热门标签
热门文章
- 1【机器学习实战1】泰坦尼克号:灾难中的机器学习(一)数据预处理_泰坦尼克数据预处理
- 2opencv-python——通过cv2.distanceTransform()函数将距离转换成热力图
- 3sklearn.neighbors.KNeighborsClassifier()函数解析_kneighborsclassifier函数是干什么的
- 4【windows|008】DNS服务详解
- 5vscode 快捷键 在终端 和工作区 切换_vscode切换工作区
- 6C++11常用特性_c++11 常用特性有哪些
- 7linux磁盘管理(永久挂载)_linux磁盘管理永久挂载
- 8ASIC&FPGA&SOC_fpga asic soc
- 9Sharding-JDBC之ComplexKeysShardingAlgorithm(复合分片算法)
- 10vscode中使用终端响应卡顿_vscode终端卡住了怎么办
当前位置: article > 正文
网络安全:Web 安全 面试题.(CSRF)
作者:我家自动化 | 2024-07-04 03:58:19
赞
踩
网络安全:Web 安全 面试题.(CSRF)
网络安全:Web 安全 面试题.(CSRF)
网络安全面试是指在招聘过程中,面试官会针对应聘者的网络安全相关知识和技能进行评估和考察。这种面试通常包括以下几个方面:
(1)基础知识:包括网络基础知识、操作系统知识、密码学知识等。
(2)安全技术:如入侵检测、防火墙配置、密码管理、漏洞分析等技术的掌握程度。
(3)安全实践:评估应聘者在实际工作中解决网络安全问题的能力,如案例分析、渗透测试等。
(4)安全意识:了解应聘者对网络安全的重视程度和责任心,以及在安全事故发生时的应对能力。
(5)项目经验:询问应聘者参与过的网络安全相关项目,了解其在项目中的具体工作和贡献。
(6)沟通表达:考察应聘者的沟通能力和逻辑思维,以及解决问题的方法。
目录:
CSRF 漏洞的实战测试:Web安全 CSRF漏洞的 测试和利用.
什么是 CSRF 攻击:
CSRF 英文全称是 Cross-site request forgery,又称为“跨站请求伪造”,就是黑客引诱用户打开黑客的网站,利用用户的登陆状态发起跨站请求。
降维解释:
攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
CSRF 攻击一般怎么实现:
最容易实现的是 Get 请求,一般进入黑客网站后,可以通过设置 img 的 src 属性来自动发起请求.
在黑客的网站中,构造隐藏表单来自动发起 Post 请求
通过引诱链接诱惑用户点击触发请求,利用a标签的 href
应该如何防范 CSRF 攻击:
针对实际情况,设置关键 Cookie 的 SameSite 属性为 Strict 或 Lax
服务端验证请求来源站点(Referer、Origin)
使用 CSRF Token,服务端随机生成返回给浏览器的 Token,每一次请求都会携带不同的 CSRF Token
CSRF、SSRF 和重放攻击有什么区别:
CSRF 是跨站请求伪造攻击,由客户端发起;
SSRF 是服务器端请求伪造,由服务器发起;
重放攻击是将截获的数据包进行重放,达到身份认证等目的。
CSRF 攻击和 XSS 攻击有什么区别:
CSRF 攻击不需要将恶意代码注入用户的页面,仅仅是利用服务器的漏洞和用户的登录状态来实施攻击。
CSRF 攻击成本也比 XSS 低,用户每天都要访问大量网页,无法确认每一个网页的合法性,从用户角度来说,无法彻底防止CSRF攻击。
CSRF 的防御:
验证 Referer、添加 token
CSRF 漏洞的实战测试:Web安全 CSRF漏洞的 测试和利用.(修改 管理员账号密码.)
推荐阅读
相关标签
