最近作为新员工的第一轮面试官,我也不懂怎么面试,那就来给我解释解释专有名词吧,谁解释的好,解释的通俗,那么通过面试的机会就大,我的面试问题如下,请使用一句话解释以下漏洞概念:
什么是SQL注入?
把SQL命令插入到web表单中,欺骗服务器执行SQL命令
【Web安全】SQL注入攻击防范
SQL注入攻击语义引擎分析
什么是跨站脚本(XSS)注入?
向web表单中提交JavaScript恶意脚本代码,典型的script、alert
【Web安全】XSS攻击防范
XSS注入攻击语义引擎分析
什么是跨站请求伪造(CSRF)?
引诱用户访问黑客伪造的网站,触发自动提交正常网站业务的恶意操作
【Web安全】CSRF攻击防范
什么是文件上传漏洞?
上传一个可执行的脚本,获得执行命令的能力
什么是文件下载漏洞?
下载网站源码、配置信息
什么是目录遍历漏洞?
暴力遍历web服务目录
什么是本地文件包含漏洞(LFI)?
包含另一个本地php文件的功能
什么是远程文件包含漏洞(RFI)?
包含另一个远程php文件的功能
什么是全局变量覆盖漏洞?
将Environment、GET、POST、Cookie、Server注册为全局变量
什么是代码执行漏洞?
向web页面提交恶意代码,如system()、eval()、exec()
什么是信息泄露漏洞?
web页面返回过多信息
什么是弱口令漏洞?
密码强度太弱,比如123456
什么是缓冲区溢出漏洞?
字符串长度超过预期,导致函数栈被破坏
【软件安全】缓冲区溢出攻防
【软件安全】R-2-Libc攻防
从春节12响浅谈漏洞利用
什么是Cookie欺骗?
常见QQ空间,诱骗别人点击,获得别人Cookie
然后使用Cookie绕过登陆页面,发送涩情广告
什么是命令注入?
涉及到cmd,bash命令行的恶意操作
下面有请【漏洞课代表】回答一下:什么是反序列化漏洞?
