1.注入漏洞只能查账号密码?

　　答：只要权限广，拖库脱到老。

　　2.安全狗会追踪变量，从而发现出是一句话木马吗?

　　答：是根据特征码，所以很好绕过了，只要思路宽，绕狗绕到欢，但这应该不会是一成不变的。

　　3.access 扫出后缀为 asp 的数据库文件，访问乱码，**如何实现到本地利用?

　　答：迅雷下载，直接改后缀为.mdb。

　　4.提权时选择可读写目录，为何尽量不用带空格的目录?

　　答：因为 exp 执行多半需要空格界定参数

　　5.某服务器有站点 A,B 为何在 A 的后台添加 test 用户，访问 B 的后台。发现也添加上了 test 用户?

　　答：同数据库。

　　6.注入时可以不使用 and 或 or 或 xor，直接 order by 开始注入吗?

　　答：and/or/xor，前面的 1=1、1=2 步骤只是为了判断是否为注入点，如果已经确定是注入点那就可以省那步骤去。

　　7.某个防注入系统，在注入时会提示：

　　答：系统检测到你有非法注入的行为。

　　已记录您的 ip xx.xx.xx.xx

　　时间:2016:01-23

　　提交页面:test.asp?id=15

　　提交内容:and 1=1

　　8.如何利用这个防注入系统拿 shell?

　　答：在 URL 里面直接提交一句话，这样网站就把你的一句话也记录进数据库文件了 这个时候可以尝试寻找网站的配置文件 直接上菜刀链接。

　　9.上传大马后访问乱码时，有哪些解决办法?

　　答：浏览器中改编码。

　　10.审查上传点的元素有什么意义?

　　答：有些站点的上传文件类型的限制是在前端实现的，这时只要增加上传类型就能突破限制了。

　　更多关于“网络安全培训”的问题，欢迎咨询千锋教育在线名师。千锋教育多年办学，课程大纲紧跟企业需求，更科学更严谨，每年培养泛IT人才近2万人。不论你是零基础还是想提升，都可以找到适合的班型，千锋教育随时欢迎你来试听。