1.DVWA 是如何搭建的？

　　啟動 xampp(XAMPP(Apache+MySQL+PHP+PERL)是一個功能強(qiáng)大的建站集成軟件包。)下的 apache 中間件和 mysql將 dvwa 放到 xampp 下的 htdocs 目錄下在瀏覽器輸入 http://127.0.0.1/dvwa 即可使用啦！

　　2.滲透測試的流程是什么？

　　滲透測試流程概述：前期交互階段、情報搜集階段、威脅建模階段、漏洞分析階段、滲透攻擊階段(Exploitation)、后滲透攻擊階段(怎么一直控制，維持訪問)、報告階段。

　　攻擊前：網(wǎng)絡(luò)踩點(diǎn)、網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)查點(diǎn)

　　攻擊中：利用漏洞信息進(jìn)行滲透攻擊、獲取權(quán)限

　　攻擊后：后滲透維持攻擊、文件拷貝、木馬植入、痕跡擦除

　　3.xss 如何防御？

　　1）對前端輸入做過濾和編碼：

　　比如只允許輸入指定類型的字符，比如電話號格式，注冊用戶名限制等，輸入檢查需要在服務(wù)器端完成，在前端完成的限制是容易繞過的；

　　對特殊字符進(jìn)行過濾和轉(zhuǎn)義；

　　2）對輸出做過濾和編碼：在變量值輸出到前端的 HTML 時進(jìn)行編碼和轉(zhuǎn)義;

　　3）給關(guān)鍵 cookie 使用 http-only

　　4.IIS 服務(wù)器應(yīng)該做哪些方面的保護(hù)措施？

　　1）保持 Windows 升級:

　　2）使用 IIS 防范工具

　　3）移除缺省的 Web 站點(diǎn)

　　4）如果你并不需要 FTP 和 SMTP 服務(wù)，請卸載它們

　　5）有規(guī)則地檢查你的管理員組和服務(wù):

　　6）嚴(yán)格控制服務(wù)器的寫訪問權(quán)限

　　7）設(shè)置復(fù)雜的密碼

　　8）減少/排除 Web 服務(wù)器上的共享

　　9）禁用 TCP/IP 協(xié)議中的 NetBIOS:

　　10）使用 TCP 端口阻塞

　　11）仔細(xì)檢查*.bat 和*.exe 文件: 每周搜索一次*.bat

　　12）管理 IIS 目錄安全；

　　13）使用 NTFS 安全；

　　14）管理用戶賬戶

　　15）審計(jì)你的 Web 服務(wù)器:

　　5.xss 有 cookie 一定可以無用戶名密碼登錄嗎？

　　基本可以。因?yàn)榘?cookie 的值給瀏覽器，瀏覽器去訪問頁面會用已有的 cookie去訪問，如果 cookie 有效，就會直接進(jìn)去。

　　更多關(guān)于網(wǎng)絡(luò)安全培訓(xùn)的問題，歡迎咨詢千鋒教育在線名師，如果想要了解我們的師資、課程、項(xiàng)目實(shí)操的話可以點(diǎn)擊咨詢課程顧問，獲取試聽資格來試聽我們的課程，在線零距離接觸千鋒教育大咖名師，讓你輕松從入門到精通。