1.DVWA 是如何搭建的？

　　啟動(dòng) xampp(XAMPP(Apache+MySQL+PHP+PERL)是一個(gè)功能強(qiáng)大的建站集成軟件包。)下的 apache 中間件和 mysql將 dvwa 放到 xampp 下的 htdocs 目錄下在瀏覽器輸入 http://127.0.0.1/dvwa 即可使用啦！

　　2.滲透測(cè)試的流程是什么？

　　滲透測(cè)試流程概述：前期交互階段、情報(bào)搜集階段、威脅建模階段、漏洞分析階段、滲透攻擊階段(Exploitation)、后滲透攻擊階段(怎么一直控制，維持訪(fǎng)問(wèn))、報(bào)告階段。

　　攻擊前：網(wǎng)絡(luò)踩點(diǎn)、網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)查點(diǎn)

　　攻擊中：利用漏洞信息進(jìn)行滲透攻擊、獲取權(quán)限

　　攻擊后：后滲透維持攻擊、文件拷貝、木馬植入、痕跡擦除

　　3.xss 如何防御？

　　1）對(duì)前端輸入做過(guò)濾和編碼：

　　比如只允許輸入指定類(lèi)型的字符，比如電話(huà)號(hào)格式，注冊(cè)用戶(hù)名限制等，輸入檢查需要在服務(wù)器端完成，在前端完成的限制是容易繞過(guò)的；

　　對(duì)特殊字符進(jìn)行過(guò)濾和轉(zhuǎn)義；

　　2）對(duì)輸出做過(guò)濾和編碼：在變量值輸出到前端的 HTML 時(shí)進(jìn)行編碼和轉(zhuǎn)義;

　　3）給關(guān)鍵 cookie 使用 http-only

　　4.IIS 服務(wù)器應(yīng)該做哪些方面的保護(hù)措施？

　　1）保持 Windows 升級(jí):

　　2）使用 IIS 防范工具

　　3）移除缺省的 Web 站點(diǎn)

　　4）如果你并不需要 FTP 和 SMTP 服務(wù)，請(qǐng)卸載它們

　　5）有規(guī)則地檢查你的管理員組和服務(wù):

　　6）嚴(yán)格控制服務(wù)器的寫(xiě)訪(fǎng)問(wèn)權(quán)限

　　7）設(shè)置復(fù)雜的密碼

　　8）減少/排除 Web 服務(wù)器上的共享

　　9）禁用 TCP/IP 協(xié)議中的 NetBIOS:

　　10）使用 TCP 端口阻塞

　　11）仔細(xì)檢查*.bat 和*.exe 文件: 每周搜索一次*.bat

　　12）管理 IIS 目錄安全；

　　13）使用 NTFS 安全；

　　14）管理用戶(hù)賬戶(hù)

　　15）審計(jì)你的 Web 服務(wù)器:

　　5.xss 有 cookie 一定可以無(wú)用戶(hù)名密碼登錄嗎？

　　基本可以。因?yàn)榘?cookie 的值給瀏覽器，瀏覽器去訪(fǎng)問(wèn)頁(yè)面會(huì)用已有的 cookie去訪(fǎng)問(wèn)，如果 cookie 有效，就會(huì)直接進(jìn)去。

　　更多關(guān)于網(wǎng)絡(luò)安全培訓(xùn)的問(wèn)題，歡迎咨詢(xún)千鋒教育在線(xiàn)名師，如果想要了解我們的師資、課程、項(xiàng)目實(shí)操的話(huà)可以點(diǎn)擊咨詢(xún)課程顧問(wèn)，獲取試聽(tīng)資格來(lái)試聽(tīng)我們的課程，在線(xiàn)零距離接觸千鋒教育大咖名師，讓你輕松從入門(mén)到精通。