信息採集

踩點都要採集哪些信息？

DNS在滲透中的做用

根據回憶總結的，有的問題可能描述的有些問題。安全的體系很大哦，冰山一角而已。