1.DVWA 是如何搭建的？

　　启动 xampp(XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建站集成软件包。)下的 apache 中间件和 mysql将 dvwa 放到 xampp 下的 htdocs 目录下在浏览器输入 http://127.0.0.1/dvwa 即可使用啦！

　　2.渗透测试的流程是什么？

　　渗透测试流程概述：前期交互阶段、情报搜集阶段、威胁建模阶段、漏洞分析阶段、渗透攻击阶段(Exploitation)、后渗透攻击阶段(怎么一直控制，维持访问)、报告阶段。

　　攻击前：网络踩点、网络扫描、网络查点

　　攻击中：利用漏洞信息进行渗透攻击、获取权限

　　攻击后：后渗透维持攻击、文件拷贝、木马植入、痕迹擦除

　　3.xss 如何防御？

　　1）对前端输入做过滤和编码：

　　比如只允许输入指定类型的字符，比如电话号格式，注册用户名限制等，输入检查需要在服务器端完成，在前端完成的限制是容易绕过的；

　　对特殊字符进行过滤和转义；

　　2）对输出做过滤和编码：在变量值输出到前端的 HTML 时进行编码和转义;

　　3）给关键 cookie 使用 http-only

　　4.IIS 服务器应该做哪些方面的保护措施？

　　1）保持 Windows 升级:

　　2）使用 IIS 防范工具

　　3）移除缺省的 Web 站点

　　4）如果你并不需要 FTP 和 SMTP 服务，请卸载它们

　　5）有规则地检查你的管理员组和服务:

　　6）严格控制服务器的写访问权限

　　7）设置复杂的密码

　　8）减少/排除 Web 服务器上的共享

　　9）禁用 TCP/IP 协议中的 NetBIOS:

　　10）使用 TCP 端口阻塞

　　11）仔细检查*.bat 和*.exe 文件: 每周搜索一次*.bat

　　12）管理 IIS 目录安全；

　　13）使用 NTFS 安全；

　　14）管理用户账户

　　15）审计你的 Web 服务器:

　　5.xss 有 cookie 一定可以无用户名密码登录吗？

　　基本可以。因为把 cookie 的值给浏览器，浏览器去访问页面会用已有的 cookie去访问，如果 cookie 有效，就会直接进去。

　　更多关于网络安全培训的问题，欢迎咨询千锋教育在线名师，如果想要了解我们的师资、课程、项目实操的话可以点击咨询课程顾问，获取试听资格来试听我们的课程，在线零距离接触千锋教育大咖名师，让你轻松从入门到精通。