25．IP 欺骗的原理：通过编程的方法可以随意改变发出的包的IP 地址，但工作在传输层的TCP 协议是一种相对可靠的协议，不会让黑客轻易得逞。由于TCP 是面向连接的协议，所以在双方正式传输数据之前，需要用"三次握手"来建立一个值得信赖的连接。

26．IP 欺骗的防范：预防这种攻击可以删除UNIX 中所有的/etc/hosts.equiv 、$HOME!.rhosts 文件，修改/etc/inetd.conf 文件，使得RPC机制无法应用。另外，还可以通过设置防火墙过滤来自外部而信源地址却是内部目的报文。

27．Web 欺骗的原理：Web 欺骗的原理是攻击者通过伪造某个www 站点的影像拷贝，使该影像Web 的入口进入到攻击者的Web 服务器，并经过攻击者机器的过滤作用，从而达到攻击者监控受攻击者的任何活动以获取有用信息的目的，这些信息当然包括用户的账户和口令。

28．Web 欺骗的手段和方法：

① 改写URL；

② 特殊的网页假象。

29．Email 欺骗：电子邮件欺骗是在电子邮件中改变名字使之看起来是从某地或某人发来的实际行为。

30．电子邮件欺骗有三种基本方法：

① 相似的电子邮件地址；

② 修改邮件客户；

③ 远程联系，登录到端口25。

31．网站安全威胁：

① SQL注入攻击；

② 跨站攻击；

③ 旁注攻击。

32．旁注攻击，有两种抵御方法:

① 设置IIS 单用户权限/禁止，来阻止非法用户运仔任意的CMD 命令，从而使入侵者的旁注入侵在无法提升权限下导致失败；

② 利用端口转发技术。

33．社会工程学就是使人们眼从你的意愿、满足你的欲望的一门艺术与学问。社会工程学运用是否能成功也有取决于目标个体与你的目的有多大关联的因素的。

34．WEB安全漏洞：

① 加密算法中存在的漏洞

② 密钥管理中存在的漏洞

③ 身份认证机制中存在的漏洞

35．OpenSSL 安全漏洞：

① 计时攻击缺陷；② 分支预测缺陷；③ 故障分析缺陷；④ 单/双字节偏差缺陷；⑤ 伪随机数生成器缺陷；⑥ PaddingOracle 缺陷；⑦ Heartbleed 缺陷；⑧ 中间人攻击缺陷；⑨ 拒绝服务缺陷。