千锋教育-做有情怀、有良心、有品质的职业教育机构

当前位置:首页  >  IT面试题  >  网络安全面试题  >  正文

网络攻击方案有哪些,自己有写过什么安全性方面的东西吗?

来源:千锋教育
作者:wjy
关键词: 北京 大连
2022-09-26
分享

  1. iframe

  2. opener

  3. CSRF(跨站请求伪造)

  4. XSS(跨站脚本攻击)

  5. ClickJacking(点击劫持)

  6. HSTS(HTTP严格传输安全)

  7. CND劫持 很难通过技术手段完全避免 XSS,但我们可以总结以下原则减少漏洞的产生:

网络攻击方案有哪些

  - 利用模板引擎开启模板引擎自带的HTML转义功能。例如: 在ejs中,尽量使用 <%= data %>而不是 <%- data %>;在doT.js 中,尽量使用 {{! data } 而不是 {{= data };在 FreeMarker中,确保引擎版本高于 2.3.24,并且选择正确的 freemarker.core.OutputFormat。

  - 避免内联事件 尽量不要使用 onLoad="onload('{{data}}')"、onClick="go('{{action}}')" 这种拼接内联事件的写法。在 JavaScript 中通过 .addEventlistener() 事件绑定会更安全。

  - 避免拼接HTML前端采用拼接HTML的方法比较危险,如果框架允许,使用createElement、 setAttribute 之类的方法实现。或者采用比较成熟的渲染框架,如 Vue/React 等。

  - 时刻保持警惕在插入位置为DOM属性、链接等位置时,要打起精神,严加防范。

  - 增加攻击难度,降低攻击后果通过CSP、输入长度配置、接口安全措施等方法,增加攻击的难度,降低攻击的后果。

  - 主动检测和发现 可使用 XSS 攻击字符串和自动扫描工具寻找潜在的 XSS 漏洞。

声明:本站稿件版权均属千锋教育所有,未经许可不得擅自转载。

相关推荐

  • 电子邮件存在哪些安全性问题? 4)通过电子邮件传播的病毒通常用VBScript编写,且大多数采用附件的形式夹带在电子邮件中。当收信人打开附件后,病毒会查询他的通讯簿,给其上所有或部分人发信,并将自身放入附件中,以此方式继续传播扩散。
  • 常规加密密钥的分配有几种方案,请对比下它们的优缺点。 由-一个中心节点或者由一-组节 点组成层次结构负责密钥的产生并分配给通信的双方,在这种方式下,用户不需要保存大量的会话密钥,只需要保存同中心节点的加密密钥,用于安全传送由中心节点产生的即将用于与第三方通信的会话密钥。这种方式缺点是通信量大,同时需要较好的鉴别功能以鉴别中心节点和通信方。
  • 网络安全面试题5道 包过滤是一种安全机制,它控制哪些数据包可以进出网络,而哪些数据包应被网络拒绝。包过滤路由器是具有包过滤特性的一种路由器。在对包做出路由决定时,普通路由器只依据包的目的地址引导包,而包过滤路由器就必须依据路由器中的包过滤规则做出是否引导该包的决定。
  • 网络安全面试题4道 1、DDos 攻击原理及防御  答:客户端向服务端发送请求链接数据包,服务端向客户端发送确认数据包,客户端不向服务端发送确认数据包,服务器一直等待来自客户端的确认.没有彻底根治的办法,除非不使用TCP.
  • 什么是SQL注入攻击?如何防范? 攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。
  • 你常用的渗透工具有哪些,最常用的是哪个? 你常用的渗透工具有哪些,最常用的是哪个? 答:burp:Burp Suite与Web浏览器配合使用,可发现给定APP的功能和安全问题,是发起定制攻击的基础。目前免费版本功能有限,但付费版本提供全面的网络爬取和扫描功能;多攻击点;基于范围的配置。它可用于自动化重复功能,提供APP与服务器互动的良好视图。