360面试笔试10题(360面试有几轮)
zhezhongyun 2025-07-19 23:58 35 浏览
1、如果存在 SQL 注入怎么判断不同的数据库。
注释符判断
/*是 MySQL 中的注释符,返回错误说明该注入点不是 MySQL,
继续提交如下查询字符:
–是 Oracle 和 MSSQL 支持的注释符,如果返回正常,则说明为这两种数据库类型之一。
继续提交如下查询字符:
;是子句查询标识符,Oracle 不支持多行查询,因此如果返回错误,则说明很可能是 Oracle 数据库。
函数判断
and (select count(*)from MSysAccessObjects)>0 access 数据库
and (select count(*)from sysobjects)>0 返回正常说明是 mssql 数据库
and length(user())>10 返回正常说明是 Mysql
Oracle 可以根据 from dual 虚拟库判断
2、简述下浏览器的自解码机制。
HTML 解码->URL 解码(目前只发现 a 标签的 href 属性会进行该解码)->JS 解码
3、拿到目标站怎么进行渗透,需要注意什么。
收集信息:whois、网站源 IP、旁站、C 段网站、服务器系统版本、容器版本、 程序版本、数据库类型、二级域名、防火墙、维护者信息另说… 然后对应端口和漏洞进行攻击。 注意尽量不要使用工具,不影响正常业务。
4、CSRF 漏洞的原理是什么?怎么修复?
原理:利用网站对用户标识的信任,欺骗用户的浏览器发送 HTTP 请求给目标站。
防御的三种策略:
(1)验证 HTTP referer 字段
(2)请求地址中添加 token 并验证 token 作用:服务器端会对 Token 值进行验证,判断是否和 session 中的 Token 值相等
(3)在 http 头中自定义属性并验证
5、代码审计怎么做?
根据敏感函数,逆向追踪参数传递的过程
比如 seay 源代码审计系统,利用正则匹配一些高危函数、关键函数以及敏感关键字,分析 判断敏感函数的上下文,追踪参数源头,尝试控制可控的参数变量。
6、哪些漏洞是 WAF 不能防御的?请举出至少三类漏洞。
逻辑漏洞,CSRF,SSRF
7、考虑以下场景:一个多用户的博客系统(类似于 CSDN),普通用户登陆到个人中心后, 发现删除自己某篇文章所请求的 URI 为 delete.php?article_id=24,请考虑这个地方最有可能 出现哪些安全问题?
(1)id=24,利用 24-1 检查页面变化,' " ') ')) ") "))字符闭合进行测试,可能存在注入
(2)通过修改24这个参数,可能会实现任意文章删除
8、PHP5 环境下,如果配置文件中 magic_quotes_gpc 为 On,则 PHP 会对请求参数中的哪些 字符进行自动转义?
该参数为魔术引号,对' " \及 NULL 进行转义
9、使用 sqlmap 工具进行 sql 注入漏洞利用时,可以尝试使用()选项获取一个操作系统 shell。
sqlmap --os-shell
原理为通过outfile和dumpfile功能,向网站目录写入php代码,执行系统命令
10、渗透时后端环境是 apache+php+mysql 的情况下,利用 sql 注入写 webshell 一般来说需 要满足三个条件:1.mysql 用户需要有()权限;2.需要知道()路径;3.()(符号)不能 被过滤。
条件:mysql 用户需要有写权限,需要知道网站根目录的绝对路径,< > ' " 不能被过滤相关推荐
- Python入门学习记录之一:变量_python怎么用变量
-
写这个,主要是对自己学习python知识的一个总结,也是加深自己的印象。变量(英文:variable),也叫标识符。在python中,变量的命名规则有以下三点:>变量名只能包含字母、数字和下划线...
- python变量命名规则——来自小白的总结
-
python是一个动态编译类编程语言,所以程序在运行前不需要如C语言的先行编译动作,因此也只有在程序运行过程中才能发现程序的问题。基于此,python的变量就有一定的命名规范。python作为当前热门...
- Python入门学习教程:第 2 章 变量与数据类型
-
2.1什么是变量?在编程中,变量就像一个存放数据的容器,它可以存储各种信息,并且这些信息可以被读取和修改。想象一下,变量就如同我们生活中的盒子,你可以把东西放进去,也可以随时拿出来看看,甚至可以换成...
- 绘制学术论文中的“三线表”具体指导
-
在科研过程中,大家用到最多的可能就是“三线表”。“三线表”,一般主要由三条横线构成,当然在变量名栏里也可以拆分单元格,出现更多的线。更重要的是,“三线表”也是一种数据记录规范,以“三线表”形式记录的数...
- Python基础语法知识--变量和数据类型
-
学习Python中的变量和数据类型至关重要,因为它们构成了Python编程的基石。以下是帮助您了解Python中的变量和数据类型的分步指南:1.变量:变量在Python中用于存储数据值。它们充...
- 一文搞懂 Python 中的所有标点符号
-
反引号`无任何作用。传说Python3中它被移除是因为和单引号字符'太相似。波浪号~(按位取反符号)~被称为取反或补码运算符。它放在我们想要取反的对象前面。如果放在一个整数n...
- Python变量类型和运算符_python中变量的含义
-
别再被小名词坑哭了:Python新手常犯的那些隐蔽错误,我用同事的真实bug拆给你看我记得有一次和同事张姐一起追查一个看似随机崩溃的脚本,最后发现罪魁祸首竟然是她把变量命名成了list。说实话...
- 从零开始:深入剖析 Spring Boot3 中配置文件的加载顺序
-
在当今的互联网软件开发领域,SpringBoot无疑是最为热门和广泛应用的框架之一。它以其强大的功能、便捷的开发体验,极大地提升了开发效率,成为众多开发者构建Web应用程序的首选。而在Spr...
- Python中下划线 ‘_’ 的用法,你知道几种
-
Python中下划线()是一个有特殊含义和用途的符号,它可以用来表示以下几种情况:1在解释器中,下划线(_)表示上一个表达式的值,可以用来进行快速计算或测试。例如:>>>2+...
- 解锁Shell编程:变量_shell $变量
-
引言:开启Shell编程大门Shell作为用户与Linux内核之间的桥梁,为我们提供了强大的命令行交互方式。它不仅能执行简单的文件操作、进程管理,还能通过编写脚本实现复杂的自动化任务。无论是...
- 一文学会Python的变量命名规则!_python的变量命名有哪些要求
-
目录1.变量的命名原则3.内置函数尽量不要做变量4.删除变量和垃圾回收机制5.结语1.变量的命名原则①由英文字母、_(下划线)、或中文开头②变量名称只能由英文字母、数字、下画线或中文字所组成。③英文字...
- 更可靠的Rust-语法篇-区分语句/表达式,略览if/loop/while/for
-
src/main.rs://函数定义fnadd(a:i32,b:i32)->i32{a+b//末尾表达式}fnmain(){leta:i3...
- C++第五课:变量的命名规则_c++中变量的命名规则
-
变量的命名不是想怎么起就怎么起的,而是有一套固定的规则的。具体规则:1.名字要合法:变量名必须是由字母、数字或下划线组成。例如:a,a1,a_1。2.开头不能是数字。例如:可以a1,但不能起1a。3....
- Rust编程-核心篇-不安全编程_rust安全性
-
Unsafe的必要性Rust的所有权系统和类型系统为我们提供了强大的安全保障,但在某些情况下,我们需要突破这些限制来:与C代码交互实现底层系统编程优化性能关键代码实现某些编译器无法验证的安全操作Rus...
- 探秘 Python 内存管理:背后的神奇机制
-
在编程的世界里,内存管理就如同幕后的精密操控者,确保程序的高效运行。Python作为一种广泛使用的编程语言,其内存管理机制既巧妙又复杂,为开发者们提供了便利的同时,也展现了强大的底层控制能力。一、P...
- 一周热门
- 最近发表
- 标签列表
-
- HTML 教程 (33)
- HTML 简介 (35)
- HTML 实例/测验 (32)
- HTML 测验 (32)
- JavaScript 和 HTML DOM 参考手册 (32)
- HTML 拓展阅读 (30)
- HTML文本框样式 (31)
- HTML滚动条样式 (34)
- HTML5 浏览器支持 (33)
- HTML5 新元素 (33)
- HTML5 WebSocket (30)
- HTML5 代码规范 (32)
- HTML5 标签 (717)
- HTML5 标签 (已废弃) (75)
- HTML5电子书 (32)
- HTML5开发工具 (34)
- HTML5小游戏源码 (34)
- HTML5模板下载 (30)
- HTTP 状态消息 (33)
- HTTP 方法:GET 对比 POST (33)
- 键盘快捷键 (35)
- 标签 (226)
- opacity 属性 (32)
- transition 属性 (33)
- 1-1. 变量声明 (31)