绿盟面试题Miss记录

面试题记录

1. 负载均衡的常见算法

我的回答：轮询
正确答案：轮询、随机、加权轮询、加权随机、源地址hash、最小连接数

2. nginx代理https

我的回答：当时是用了一个一个配置生成工具，后来查看配置文件知道了是监听了一个443端口，然后配置了一些ssl证书认证相关的参数。

正确答案：

3. 既然你刚刚提到了ssl证书认证，那你就讲讲ssl的认证过吧？？？？？？？？？？

我的回答：私钥加密公钥解密进行身份验证，然后传输数据，然后解密数据（瞎答）

正确答案：

4. 那再说说浏览器对百度进行https请求是怎么进行身份验证的？

我的回答：CA证书。。。。。（面试官说:具体说说呢，我：不知道了（尬笑）。。。。。。）

正确答案：（1）浏览器（客户端）发起请求，并将自己支持的加密算法发送到服务端
（2）服务端接收到请求，从加密算法中选择一种加密方式和一种HASH方式，生成公钥与私钥，并将公钥与支持的加密算法以CA证书的形式发回给客户端
（3）客户端收到服务端证书后，验证证书合法性（办证机构、有效时间、证书包含的网址）
（4）证书验证合法之后（以上为服务器身份验证阶段），客户端生成一个随机数，并将随机数以证书加密形成握手信息，并将握手信息以协商一直的方式进行的HASH, 并将握手消息+握手消息HASH值(签名)用随机数加密后发送到服务端（握手信息hash是为了防止握手信息被篡改）
（5）服务端接收到客户端的加密数据后，以私钥解密握手消息（公钥加密的随机数）（私钥加密公钥解密身份验证，公钥加密私钥解密数据传输），获得随机数，然后用随机数解密加密后的握手消息+握手消息HASH值(签名)内容，获取hash值，比对当前收到的握手消息与解密获得的hash值是否一致，一致则用随机密码加密一段握手消息(握手消息+握手消息的HASH值 )给客户端
（7）客户端以随机数解密，校验握手信息一直，则握手成功
（8）之后的服务器与客户端通信数据然后就用随机数进行数据加密传输

CA证书的校验

2.2  客户端如何验证 证书的合法性？

1. 验证证书是否在有效期内。
　　在服务端面返回的证书中会包含证书的有效期，可以通过失效日期来验证 证书是否过期

2. 验证证书是否被吊销了。
　　被吊销后的证书是无效的。验证吊销有CRL(证书吊销列表)和OCSP(在线证书检查)两种方法。
证书被吊销后会被记录在CRL中，CA会定期发布CRL。应用程序可以依靠CRL来检查证书是否被吊销了。
CRL有两个缺点，一是有可能会很大，下载很麻烦。针对这种情况有增量CRL这种方案。二是有滞后性，就算证书被吊销了，应用也只能等到发布最新的CRL后才能知道。
增量CRL也能解决一部分问题，但没有彻底解决。OCSP是在线证书状态检查协议。应用按照标准发送一个请求，对某张证书进行查询，之后服务器返回证书状态。
OCSP可以认为是即时的（实际实现中可能会有一定延迟），所以没有CRL的缺点。
 
3. 验证证书是否是上级CA签发的。
windows中保留了所有受信任的根证书，浏览器可以查看信任的根证书，自然可以验证web服务器的证书，
是不是由这些受信任根证书颁发的或者受信任根证书的二级证书机构颁发的（根证书机构可能会受权给底下的中级证书机构，然后由中级证书机构颁发中级证书）
在验证证书的时候，浏览器会调用系统的证书管理器接口对证书路径中的所有证书一级一级的进行验证，只有路径中所有的证书都是受信的，整个验证的结果才是受信

5. 漏扫的原理，扫描的方式

我的回答：爬取站点的url，然后对页面进行poc验证。。。。
正确回答：

6. 装饰器是什么，平时用装饰器干什么

7. python代码的调试（Django）

8. waf的原理，nginx的HTTP请求阶段，可以防护的攻击类型

waf的原理:
nginx的11个http请求阶段：
post_read -> server_rewrite -> find_config -> rewrite -> rewrite_post -> preaccess -> access -> access_post -> try_file -> content -> log
不能使用ngx_http_handle_py的阶段有四个：find_config，rewrite_post，access_post，try_file，这四个阶段属于http框架自身实现，不能进行额外操作处理用户请求。

9. TCP协议序列号的作用

10. docker的原理，docker和虚拟机的区别，docker的网络是什么原理