网络安全工程师需要会什么?这些知识很重要(下)
1.DVWA 是如何搭建的?
启动 xampp(XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建站集成软件包。)下的 apache 中间件和 mysql将 dvwa 放到 xampp 下的 htdocs 目录下在浏览器输入 http://127.0.0.1/dvwa 即可使用啦!
2.渗透测试的流程是什么?
渗透测试流程概述:前期交互阶段、情报搜集阶段、威胁建模阶段、漏洞分析阶段、渗透攻击阶段(Exploitation)、后渗透攻击阶段(怎么一直控制,维持访问)、报告阶段。
攻击前:网络踩点、网络扫描、网络查点
攻击中:利用漏洞信息进行渗透攻击、获取权限
攻击后:后渗透维持攻击、文件拷贝、木马植入、痕迹擦除
3.xss 如何防御?
1)对前端输入做过滤和编码:
比如只允许输入指定类型的字符,比如电话号格式,注册用户名限制等,输入检查需要在服务器端完成,在前端完成的限制是容易绕过的;
对特殊字符进行过滤和转义;
2)对输出做过滤和编码:在变量值输出到前端的 HTML 时进行编码和转义;
3)给关键 cookie 使用 http-only
4.IIS 服务器应该做哪些方面的保护措施?
1)保持 Windows 升级:
2)使用 IIS 防范工具
3)移除缺省的 Web 站点
4)如果你并不需要 FTP 和 SMTP 服务,请卸载它们
5)有规则地检查你的管理员组和服务:
6)严格控制服务器的写访问权限
7)设置复杂的密码
8)减少/排除 Web 服务器上的共享
9)禁用 TCP/IP 协议中的 NetBIOS:
10)使用 TCP 端口阻塞
11)仔细检查*.bat 和*.exe 文件: 每周搜索一次*.bat
12)管理 IIS 目录安全;
13)使用 NTFS 安全;
14)管理用户账户
15)审计你的 Web 服务器:
5.xss 有 cookie 一定可以无用户名密码登录吗?
基本可以。因为把 cookie 的值给浏览器,浏览器去访问页面会用已有的 cookie去访问,如果 cookie 有效,就会直接进去。
更多关于网络安全培训的问题,欢迎咨询千锋教育在线名师,如果想要了解我们的师资、课程、项目实操的话可以点击咨询课程顾问,获取试听资格来试听我们的课程,在线零距离接触千锋教育大咖名师,让你轻松从入门到精通。