更多python、Linux、网络安全学习内容,可移步:www.oldboyedu.com或关注\"老男孩Linux\"公众号
分类: 网络与安全
2021-11-11 15:18:43
经过一段时间的系统的学习后,不少小伙伴就要开始面试了,面试最关键的就是面试题了,很多同学在快要面试时,都会在网上大量搜集面试题,然后记下来,本篇文章整理了渗透测试的一些面试题,希望能帮助到大家,请看下文:
1、你平时常去哪些网站进行学习、挖漏洞提交到哪些平台?
一般去seebug、freebuf、吾爱破解、看雪论坛、阿里聚安全、PertesterLab、阿里云先知社区等。
2、常见的网站服务器容器(中间件)有哪些?
IS、Apache、Nginx、Lighttpd、Tomcat、Weblogic、Jboss。
3、一个成熟且相对安全的CMS,渗透时扫目录的意义?
敏感文件、二级目录扫描,站长的误操作等,比如:网站备份的压缩文件、说明.txt、二级目录可能存放着其他站点。
4、甲给你一个目标站,且告诉你根目录下存在/abc/目录,且此目录下存在编辑器和admin目录,你有什么想法?
直接用7KB或破壳挂字典在网站二级目录/abc/下扫描敏感文件及目录。
5、Nmap主要功能有哪些,扫描的几种方式、绕过ping扫描、漏洞检测等?
四大功能:分别为主机发现(参数-sn)、端口扫描(-sS -sU)、版本侦测(-sV)、OS侦测(-O);
扫描方式有:tcp connec()、TCP SYN scanning、TCP FIN scanning、Null scan等;
绕过ping扫描参数为:nmap -Pn XXX.XXX.XXX.XXX;
漏洞检测可直接nmap 目标 --script=auth,vuln;
6、sql注入的几种类型?
1、报错注入;2、bool型注入;3、延时注入;4、宽字节注入
7、任意文件下载防范方法有哪些?
1、过滤".",使用户在url中不能回溯上级目录;
2、正则严格判断用户输入参数的格式;
3、php.ini配置open_basedir限定文件访问范围。
