国家网络空间安全人才培养基地、NISP专项证书管理中心欢迎你加入国家网络安全人才培养计划!

国家网络空间安全人才培养基地
国家网络空间安全人才培养基地

您即将进入国家信息安全水平考试(NISP)管理中心


信息安全意识培训(ISAT)

根据《网络安全法》要求,对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。针对不同岗位制定不同的培训计划......


了解详情>>

国家信息安全水平考试(NISP)

全面普及信息安全/网络安全知识,培养我国网络空间安全专业人才,加强我国的网络空间安全人才队伍建设,提高我国在网络空间的安全保障与对抗能力......


了解详情>>

注册信息安全专业人员(CISP)

该证书是面向信息安全企业、信息安全咨询服务机构、信息安全测评机构、政府机关、企事业单位中负责信息系统建设、运维和管理工作的信息安全专业人员所颁发的资质证书......


了解详情>>

双A认证+北京国家会计学院结业证

国家网络空间安全人才培养基地联合北京国家会计学院推出“双A证书”培训体系(NISP-A+CISP-A+北京国家会计学院结业证书),培养高层次的信息系统审计师......


了解详情>>

国家基地

网络安全工程师常见技巧(一)NISP和CISP证书逐步恢复线下考试

作者:国家网络空间安全人才培养基地 浏览: 发表时间:2022-12-30 15:41:46

XSS(xss漏洞)

最常见的就是cookie挟持,简单的说就是我们要用浏览器登录一个网站,通常是用存有手机客户端电脑浏览器中的cookie来储存顾客唯一标识的动态口令,在Java写就了网站里,是一个jsessionid,一般通过抓包软件获得了电脑浏览器的jsessionid,那在另一个地方,就能仿真模拟客户的登陆,进而盗取客户的材料甚至进行一些登陆之后才可以做出来的实际操作,不良影响非常大。

文件传送漏洞

许多网站都是有文件传送的功效,而极少数网站并未对文件后缀名进行监管,因此可能被恶意人把握机会,提交一些恶意软件,例如对于Java网站的JspBrowser.jsp,这一程序流程提交并实施后,还可以在电脑端见到全部云服务器目录结构,所有文件夹,及其还可以在网站上实行网络服务器上的一些指令,危害很大,一定要避免这样的事情,最先需要对提交文件的类型进行限定,同时对上传文件夹开展自动生成的处理方法,促使网络黑客没法获取到提交途径,此外将上传文件夹放到另外一个网络存储器上,而非网站服务器内,将上传文件夹设为不能实行文件目录,全是避开这一攻击方式。

网站通信安全SSL

大家都清楚,商业网站如百度搜索,淘宝已实现了整站数据加密,其实就是布署了https证书,https证书事实上是一种非对称加密算法,用于对网页和服务器之间的通信信息进行数据加密,促使在公在网上传送的信息不容易被别人随便抓包软件并分析,用于盗取,伪造。在投资类,金融投资的平台上尤其务必,提醒的是,现如今很多企业不仅仅有网站,还有iOS,安卓系统,微信等手机端,那挪动端插口,和微信上的网站,也要布署SSL证书,保障数据安全。

访问控制

针对网络服务器而言,最重要的就是要有一个好的访问控制策略,主要对不必要端口号开展关掉,此外对长期用的例如ssh,ftp默认端口进行调整,还会巨大减少安全风险,也有linux的iptable,限定一些ip对一些关键端口号的应用,都能够提升安全系数。针对数据库系统而言,设置白名单是非常必要的,对读写能力账户和写保护账号登录地址进行分割,学习培训开发者规范使用账户,监管运维团队在工作环境操作,如果需要能用堡垒机,运维审计等方式安全管理。

NISP和CISP证书逐步恢复线下考试

于2023年1月起,逐步恢复CISP/NISP二级线下考试,线下考试不再查验核酸、健康码、行程卡,请提前做好恢复线下考试的相关安排。

网络安全工程师常见技巧(一)NISP和CISP证书逐步恢复线下考试
网络安全工程师常见技巧(一)NISP和CISP证书逐步恢复线下考试
长按图片保存/分享
更多NISP授权运营机构

联系邮箱:wasj@nishr.cn | 联系电话:400-807-8118 010-88588366 18611755667 | 联系地址: 国家网络空间安全人才培养基地(北京市海淀区紫竹院路98号)

版权所有:国家网络空间安全人才培养基地 | ICP备案证:京ICP备18045154号-8

国家网络空间安全人才培养基地

国家信息安全水平考试(NISP)专项证书管理中心

客服中心
总机
400-807-8118
李老师
18513917631
侯老师
13552617884
二维码
添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了