xss又叫css（crosssiteＳＣＲＩＰＴ），属于被动式的攻击，跨站脚本攻击。它指的是恶意攻击者往web页面里插入恶意html代码（攻击者有时也会在网页中加入一些以.js或.vbs为后尾名的代码），当用户浏览该页之时，嵌入其中web里面的html代码会被执行，从而达到恶意用户的特殊目的。有效防范手段：对于xss跨站攻击的防范分 [更多...]

1.sql语句漏洞也就是sql注入，就是通过把sql命令插入到web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的sql命令，比如先前的很多影视网站泄露vip会员密码大多就是通过web表单递交查询字符暴出的，这类表单特别容易受到sql注入式攻击。有效防范手段：对于sql注入问题的一般处理方法是账户最小权限原则。以下几种方法推荐使用：对用户输入信息进行必要检查；对一些特殊字符进行转换或者过滤；使用强数据类型； [更多...]

网站挂马挂马就是在别人电脑里面（或是网站服务器）里植入木马程序，以盗取一些信息或者控制被挂马的电脑做一些不法的勾当（如攻击网站，传播病毒，删除资料等）。网页挂马就是在网页的源代码中加入一些代码，利用漏洞实现自动下载木马到机器里。网站挂马的形式可分为框架挂马、数据库挂马、后台挂马、服务器挂马以及其他形式的挂马方式。有效防范手段：要防止网站被挂马，可以采取禁止写入和目录禁止执行的功能，这两项功能相组合，就可以有效地防止asp木马。此外，网站管理员通过ftp上传某些数据，维护网页时，尽量不安装asp的上传程序。这对于常被asp木马影响的网站来说，会有一些帮助。当然是用专业的查杀木马工具也是不错的防护措施。 [更多...]

1、近年来利用dns劫持攻击大型网站恶性攻击事件时有发生，防范这种攻击比较有效的方法是?（）a．加强网站源代码的安全性b．对网络客户端进行安全评估c．协调运营商对域名解析服务器进行加固 [更多...]

信息系统项目管理师易混淆考点：web站点安全八要素在任何上网的过程中，建立一个web网站是不可缺少的重要内容之一，尤其是建立一个安全的信息发布平台是至关重要的。从信息发布平台内部来看，应该做到如下几点。（1）增强服务器操作系统的安全，密切关注并及时安装系统及软件的最新补丁；建立良好的账号管理制度，使用足够安全的口令，并正确设置用户访问权限。 [更多...]

信息安全工程师考试重点之3.4安全管理web服务器?随着电子商务的出现，人们开发了各种跟踪用户活动的方法，其中有两种关键方法是通过web浏览器实现的（1）ip地址和缓冲（cache）窥探。用户每次访问web服务器时都将留下痕迹。这个痕迹在不同的服务器上以不同的方法记录下来，包括访问者的ip地址，用户主机名，甚至用户名 [更多...]

安全管理web服务器，可以从以下几个方面采取一些预防措施（1）限制在web服务器开账户，定期删除一些短进程的用户（2）对在web服务器上开的账户，在口令长度及定期更改方面作出要求，防止被盗用（3）尽量在不同的服务器上运行不同的服务。尽量使ftp,mail等服务器与之分开，去掉一些无关应用（4）如不需要，尽量关闭web服务器上的特性服务。 [更多...]

web服务器的安全措施?1）从基本做起这是最保险的方式。将服务器上含有机密数据的区域都转换成ntfs格式；防毒程序也必须按时更新，建议同时在服务器和桌面计算机上安装防毒软件，这些软件可设定成每天自动下载最新的病毒定义文件。邮件服务器上也安装上防毒软件另一个保护网络的好方法是限定使用者登录网络的权限。存取网络上的任何数据都 [更多...]

信息安全工程师考试重点之定制web服务器的安全策略和安全机制安全策略是由个人或组织针对安全而制定的一整套规则和决策。每个web站点都应有一个安全策略，这些安全策略因需而异。对web服务提供者来说，安全策略的一个重要的组成是哪个人可以访问哪些web文档，同时还定义获权访问web文档的人和使用这些访问的人的有关权力和责任 [更多...]

信息安全工程师考试重点之web的优点与缺点?计算机网络技术的发展和应用，特别是internet的出现，开创了计算机应用的崭新局面。信息的交互和共享，已经突破了国界，遍及整个世界。这种互连性和开放性给社会带来了极大的效益。同时，入侵者也得到了更多的机会，他们所造成的危害也波及到了更广泛的范围。 [更多...]

信息安全工程师考试重点之web的安全需求?服务器端/客户端是分别针对网络服务器/网络工作站（客户机）设计的，承担着对当前服务器/工作站上病毒的实时监控、检测和清除，自动向系统中心报告病毒监测情况，以及自动进行升级的任务 [更多...]

web服务器常见的8种安全漏洞有：物理路径泄露、目录遍历、执行任意命令、缓冲区溢出、拒绝服务、sql注入、条件竞争、cgi漏洞。具体的表现有以下几点：（1）在web服务器上，客户得不到要访问的秘密文件、目录或重要数据 [更多...]

20世纪80年代末，berners-lee和他的助手创建了一个从各种各样资源中链接信息的接口。最终的结果是定义了url、http和html等规范，而www（worldwideweb）就基于此。 [更多...]

从硬件上来说，服务器是指具有固定的地址，并为网络用户提供服务的节点，它是实现资源共享的重要组成部分。服务器是一种高性能计算机，作为网络的节点，存储、处理网络上80％的数据、信息，因此也称为网络的灵魂。 [更多...]

web浏览器是一个安装在硬盘上用于阅读web信息的客户端的应用软件，是一个面向www的窗口。浏览器在很大程度上决定了能看到或不能看到什么，能做或不能做什么。浏览器在网络上与web服务器打交道，从服务器上下载文件，把在互联网上找到的文本文档（和其他类型的文件）翻译成网页。 [更多...]

信息安全工程师考试重点之http协议http（超文本传输协议）是www浏览器和www服务器之间的应用层通信协议，是用于分布式协作超文本信息系统的、通用的、面向对象的协议。它是c/s（client/server）结构的协议，允许用户接收另一台计算机上的信息。 [更多...]

[更多...]

[更多...]

威胁网络安全的主要因素有（）。1.信息系统的安全漏洞层出不穷2.日益成熟的黑色产业链推动木马与僵尸网络不断增长。3.篡改网站、网络仿冒以及恶意代码是排名前三的安全威胁。4.p2p下载、网络游戏、即时聊天等应用占据互联网主要业务流量。5.不断变化的业务模型和信任模型使安全防护变的越发复杂 [更多...]

信管网2020年上半年信息安全工程师精讲课程“分组密码之aes算法”已上传，课程时长33分钟，各位信息安全工程师培训学员可以登陆信管网观看课程和作答课后习题。课程名称：分组密码之aes算法 [更多...]