信息安全⾯试题整理
哪有mysql培训教程1、如何删除10天前的⽇志记录
删除⼗天前的⽇志使⽤的命令:    find /usr/local/apache-tomcat/l0g/ -type f -mtime +10 -exec rm -rfv { }  \;
find /usr/local/apache-tomat/logs/ -type f -mtime +10 -exec rm -rfv {} \;
find  /usr/local/nginx/logs/*log-* -type f -mtime +10 -exc rm -rfv {} \;php源码怎么查看
其中 find -mtime : mtime 表⽰修改时间        find -type f :表⽰查⽂件排除⽬录  D 和连接 I
state filename :表⽰⽂件状态
touch -m -t " 0507150202"  filename  :更新⽂件的修改时间  -t 的格式是 YYMMDDHHMM
find -mtime +10 -exec rm -rfv {} \;  ⼗天前所有的⽂件,不包括是第⼗天⽂件
find -mtime 10 -exec rm -rfv {} \;  ⼗天前当天⼀天的⽂件
find -mtime -10 -exec rm -rfc {} 10天内,包括今天的⽂件,但是不包括第⼗天的⽂件。
2、常见的服务端⼝号
weblogic 7001    mssql  1433(Server 数据库)    1434(Monitor数据监控系统)uniapp源码下载
MySQL 3306  jboos 8080    tomact  8080  websohere:9080    snmp:161    rsync: 6379  oracle :1521  memache :11211
3、渗透测的流程
前期交互阶段、情报收集阶段、威胁建模阶段、漏洞分析阶段、渗透攻击阶段、后渗透攻击阶段、报告阶段、
攻击前:⽹络踩点,⽹络扫描,⽹络差点,信息收集
攻击中:利⽤漏洞信息进⾏渗透测试攻击,获取权限
攻击后:收后渗透测试为耻攻击、⽂件拷贝、⽊马移植,痕迹擦除
4、XSS漏洞如何防御
XSSH原称是CSS(Cross-Site-Scripting)涉及的参与者是攻击者、⽤户、WEB Server 。俗称跨站脚
createnewfile报错permission denied本攻击。XSS可以分成反射性XSS 和持久性XSS,还有DOM Based  XSS .(XSS就是攻击者在⽤户浏览器中执⾏攻击者⾃⼰定制的脚本获取信息的)
反射性XSS (⾮持久性)⽤户点击连接,服务器解析响应,在返回的响应内容中出现攻击者的XSS代码,被浏览器执⾏,XSS攻击脚本被WEBserver反馈给浏览器执⾏,随意层为反射性XSS
攻击的特点代码⾮持久性,没有保存到WEBserver中,⽽是出现在URL地址中⾮持久性攻击,
exercise book怎么读持久性XSS攻击
区别就是攻击者将恶意的代码存储在WebServer中,这样,每⼀个访问者访问特定的⽹页都会被攻击
特点: XSS代码存储在WEB Server  ,攻击者⼀般通过⽹站的浏览评论区域博客⽇志等功能(凡是能⼯访问web Server 输⼊内容的地⽅),将代码存储在微博Server上。有时候持久性的XSS和反射性的XSS同时使⽤,
DOM Based XSS 基于DOM的XSS,web Server不参与其中仅仅是涉及到浏览器的XSS,⽐如根据⽤户的输⼊来动态构造⼀个DOM点,如果对⽤户的输⼊没有进⾏过滤,也就会导致XSS攻击产⽣。
XSS存在的原因是,对于⽤户提交给WebServer的数据没有进⾏充分的过滤,,但是还是可以绕过去,可以通过escape |  encodeURLComponent 、⼗六进制、10进制、8进制来绕过XSS。
XSS的防御措施:
mysql面试题学生表总体的⽅法是对输出的URL进⾏过滤,对输出进⾏编码。(对所有提交的数据进⾏过滤,对动态输出的页⾯的内容进⾏HTML编码,使⽤脚本⽆法在浏览器中这次昂,可以拦截⼤部分XSS)
对输⼊的URL参数进⾏⽩名单过滤,对特殊字符进⾏过滤和转义。给关键的COOKie使⽤http-omly
HTTP-only  t通过JS脚本将⽆法读取cookie信息,这样防⽌XSS攻击。
ARP欺骗,针对以太⽹地址解析协议(ARP)的⼀种攻击技术,同归欺域⽹诶访问者PC的⽹关AMC地址,是访问者以为攻击者更改后的MAC地址是⽹关MAC地址,导致⽹络不通,此种攻击让攻击者获取获取局域⽹上的数据包甚⾄可以篡改数据包,防⽌APR侵害的⽅法是将每⼀台计算机的APR改成静态的⽅式,不过这在⼤型⽹络上是不可⾏的,因为经常更改APR表。另⼀种⽅式是DHCP snooping 。
4、信息安全的概述性题⽬
信息安全的三要素:保密性、万整性、可⽤性。
no-repudiation  (不可否认性),
AES:数组长度是128⽐特密钥长度是 128/192/256⽐特  5、渗透测试的步骤
侦查、扫描(端⼝扫描、漏洞扫描)、漏洞利⽤维持访问。6、

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。