• 回答数

    5

  • 浏览数

    1911

首页> 工程师报名> 网络工程师考试题库百度

5个回答默认排序
  • 默认排序
  • 按时间排序

一生动情次次动心

已采纳

网络工程师能够从事计算机信息系统的设计、建设、运行和维护工作。下面是我为你整理的网络工程师面试题,希望对你有所帮助!

1、用户名与口令被破解

攻击原理:用户名与口令,往往是黑客们最感兴趣的东西,如果被通过某种方式看到源代码,后果是严重的。

防范技巧:涉及用户名与口令的程序最好封装在服务器端,尽量少在ASP文件里出现,涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接,在理想状态下只给它以执行存储过程的权限,千万不要直接给予该用户修改、插入、删除记录的权限。

2、验证被绕过

攻击原理:现在需要经过验证的ASP程序大多是在页面头部加一个判断语句,但这还不够,有可能被黑客绕过验证直接进入。

防范技巧:需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。

3、inc文件泄露问题

攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。

防范技巧:程序员应该在网页发布前对它进行彻底的调试;安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称,尽量使用无规则的英文字母。

4、自动备份被下载

攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,比如:UltraEdit就会备份一个.bak文件,如你创建或者修改了,编辑器会自动生成一个叫 文件,如果你没有删除这个bak文件,攻击者可以直接下载文件,这样的源程序就会被下载。

防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。

5、特殊字符

攻击原理:输入框是黑客利用的一个目标,他们可以通过输入脚本语言等对用户客户端造成损坏;如果该输入框涉及数据查询,他们会利用特殊查询语句,得到更多的数据库数据,甚至表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查,仍有可能被绕过。

防范技巧:在处理类似留言板、BBS等输入框的ASP程序中,最好屏蔽掉HTML、JavaScript、VBScript语句,如无特殊要求,可以限定只允许输入字母与数字,屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但要在客户端进行输入合法性检查,同时要在服务器端程序中进行类似检查。

6、数据库下载漏洞

攻击原理:在用Access做后台数据库时,如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称,那么他也能够下载这个Access数据库文件,这是非常危险的。

防范技巧:

(1)为你的数据库文件名称起个复杂的非常规的名字,并把它放在几层目录下。所谓 “非常规”,打个比方说,比如有个数据库要保存的是有关书籍的信息,可不要给它起个“”的名字,而要起个怪怪的名称,比如,并把它放在如.kdslfi44studi的几层目录下,这样黑客要想通过猜的方式得到你的Access数据库文件就难上加难了。

(2)不要把数据库名写在程序中。有些人喜欢把DSN写在程序中,比如:

DBPath = (“”)

“driver={Microsoft Access Driver (*.mdb)};dbq=” & DBPath

假如万一给人拿到了源程序,你的Access数据库的名字就一览无余了。因此建议你在ODBC里设置数据源,再在程序中这样写:

“shujiyuan”

(3)使用Access来为数据库文件编码及加密。首先在“工具→安全→加密解密数据库”中选取数据库(如:),然后按确定,接着会出现“数据库加密后另存为”的窗口,可存为:“”。

要注意的是,以上的动作并不是对数据库设置密码,而只是对数据库文件加以编码,目的是为了防止他人使用别的工具来查看数据库文件的内容。

接下来我们为数据库加密,首先打开经过编码了的 ,在打开时,选择“独占”方式。然后选取功能表的“工具→安全→设置数据库密码”,接着输入密码即可。这样即使他人得到了 文件,没有密码他也是无法看到 中的内容。

7、防范远程注入攻击

这类攻击在以前应该是比较常见的攻击方式,比如POST攻击,攻击者可以随便的改变要提交的数据值已达到攻击目的.又如:COOKIES 的伪造,这一点更值得引起程序编写者或站长的注意,不要使用COOKIES来做为用户验证的方式,否则你和把钥匙留给贼是同一个道理.

比如:

If trim(Request. cookies (“uname”))=”fqy” and (“upwd”) =”fqy#” then

……..more………

End if

我想各位站长或者是喜好写程序的朋友千万别出这类错误,真的是不可饶恕.伪造COOKIES 都多少年了,你还用这样的就不能怪别人跑你的密码.涉及到用户密码或者是用户登陆时,你最好使用session 它才是最安全的.如果要使用COOKIES就在你的COOKIES上多加一个信息,SessionID,它的随机值是64位的,要猜解它,不可能.例:

if not ( or ) then

login=”true”

Session(“username”&sessionID) = Username

Session(“password”& sessionID) = Password

‘(“username”)= Username

‘(“Password”)= Password

下面我们来谈谈如何防范远程注入攻击,一般的攻击都是将单表提交文件拖到本地,将Form ACTION=”” 指向你服务器中处理数据的文件即可.如果你全部的数据过滤都在单表页上,那么恭喜你,你将已经被脚本攻击了.

怎么才能制止这样的远程攻击?好办,请看代码如下: 程序体(9)

‘个人感觉上面的代码过滤不是很好,有一些外部提交竟然还能堂堂正正的进来,于是再写一个.

‘这个是过滤效果很好,建议使用.

if instr((“http_referer”),”http:”&(“host”) )<1 then“处理 URL 时服务器上出错。

如果您是在用任何手段攻击服务器,那你应该庆幸,你的所有操作已经被服务器记录,我们会第一时间通知公安局与国家安全部门来调查你的IP. ”

end if

程序体(9)

本以为这样就万事大吉了,在表格页上加一些限制,比如maxlength啦,等等..但天公就是那么不作美,你越怕什么他越来什么.你别忘了,攻击者可以突破sql注入攻击时输入框长度的限制.写一个SOCKET程序改变HTTP_REFERER?我不会。网上发表了这样一篇文章:

—————————–

Windows Registry Editor Version

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt扩展(&E)]

@=”C:Documents and SettingsAdministrator桌面”

“contexts”=dword:00000004

———–end———————-

———–——————

———-end———————–

用法:先把导入注册表(注意文件路径)

然后把拷到注册表中指定的地方.

打开网页,光标放在要改变长度的输入框上点右键,看多了一个叫扩展的选项了吧

单击搞定! 后记:同样的也就可以对付那些限制输入内容的脚本了.

怎么办?我们的限制被饶过了,所有的努力都白费了?不,举起你de键盘,说不。让我们继续回到脚本字符的过滤吧,他们所进行的注入无非就是进行脚本攻击。我们把所有的精力全都用到ACTION以后的页面吧,在页中,我们将非法的字符全部过滤掉,结果如何?我们只在前面虚晃一枪,叫他们去改注册表吧,当他们改完才会发现,他们所做的都是那么的徒劳。

8、ASP木马

已经讲到这里了,再提醒各位论坛站长一句,小心你们的文件上传:为什么论坛程序被攻破后主机也随之被攻击者占据。原因就在……对!ASP木马!一个绝对可恶的东西。病毒么?非也.把个文件随便放到你论坛的程序中,您老找去吧。不吐血才怪哦。如何才能防止ASP木马被上传到服务器呢?方法很简单,如果你的论坛支持文件上传,请设定好你要上传的文件格式,我不赞成使用可更改的文件格式,直接从程序上锁定,只有图象文件格式,和压缩文件就完全可以,多给自己留点方便也就多给攻击者留点方便。怎么判断格式,我这里收集了一个,也改出了一个,大家可以看一下:

程序体(10)

‘判断文件类型是否合格

Private Function CheckFileExt (fileEXT)

dim Forumupload

Forumupload=”gif,jpg,bmp,jpeg”

Forumupload=split(Forumupload,”,”)

for i=0 to ubound(Forumupload)

if lcase(fileEXT)=lcase(trim(Forumupload(i))) then

CheckFileExt=true

exit Function

else

CheckFileExt=false

end if

next

End Function

‘验证文件内容的合法性

set MyFile =(“”)

set MyText =(sFile, 1) ‘ 读取文本文件

sTextAll = lcase():

‘判断用户文件中的危险操作

sStr =”8 .getfolder .createfolder .deletefolder .createdirectory

.deletedirectory”

sStr = sStr & “ .saveas”

sNoString = split(sStr,” ”)

for i = 1 to sNoString(0)

if instr(sTextAll, sNoString(i)) <> 0 then

sFile =& sFileSave:sFile

”& sFileSave &”文件中含有与操作目录等有关的命令”&_

”& mid(sNoString(i),2) &”,为了安全原因,不能上传。”&_”

end if

next

程序体(10)

171评论

将你掩藏

可以上Chinaitbbs上找找答案

162评论

低头喃语

建工网2012年一级建造师张福生老师和王英老师的课件我有,还有12年一级、二级建造师和造价工程师、监理工程师的视频教程,12年的实体教材和PDF及WORD电子版的教材,习题库及各类考试资料,选择我的回答为满意答案,送你资料

107评论

隔忧

1、请简述网络定义,并谈谈自己对网络的理解。

2、请描述osi七层模型,并简要概括各层功能。

3、请描述tcpip模型,并简要介绍各层功能。

4、请简要叙述交换机和集线器的区别。

5、请说出自己配置过的路由器型号,并说出几个最常用的配置命令。

6、请说出几种动态路由协议,并谈谈动态路由和静态路由的区别。

7、win2000中为何要引入域的概念。

8、复制和剪切操作对文件权限会产生什么影响。

9、请介绍几种方式用来在web服务器上创建虚拟主机。

10、请简要介绍NNTP服务器中虚拟目录的作用。

11、请介绍几种你所使用过的代理服务器。

12、请提供几种邮件服务器的建设方案。

13、请描述和Exchange2000的区别。

14、说出你所使用过的数据库产品。

15、简单说一下OSI七层。

16、你认为SQL2000数据库中最难的部分是什么,为什么?

17、介绍你所使用过的网管软件,以及它的特点。

18、win2000中的dns服务器新增了哪些功能。

19、dhcp服务器的作用是什么?你可以提供哪些dhcp服务器的建设方案。

20、dns和wins服务器的区别有哪些?

21、你认为网络工程师最重要的能力是什么?

22、如果你负责将一个公司的所有计算机接入互联网,你会选择哪种接入方式,为什么?

23、如果你面临的用户对计算机都不熟悉,你将如何开展工作?

24、你会选择让哪种操作系统装在公司内的计算机上,为什么?

25、常用的备份方式有哪些?

26、你用过哪些操作系统,简述一下它们的特点?

27、将来在公司建设企业内部网时,你会选择哪种网络?

28、你用过哪种型号的路由器?

29、说说交换机和集线器的区别,你会在企业内部网中选择哪种交换机产品?

30、简要介绍你所管理过的网络。

31、谈谈你认为网络中最容易出现的故障有哪些?

32、三层交换和路由器的不同。

33、静态路由和动态路由的区别。

34、描述一下ACL和NAT。

35、描述一下VLAN。

36、RIP和OSPF的区别。

37、简述一下stp是什么。

38、STP计算的过程。

39、描述一下HSRP。

40、对路由知识的掌握情况,简单说明一下你所了解的'路由协议。

41、PPP协议组成及简述协议协商的基本过程。

42、以思科路由器为例,请写出单臂路由的配置命令。

43、STP的判定过程是什么?

44、radius的端口是哪些。

45、一个骨干网或城域网选ISIS及OSPF基于什么理由。

46、跟据你的经验,GE的端口,当流量达到多少时,你可以认为是有拥塞发生了? POS口,当流量达到多少时,你可以认为有拥塞?

47、对于工程及维护来说,你觉得l3网络和l2网络哪个比较好?

48、BGP选路原则常用是哪些?在骨干网与城域网间如何搭配一块使用?

49、如何在代理服务器上实现ip地址与mac地址捆绑,又如何消除?

50、OSPF路由协议的基本工作原理,DR、BDR的选举过程,区域的作用及LSA的传输情况。

1、LINUX是实时还是分时操作系统?

2、怎样实现VLAN间通信?

3、1个公有IP接入路由器,怎样实现局域网上网?

4、简述ARP的解析过程。

5、综合布线包括什么?

6、网络有哪些冗余技术?

参考答案

1、linux属于分时操作系统

2、在三层上启用路由功能就可以了,在2层上要做单臂路由,通过路由器实现VLAN通信

3、做代理服务器,或者做NAT地址转换,把内网的私有IP地址转换成公共IP地址。

4、在表中,ARP会发送一个广播,从而发现目的地的MAC地址,并记录到ARP缓存表中以便下次查找。

5、综合布线包括六大子系统:

建筑群连接子系统

设备连接子系统

干线(垂直)子系统

管理子系统

水平子系统

工作区子系统含:网络布线系统,监控系统,闭路电视系统

6、交换机的冗余性:spanning-tree、ethernet-channel

路由的冗余性:HSRP,VRRP,GLBP.

175评论

忘了旧路

网络工程师考试百度网盘免费资源在线学习

链接:

网络工程师考试 网络工程师视频 网工免费分享 2018网工 最新软考网络工程师历年真题解析(2004-2011).pdf 最新精华网络工程师_超级总结(强烈推荐).pdf 最后30天四六级复习计划(逆袭法宝).pdf 组网技术1_转.mp4 资源推荐.pdf 中级网络工程师2015上半年下午试题.doc 中级网络工程师2015上半年下午试题 (1).doc 中华人民共和国专利法.pdf 中华人民共和国著作权法_2010年修正.pdf 中华人民共和国商标法(建议看看).pdf 一张神图-软考网工必看-常用网络通信协议结构图.pdf

29评论

相关问答