- 博客(24)
- 收藏
- 关注
RSS订阅原创 安全服务面试题(XSS&文件上传)
所以黑盒怎么测试妮?先传一个正常图片,然后看看这个地方上传是否有用,然后再传一个jpg后缀的图片马,看看对内容会不会检测,然后再尝试改包,看看是不是前端验证,然后尝试下看看是黑名单还是白名单机制,然后最后尝试条件竞争。当然需要信息收集,信息收集中对web容器和用的动态语言和动态语言版本对文件上传非常有用,一个ASP的站,你传一个PHP的马,如果说没有特殊设置,那么这个马是不可能执行(但是有些情况下,他设置了解析,也是可以解析的)然后web容器也会存在一些解析漏洞,如iis6.0畸形解析、CGI解析漏洞。
2023-02-27 11:01:18
592
原创 真题-03
可基于一个或多个vlan实现无环路的树,实现了链路负载冗余,多个vlan被阻塞的端口无直接关系,并实现了快速收敛。网络质量分析NQA是一种实时的网络性能探测和统计技术,可以对响应时间、网络抖动、丢包率等网络指标进行统计;逻辑上将一个广播域划分成多个广播域,实现控制广播、增强网络安全性、简化网络管理。基于一个vlan形成无环路的树,解决广播风暴并实现链路冗余;统计从非根网桥到根网桥所有网桥出接口速率对应的开销之和;:无连接、不可靠的传输协议但花费的开销小、效率高。面向连接的、可靠的进程到进程通信的协议。
2022-11-09 15:00:49
216
原创 真题-01
当第一台DNS服务器向第二台DNS服务器提出查询请求后,如果第2台DNS服务器上没有所需要的数据,它会向第3台DNS服务器的IP地址个第一台服务器,让第一台服务器向第3台服务器查询。1、递归查询:DNS客户端发送请求后,如果DNS服务器内没有所需记录,则该服务器会代替客户端向其他DNS服务器查询,由DNS客户端发送的查询请求一般属于递归查询。动态磁盘:跨域物理空间,指的是对两个物理硬盘的操作,比如分区,比如E盘,跨越了两个物理硬盘,分别使用A、B两块物理磁盘的空间,分别使用A、B物理磁盘的部分空间。
2022-11-09 14:59:52
845
原创 真题-02
计算机发展主要分为三个阶段,第一个阶段是在上世纪60年代,标志是ARPANET。资源共享:是指构成系统的所有要素,包括软、硬件资源,如:计算处理能力、大容量磁盘、高速打印机、绘图仪、通信线路、数据库、文件和其他计算机上的有关信息。3.目标主机回应该泛洪,交换机记录目标主机MAC地址与接口对应关系,后续通过MAC表实现单播通信。Cat 5e:衰减更小,串扰更少,性能优于5类线,1000Mbps。白橙、橙、白绿、蓝、白蓝、绿、白棕、棕。传输层:建立、维护、管理端到端连接。会话层:建立、维护、管理会话连接。
2022-11-09 14:56:08
191
原创 计算机网络基础
计算机网络基础计算机网络硬件方面:通过线缆将网络设备和计算机连接起来。软件方面:操作系统应用软件应用程序通过通信线路互连实现资源共享、信息传递计算机网络功能数据通信、资源共享增强可靠性提高系统处理能力计算机网络发展第一阶段:有了技术标志性事件:ARPNET关键技术:分组交第二阶段:统一标准标志性事件:NSFNet关键技术:TCP/IP,一组协议第三阶段:Web技术的主要目的是为了让用户更好的获得数据。标志性事件:浏览器Mosaic关键技术:Web技术。
2022-11-06 22:53:44
580
原创 NISP-5
B、信息系统都是在一定的自然环境下运行,自然灾害对信息系统的威胁时多方面的,地震、火灾、水灾等各种自然灾害都可能对信息系统造成灾难性破坏。A、信息安全事件,是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。A.在实际应用中,密码协议应按照灵活性好、可扩展性高的方式制定,不要限制和框住的执行步骤,有些复杂的步骤可以不明确处理方式。C.根据密码协议应用目的的不同,参与该协议的双方可能是朋友和完全信息的人,也可能是敌人和互相完全不信任的人。
2022-11-06 22:42:48
271
原创 NISP-50
信息安全的发展经过了四个历史阶段,从信息安全的发展过程可以看出,随着信息技术本身的发展和信息技术应用的发展,信息安全的内涵和外延都在不断的地加深和扩大,包含内容已从初期的数据加密烟花到后来的数据恢复、信息纵深防御等。VPN它有两层含义:首先是虚拟的,即用户实际上并不存在一个独立专用网络,既不需要建设或租用专线,也不需要装备专用的设备,而是将其建立在分布广泛的共网络上,就能组成一个属于自己的专用的网络。C/S架构是建立在广域网之上,对安全的控制能力相对弱,面向的是不可知的用户群体是错误的。
2022-11-06 22:27:37
445
原创 NISP-3
D.信息安全问题的根本原因是内因、外因、人三个因素的综合作用,内因和外因都可能导致安全事件的发 生,但最重要的还是人的因素,外部攻击者和内部人员通过远程攻击、本地破坏和内外勾结等手段,导致 安全事件发生,因此对人这个因素的防范是安全工作的重点。B.信息安全问题的根本原因是内因、外因和人三个因素的综合作用,内因和外因都可能导致安全事件的发生,但最重要的还是人的因素,外部攻击者和内部工作人员通过远程攻击、本地破坏和内外勾结等手段导致安全事件发生。因此杜绝脆弱性的存在,是解决信息安全问题的根本所在。
2022-11-06 22:26:07
2177
原创 NISP-1
15、信息安全保障的目的不仅是保护信息和资产的安全,更重要的是通过保障信息系统安全来保障信息系统所支持的业务安全,从而实现业务的可持续性,信息安全保障不包括以下哪个方面?C、非对称密码体制中使用的密钥有两个,一个是对外公开的公司,可以像电话号码一样进行注册公布,另一个是必须保密的密钥,只有密钥持有者才知道。72、入侵者在张某的博客中搜寻到他在某网站的交易信息,利用信息中的内容获取张某的个人信息,并进一步获取了其他额外信息,这种行为属于?下面描述中错误的是?下列选项都属于社会工程学攻击方式的是?
2022-11-06 22:17:43
1132
原创 网络基础_02——Windows Server2019
(2)看管理工具中有没有"Active Directory 用户和计算机"、"Active Directory站点和服务"、"Active Directory域和信任关系"等管理工具。如果这台域控制器是“全局编录”,则将其降级后,他将不在担当“全局编录”的角色,因此请先确定网络上是否还有其他的“全局编录”域控制器。在通过“添加角色和功能”安装活动目录时需指定域类型为“林中新域”并指定基于哪一个域林且需设置该域树的域名即可。如果该域内还有其他域控制器,则该域会被降级为该域的成员服务器。
2022-11-05 17:58:22
950
原创 网络基础_01——Windows Server2019
在计算机、用户数量较多的企业网络中,域能够实现统一、高效的管理此网络环境。域环境是一种逻辑结构,从逻辑上将网络中的计算机组织到一起,进行统一管理。在一个域中,所有的和用户、计算机等角色,都是统一的,而域控制器则负责存储这个域环境的数据信息。权限集中:所有用户账户直接通过dc进行管理,而工作组模式则需要对每一台计算机进行配置,难以管理。共享集中:共享数据后,通过权限配置,使得需要的用户能够直接访问该数据。策略部署。
2022-11-05 16:47:12
817
原创 Windows Server 2019 磁盘管理
当第一台DNS服务器向第二台服务器提出查询请求后,如果第二台DNS服务器上面没有所需要的数据,它会向第三台DNS服务器的IP地址给第一台服务器的,让第一台服务器向第三台服务器查询。递归查询:DNS的客户端发送了请求以后,如果DNS服务器内没有所需记录,则该服务器会代替客户端向其他DNS服务器查询,由DNS客户端发送的查询请求,一般属于递归查询。扩展分区:当主分区的数量达到了3个,如果磁盘上还有剩余的空间,那么这个时候存在的分区叫做扩展分区,每一个物理磁盘上只能有一个扩展分区。既能满足性能,也能满足安全性。
2022-10-22 08:49:02
7235
原创 Windows服务器基础知识_01
拒绝本地登录:此安全设置,是阻止某个用户在此计算机上登录,如果一个账户同时受允许在本地登录,策略制约则本次设置将取代允许在本地登录。强制密码历史:以前设置过的密码,0表示随意去使用过去的密码,3表示前三个设置过的密码不能使用,但是前面的第四个还是可以使用。从网络访问此计算机:默认情况下,任何用户都可以从网络访问此计算机,可以根据需求撤销某些用户或者某组从网络访问计算机。:主要是要复现漏洞,大量的搭建工作,安全的主要工作,就是复现漏洞,然后交报告。包含任何用户,一般用在开放的权限的时候,经常用。
2022-10-20 17:28:26
822
原创 Windows Server 2019 安装
第一步:新建虚拟机:如果有没有安装镜像的虚拟,跳至第二步。第二步:安装Windows 2019。Windows2019 安装步骤。
2022-10-20 11:42:56
2103
原创 信安66部——在线考试系统部署(IIS)
ASP代码放在Web服务器里面(中间件):ASP只能放在IIS里面运行(微软捆绑销售,所以ASP凉了)Authenticated Users 用户,将所有需要用到的权限勾选。第三步:安装web服务器Tomcat(jvm虚拟技术首先的装好)Java开发人员所有需要的基本包,api库 == api。第四步:将OA应用部署上线、并进行基本配置。java 应用软件 Java虚拟机 jvm。ASP代码开发Web应用程序B/S架构。第二步:安装MySQL。
2022-10-19 23:34:36
486
原创 信安66部——OA办公系统部署
这里配置环境变量的的目的是为了让操作系统找到mysql的bin文件夹,否则在dos操作页面执行mysql命令,需要到C:\MySQL\MySQL Server 5.0\bin,这个路径下。注意:不是删除变量里面的值,而是在最前面添加变量值C:\Java\jdk1.5.0_08\bin,而且要在最后添加分号;确认完成后,点击Next。(3)设置Path系统变量,添加Path路径,在系统变量中找到Path变量,点击编辑,在变量值的最前面添加bin文件夹路径:C:\Java\jdk1.5.0_08\bin;
2022-10-19 23:30:15
876
原创 信安66部——windows server 2008安装_01
测试环境:一个公司里面可能有多套测试环境、sit1 sit2 it3 UAT测试(用户验收测试环境)更接近生产环境。开发环境:开发人员使用的环境,开发人员在自己电脑上搭建的用于开发的环境、预生产环境。生产环境:用户正式使用的那套环境。
2022-10-18 16:50:12
105
原创 信安66部——FTP服务器搭建_01
设置用户登录服务器,显示的目录,目录根据自己情况提前创建好,此处创建的目录为c:\ftproot文件夹,设置好目录后,下一步。(2)点击下一步,设置访问服务器的方式,考虑到后期还要搭建web服务器,取消HTTP和HTTPS方式。四、遇到问题,不要慌张,将报错信息复制粘贴到百度中,进行搜索,能够得到许多帮助和提示,甚至是答案。安装目录是C:\RhinoSoft\Serv-U,把pa.exe复制到此目录。(4)点击完成按钮后,进入FTP服务器账号创建向导,开始创建账号。要完全访问权限,不能是只读权限。
2022-10-18 16:23:34
750
原创 信安66部——基础课_笔记02
B/S架构:软件分为服务端和客户端,但是客户端的软件不需要单独安装,直接在浏览器就可以使用,只要是浏览器打开的软件都是B/S架构。现在主流的软件几乎是B/S架构的,现在各个公司的业务系统也基本上是B/S架构的。Web软件实际上指的就是B/S的架构。C/S架构:软件分为服务端和客户端、客户端的软件需要进行单独安装、QQ、微信PC端、手机上的App,我们知识下载的客户端,服务端其实还在服务器。C/S软件里面包含有B/S架构的软件:微信小程序,通过微信打开的小程序实际上代开的是B/S网页。MAC是全球唯一的。
2022-10-18 11:25:43
436
原创 信安66部——基础课_笔记01
实施操作系统:(概念)除开pc机以外,搭载在其他硬件上的其他操作系统,例如路由器、交换机、交换机、医疗设备、飞机上的运行管理系统基本上都是Linux系统。实时操作系统,只能运行一个任务、但是为了完成某个功能、它需要多个任务配合使用,所以这个时候存在任务切换问题。TCP/IP协议:http、ip、telnet、ftp、POP3、SMTP、UDP。测试工程师:软件上线前的职位,安全测试、安全的所有漏洞其实都是代码的安全漏洞。软件的组成:软件程序、数据、文档(例如渗透测试文档、安全服务文档)
2022-10-17 19:38:33
181
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人