1.什么是 WebShell?

　　WebShell 就是以 asp、php、jsp 或者 cgi 等網(wǎng)頁文件形式存在的─種命令執(zhí)行環(huán)境，也可以將其稱做為─種網(wǎng)頁后門。黑客在入侵了─個網(wǎng)站后，通常會將這些asp 或 php 后門文件與網(wǎng)站服務器 WEB 目錄下正常的網(wǎng)頁文件混在─起，然后就可以使用瀏覽器來訪問這些 asp 或者 php 后門，得到─個命令執(zhí)行環(huán)境，以達到控制網(wǎng)站服務器的目的(可以上傳下載文件，查看數(shù)據(jù)庫，執(zhí)行任意程序命令等)。國內(nèi)常用的 WebShell 有海陽 ASP 木馬，Phpspy，c99shell 等。靜態(tài)網(wǎng)頁：最常用的格式文件就是 html 格式文件，大部分網(wǎng)頁的格式都是 html格式，html 格式又包含有.htm、dhtml.xhtml.shtm.shtml。這些都是指靜態(tài)頁面，里面不含有動態(tài)程序。

　　動態(tài)網(wǎng)頁：頁面級包括有 ASP(基于 JavaScript 或 VbScript 或 C#)、JSP、PHP、ASPX、jspx、cgi。這些里面是包含服務器端執(zhí)行的代碼，也就是服務器在將這些網(wǎng)頁發(fā)給客戶端之前，會先執(zhí)行里面的動態(tài)程序語言，并把執(zhí)行后生成的 html 發(fā)送到客戶端來的，所以我們在客戶端看到的源代碼也是 html 格式的(因為動態(tài)的代碼直接在服務器上執(zhí)行，而這些服務器代碼是前臺是不會顯示出來。

　　2.什么是網(wǎng)絡釣魚？

　　網(wǎng)絡釣魚是通過大量發(fā)送聲稱來自于銀行或其他知名機構(gòu)的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息(如用戶名、口令、帳號 ID 、 ATMPIN 碼或信用卡詳細信息)的一種攻擊方式。

　　最典型的網(wǎng)絡釣魚攻擊將收信人引誘到一個通過精心設(shè)計與目標組織的網(wǎng)站非常相似的釣魚網(wǎng)站上，并獲取收信人在此網(wǎng)站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。

　　它常常導引用戶到 URL 與接口外觀與真正網(wǎng)站幾無二致的假冒網(wǎng)站輸入個人數(shù)據(jù)。就算使用強式加密的 SSL 服務器認證，要偵測網(wǎng)站是否仿冒實際上仍很困難。網(wǎng)釣是一種利用社會工程技術(shù)來愚弄用戶的實例。它憑恃的是現(xiàn)行網(wǎng)絡安全技術(shù)的低親和度。

　　3.你獲取網(wǎng)絡安全知識途徑有哪些？

　　網(wǎng)站：千鋒教育，看雪，安全焦點，國內(nèi)的烏云，F(xiàn)reeBuf

　　微信公眾號、知乎等，企業(yè) src 等

　　書籍：《白帽子講 web 安全》《Web 應用安全權(quán)威指南》等

　　然后就是請教牛人

　　最后是公司內(nèi)技術(shù)分享。

　　4.什么是 CC 攻擊？

　　這個也是知道一些，知道他是 DDos 的變種，正常請求偽造，服務器資源耗盡，最終還是看看百科答案吧：CC 攻擊是 DDOS(分布式拒絕服務)的一種，相比其它的 DDOS 攻擊 CC 似乎更有技術(shù)含量一些。這種攻擊你見不到真實源 IP，見不到特別大的異常流量，但造成服務器無法進行正常連接。CC 攻擊的原理就是攻擊者控制某些主機不停地發(fā)大量數(shù)據(jù)包給對方服務器造成服務器資源耗盡，一直到宕機崩潰。

　　CC 主要是用來攻擊頁面的，每個人都有這樣的體驗：當一個網(wǎng)頁訪問的人數(shù)特別多的時候，打開網(wǎng)頁就慢了，CC 就是模擬多個用戶(多少線程就是多少用戶)不停地進行訪問那些需要大量數(shù)據(jù)操作(就是需要大量 CPU時間)的頁面，造成服務器資源的浪費，CPU 長時間處于 100%，永遠都有處理不完的連接直至就網(wǎng)絡擁塞，正常的訪問被中止。

　　更多關(guān)于網(wǎng)絡安全培訓的問題，歡迎咨詢千鋒教育在線名師。千鋒教育擁有多年IT培訓服務經(jīng)驗，采用全程面授高品質(zhì)、高體驗培養(yǎng)模式，擁有國內(nèi)一體化教學管理及學員服務，助力更多學員實現(xiàn)高薪夢想。