前言
总结了一些面试题,大家看看吧!
1.如果给你一个XSS盲打漏洞,但是返回来的信息显示,他的后台是在内网,并且只能使用内网访问,那么你怎么利用这个XSS?
必须是selfxss+csrf+ssrf到getshel
2.php的LFI,本地包含漏洞原理是什么?写一段带有漏洞的代码。
如果允许客户端用户输入控制动态包含在服务器端的文件,会导致恶意代码的执行及敏感信息泄露,主要包括本地文件包含和远程文件包含两种形式。常见包含函数有:include()、require()区别:include是当代码执行到它的时候才加载文件,发生错误的时候只是给一个警告,然后继续往下执行require是只要程序一执行就会立即调用文件,发生错误的时候会输出错误信息,并且终止脚本的运行
?phpinclude($_GET[f]);?
3.CSRF漏洞的本质是什么?
本质就是xss
4.你都了解哪些java框架?
spring和struts2框架
5.ibats的参数化查询能不能有效的控制sql注入?有没有危险的方法可以造成sql注入?
SQL注入主要的是因为文本框的内容和SQL连接以后会改变SQL的语义,例如:文本框包含单引号什么的参数化查询就可以将这些内容独立作为参数,本身的语句不会改变。
需要渗透面试题的