1.DVWA 是如何搭建的？

　　啟動 xampp(XAMPP(Apache+MySQL+PHP+PERL)是一個功能強大的建站集成軟件包。)下的 apache 中間件和 mysql將 dvwa 放到 xampp 下的 htdocs 目錄下在瀏覽器輸入 http://127.0.0.1/dvwa 即可使用啦！

　　2.滲透測試的流程是什么？

　　滲透測試流程概述：前期交互階段、情報搜集階段、威脅建模階段、漏洞分析階段、滲透攻擊階段(Exploitation)、后滲透攻擊階段(怎么一直控制，維持訪問)、報告階段。

　　攻擊前：網絡踩點、網絡掃描、網絡查點

　　攻擊中：利用漏洞信息進行滲透攻擊、獲取權限

　　攻擊后：后滲透維持攻擊、文件拷貝、木馬植入、痕跡擦除

　　3.xss 如何防御？

　　1）對前端輸入做過濾和編碼：

　　比如只允許輸入指定類型的字符，比如電話號格式，注冊用戶名限制等，輸入檢查需要在服務器端完成，在前端完成的限制是容易繞過的；

　　對特殊字符進行過濾和轉義；

　　2）對輸出做過濾和編碼：在變量值輸出到前端的 HTML 時進行編碼和轉義;

　　3）給關鍵 cookie 使用 http-only

　　4.IIS 服務器應該做哪些方面的保護措施？

　　1）保持 Windows 升級:

　　2）使用 IIS 防范工具

　　3）移除缺省的 Web 站點

　　4）如果你并不需要 FTP 和 SMTP 服務，請卸載它們

　　5）有規則地檢查你的管理員組和服務:

　　6）嚴格控制服務器的寫訪問權限

　　7）設置復雜的密碼

　　8）減少/排除 Web 服務器上的共享

　　9）禁用 TCP/IP 協議中的 NetBIOS:

　　10）使用 TCP 端口阻塞

　　11）仔細檢查*.bat 和*.exe 文件: 每周搜索一次*.bat

　　12）管理 IIS 目錄安全；

　　13）使用 NTFS 安全；

　　14）管理用戶賬戶

　　15）審計你的 Web 服務器:

　　5.xss 有 cookie 一定可以無用戶名密碼登錄嗎？

　　基本可以。因為把 cookie 的值給瀏覽器，瀏覽器去訪問頁面會用已有的 cookie去訪問，如果 cookie 有效，就會直接進去。

　　更多關于網絡安全培訓的問題，歡迎咨詢千鋒教育在線名師，如果想要了解我們的師資、課程、項目實操的話可以點擊咨詢課程顧問，獲取試聽資格來試聽我們的課程，在線零距離接觸千鋒教育大咖名師，讓你輕松從入門到精通。