中科全安 - - 渗透实习生 - - 一面

你如何看待加班现象?

        (本人当然不想加班,哎,下面是百度的标准答案)

        针对加班的这个问题,如果是紧急工作安排需要的话,我一定听从公司的安排。但是我个人并不会刻意的为了加班而加班,因为只有高效能的产出结果才是对工作最好的回馈。我更希望通过不断提高自己的工作能力和效率,在规定的时间内完成任务,然后适当的放松一下,保证有充足的精力让我更高效地完成工作。

        如果是由于我的个人原因经常出现加班的情况,我会去反思是不是我在工作上出现了什么问题,并在平时的工作中改变和提升个人能力,争取全力以赴,通过提高自己的工作能力和工作效率,减少加班的情况。    

csrf和ssrf的区别    

        跨站请求伪造、服务器端请求伪造的主要区别在于攻击目标和攻击方式。

        CSRF攻击目标是用户,通过伪造用户请求达到攻击目标;而SSRF攻击目标是服务器,攻击者试图让服务器发起恶意请求。

        CSRF攻击通过欺骗用户浏览器实现,利用用户的身份凭证;SSRF攻击则通过构造服务器端请求来实现,攻击者试图迫使服务器发起恶意请求。

什么是同源策略

(这个是我嘴欠了,上面那条少说点,就没有这个问题了)

        同源策略是一种浏览器安全策略,设计用于阻止一个网页从一个源(域、协议和端口的组合)获取到另一个源的敏感数据。 用于防护xss 或csrf攻击

同源策略的规则要求:

  1. 协议相同: 页面发起请求的协议必须与目标URL的协议相同(http和https不同)。
  2. 域名相同: 页面发起请求的域名必须与目标URL的域名相同。
  3. 端口相同: 页面发起请求的端口号必须与目标URL的端口号相同。

1143端口和3306端口

1443   SQL     3306  MySQL

下面附一些常用的,

21      FTP                23      telnet             25     SMTP            109   POP3

1521 Oracle             6379  Redis            8080  tomcat        

常见的业务逻辑漏洞

        这块儿我不太清楚 ,大概有账户权限绕过、支付漏洞、物流漏洞、数据篡改、密码重置和账户恢复之类的。

cookie和session的区别        

        两者都是管理用户状态的机制,cookie存储在客户端,易于查看和修改,且cookie的数量和大小有限制,理论上一个域名下所有cookie总大小不能超4KB,通常用于存储小量的用户信息、用户首选项、跟踪用户行为等。。session存储在服务器上,用户无法查看和修改,理论上没有大小数量限制,实际受制于服务器资源和配置,通常用于存储较大量、对安全性要求较高的用户信息,如用户身份验证信息。

你可能感兴趣的:(面试)