Web安全面试准备一
之前实习面试时准备的资料,现在论文和工作都差不多定了,想起来可以分享一下,其中很多资料源于网络,也包含了部分自己的理解,现在回馈于网络,希望对准备面试的小伙伴们或许能起到一点帮助
OWASP TOP 10
注入
失效的身份认证(密码转储、字典攻击、钓鱼或社会工程之后发现失效的身份认证)
敏感数据泄漏(攻击者不是直接攻击,而是在传输过程中或从客户端窃取密钥、中间人攻击或者从服务器端窃取明文数据)
XML外部实体(XXE)
失效的访问控制(比如越权 CORS配置错误导致允许未授权的API访问)
安全配置错误
跨站脚本(XSS)
不安全的反序列化
使用含有已知漏洞的组件
不足的日志记录和监控
SQ
...