置业顾问基础知识问答74
上亿文档资料，等你来发现
置业顾问基础知识问答74
置业顾问基础知识问答；1、简述接待客户的基本流程及礼仪？；首先要明确来访的每位客户1、他是否对这个项目(楼；2、认为一个好的置业顾问应具备哪些专业知识？；我认为一个好的置业顾问不仅要具备房地产销售行业的；3、你如何看待和理解置业顾问这份职业？；我认为置业顾问是一个极能提高个人素质和强调个人修；4、当你接手一个新楼盘时应该先做些什么？；首先应该尽快熟知自己所销
置业顾问基础知识问答 1、 简述接待客户的基本流程及礼仪？首先要明确来访的每位客户1、他是否对这个项目(楼盘)感兴趣的。2、他可能是公司花了大量的广告费去宣传而被广告吸引来的。3、也许他是路过这里顺便近来的, 当客户进入销售现场起，就应该马上迎过去向他问好，作简单的自我介绍。然后将他领至沙盘处，向他大概介绍小区的基本情况，然后很自然的询问客户的家庭基本情况（如：几口人居住，需要多大面积，自己感觉能承受的最理想价位等）。当了解完客户的相关情况后，请他到休息区入坐，并给他倒杯水，递上一份楼盘相关资料，在客户阅读资料的同时向客户推荐适合客户的户型，并征求客户意见与客户做更深层次的交谈。主动提出邀请客户一起去所推荐单位（房源）的现场参观（置业顾问应事先安排好参观的路线，期间也可向客户介绍小区内部规划）。当客户满意推荐户型时可询问客户的付款方式并计算出具体的房价。与此同时向客户要求留下联系方式以便公司有最任何新的销售政策及变化时能第一时间通知到客户（并告诉客户该单位（房源）很好如不及时决定可能就无法够买该单位了，如客户意向较强可为客户办理预留登记）。待客户走后及时收拾打扫接待现场，作好等待工作。整过接待过程应做到笑脸相迎、笑脸相送，并把握好与客户谈话的技巧，尽可能的营造一种好的交谈氛围。2、 认为一个好的置业顾问应具备哪些专业知识？我认为一个好的置业顾问不仅要具备房地产销售行业的专业知识最好还要具备比如建筑学、市场营销学、消费者心理学等其它涉及到销售及跟消费者心理和行为分析的相关学科。但是一个好的置业顾问更应该熟知自己所销售项目的所有相关信息（如：楼盘总占地、楼盘总户数、户型分布、价位分布、小区绿化率、小区容积率、小区先进的安防系统及星级的物业管理、楼盘周围的市政建设情况及周边配套设施等）。出此以外还应该随时了解到周边竞争楼盘及整个房地产行业的相关信息及发展走向。只有做到知己知彼才能在以后的工作中做到客户有问必能答而且还能向客户阐述自己的观点及看法，使客户相信我是最专业的置业顾问，客户才会产生信任感；这样才能提高自己的销售业绩及成交率。从而使自己成为一位最优秀的置业顾问。3、 你如何看待和理解置业顾问这份职业？我认为置业顾问是一个极能提高个人素质和强调个人修养的一个专业性很强的职业，它不仅要求从业人员有较好的相貌、亲和力、语言表达能力、应变能力、观察能力等，还要求了从业人员必须具备简单的营销能力。置业顾问的工作其实很简单就是帮助客户挑选最理想的居所，让他们能买到自己称心如意的好房子和一个好的生活环境。这个工作不仅能够锻炼自己的社交能力，还能够认识很多不一样的人，最主要的是能够亲身经历客户挑选到满意的房子后的高兴。不但客户开心，自己也会有成就感，也可以和客户建立良好的朋友关系。 置业顾问不仅仅代表了公司及开发商的形象，更主要的是他是开发商与客户之间的桥梁，能够在第一时间把项目信息及公司的销售政策传递给每一位客户还能第一时间把每一位客户的第一手意见和好的建议及时的反馈给公司及开发商，以便于开发商在今后的新项目上能不短的改进、完善，从而做到尽善尽美。也能让公司在一些关键问题决策时有第一手的市场讯息，这样才能使企业作出更好的决策，作为员工我们才有更好的发展4、 当你接手一个新楼盘时应该先做些什么？首先应该尽快熟知自己所销售项目的所有相关信息（如：楼盘总占地、楼盘总户数、户型分布、价位分布、小区绿化率、小区容积率、小区安防系统及物业管理、楼盘周围的市政建设情况及周边配套设施等）。出此以外还应该随时了解到周边竞争楼盘及整个房地产行业的相关信息及发展走向。如果还有什么新的销售建议也要及时的提出来，以便楼盘在正式销售时可以更快、更准的达到预期制定的销售目标5、 你会怎样整理和回访你的客户？每当接待完毕一个客户，就应该及时的尽量详细的记录下并建立客户档案来，以便在回访时更方便。并对客户进行分类（如：诚意较高型、正在考虑型、主意不定型、意向购买型、参观了解型等）。 对较可能尽快购买的客户进行重点回访，了解并消除客户的顾虑和心理障碍，加快客户购买的步伐，加强客户购买的信心。对意向性不强的客户要多做回访，在多次回访后客户仍然表示不购买时一定要向客户询问不购买的真正原因，并做好分析记录及时反馈回公司。以便于公司对销售策略的改进。6、 如果你现在正在销售一个在建楼盘你会从哪些方面向客户介绍？首先介绍小区的楼盘总占地、楼盘总户数以突出小区的规模。然后介绍小区绿化率、小区容积率、小区的配套设施、星级的物业管理、楼盘周围的市政建设情况及周边配套设施以突出小区独特的内部优势和区域位置优势。后在介绍户型分布、价位分布、所剩房源的分布等相关的房源信息。
如上述客户都较满意没有提出异议时，可向客户介绍前期排号或签定预售合同的细则。促使客户尽快7、 认为一个好的楼盘应具备的条件有哪些？一个好的楼盘应具备好的小区规划设计、户型设计、小区园林景观设计、周密的保安防范体系及星级的物业管理、周边的好的环境、方便的交通、优越的市政设施等。8、 如果你所销售的楼盘和同区域的其它楼盘相比价格偏高时你会采取什么样的方式、方法向客户推介？
应该理性的给客户分析价格高的原因，如：小区景观是花巨资打造，小区绿化率高，小区容积率底是少有的优秀楼盘，小区先进的安防系统及星级的物业管理，其它小区决无仅有的地段优势，小区得天独厚的自然环境等。还可向客户与周边楼盘或其它区位的楼盘进行对比，着重突出小区的高信价比优势。从配套设施、区域位置、内外环境等入手进行对比向客户推销买房不仅仅是买房而是买环境时，小区的高信价比优势就会突出体现。9、 当销售进入淡季时你认为一个好的置业顾问该干些什么？回访以前来看过房子但没有购买的客户，做好客户意见的收集、整理及归总工作，积极收集和了解周边楼盘及整个房地产行业的最新信息和动态，为公司拟订新的销售方案做好铺垫工作。调解好自己的心态为自己能在销售旺季到来前尽快进入工作状态做准备。10、 当你所销售楼盘已接近清盘且所剩房源并不是很好时你会怎样进行销售？应该先了解客户的真正需求，然后重点给客户介绍小区内环境如：小区景观是花巨资打造，小区绿化率高，小区容积率底是少有的优秀楼盘，小区先进的安防系统及星级的物业管理，其它小区决无仅有的地段优势，小区得天独厚的自然环境等。重点突出小区的大环境。其次还应该理性给客户分析所剩房源的户型特点及价格优势。11、 房地产行业通常指的5证2书是什么?5证是指：①：建设用地规划证②：建设工程规划许可证③：建设施工许可证：④：预售许可证⑤：土地使用证2书是指：①：使用说明书②：质量保证书12、 简述框架结构与砖混结构的区别及各自的特点？框架结构又叫现浇结构，它是以梁和柱来承重，它的梁，柱还有楼板都是现浇而成的。房屋的结构可以随客户的意愿而改变。现浇的房子抗震度比较高，防水性比较好，但价格偏高。砖混结构是以承重墙来承重，房屋的结构是不能改变的。 置业顾问需具备的个人素质和能力培养顾问, 素质, 能力, 培养一、心理素质的培养房地产销售员应具备自知、自信、自尊、自爱、乐观开朗、坚韧奋进的心理素质，乐观豁达、愈挫愈坚的性格和良好的心理素质，是优秀的销售人员必备的基础素质。态度：A热情和自我激励：面对困境和挑战，要充满热情，不断地激励自己；B为客户着想：从客户的需要出发，尽量地予以满足；C注意结果：做事不可盲目随意，要追求满意的结果；D注意自我发展：不少人热衷于跳槽，不断更换工作岗位，但却忽略了能力的提高。比如原来只做销售工作，换了一家单位之后可能从事管理工作，这就是一个提高。不能只图薪水的高低，更重要的是机会和发展前景的好坏。 有一本《成功学》提到成功的三大要素：适合的工作；全身心的投入；不计较得失。保持积极心态的五种方法1、增加动力；2、控制惰性；3、抵制厌倦；4、善于幻想；5、培养信心个人情绪控制（1）学会完全主宰自己，控制自己，相信自己一定能做好。（2）学会在适当的时机释放自己的心情。（3）学会独立思考，能够改变自己的旧的思想。（4）学会做个乐观的人，遇事不愁。（5）学会反思，反思一天内所做事情的不足之处及如何调整。健康心理培养（1）克服恐惧感（2）失败并不足畏（3）建立一种自信和勇气（4）培养积极的态度（5）扩大自己的视野（6）制订人身目标（7）交成功的朋友尊重别人的杰出成绩和能力，相信“三人行，必有我师”，只有尊重别人才可能虚心向他人学习。二、行为素质的培养（A敬业精神、B职业道德）A．敬业精神销售人员是房地产企业与顾客间沟通联系的桥梁，是企业文化、社区文化和楼盘主题概念传播的窗口，并肩负着不断开拓新顾客维系老顾客的重任。因此，销售人员应热爱本职工作，具有企业的使命感和迫切完成销售任务的责任心，具有坚忍不拔的进取精神与扎实的工作作风，具有一股勇于进取、积极向上的敬业精神，才能扎扎实实地做好销售工作。但是，销售人员工作往往困难重重、环境艰苦，有时甚至遭受顾客的白眼，所以，销售人员更应积极发掘销售机会，掌握好适当的销售时机，尽可能促成顾客购买。B．职业道德职业道德是指从事一定职业劳动的人们，在特定的工作和劳动中以其内心信念和特殊社会手段来维系的，以善恶进行评价的心理意识、行为原则和行为规范的总和。房地产销售人员除掌握必要的专业知识外，还应该具备良好的职业道德素质，如守法经营、以诚为本、恪守信用、尽职尽责、团结合作等，良好的职业道德是房地产销售成功的要件。三、专业知识的自我提升销售人员需要掌握的专业知识有三类：A产品知识，要了解产品成本、产品结构和产品特点，只有对自己的产品了如指掌，才能说服客户购买；B竞争对手的产品和经营策略。“知己知彼，百战不殆”，了解自己竞争对手的情况，才能做到有的放矢，保持市场竞争中的有利地位；C微观经济学和财务管理学等，这是从事销售工作的理论基础，应加以掌握。可以参考成功销售人员的经历，琢磨他们的经验和推销技巧，参加专业培训课程，不断学习，不断提升自己。房地产营销人员应有较强的求知欲和广博的知识。丰富的房地产知识是营销人员做好房地产销售的重要条件。一个好的房地产营销人员不仅应是熟悉本行业的行家，而且要熟悉当地社会的风土民情，具有广泛的社会知识。销售人员专业知识主要包括以下内容：1．房地产企业相关知识信息：房产销售人员应熟悉房地产开发企业或房地产销售代理企业的历史及其在同行业中的地位；房地产企业发展历程、企业文化；房地产企业已开发的产品、品牌、社会知名度等。了解本企业的优势，可以增强销售人员的信心。2．房地产开发有关知识信息：它主要包括房地产的地点、交通、位置、环境、总建筑面积、占地面积、容积率、建筑物覆盖率、绿化率；房地产产品的结构、功能、用途、价格、得房率及物业管理等知识；竞争楼盘的有关情况、本楼盘的卖点，以及与其他竞争对手的产品优劣比较。销售人员只有对产品的认识多于顾客，才能解答客户对产品的使用、功能等方面提出的各种问题，才能增强销售人员成功推销房地产产品的信心，增加成功地说服客户做出购买决定的机会。3．顾客有关的知识信息：顾客有关的知识信息包括：购房者的购买动机、购买心理和购买习惯；谁是购买决策人，影响购买决策者的人有谁，在购买者家庭中扮演什么角色和地位，其家庭收入情况如何？此外，还包括其支出模式，以及购买的方式、条件、时间、偏好等有关信息情况。掌握了上述知识信息，可帮助销售人员做好销售工作。4．房地产产业和市场行情有关知识信息：为了更有效地工作，销售人员必须掌握产业和市场内的当前商情和顾客活动的趋势，目前顾客情况如何？怎样才能增加购买量？潜在用户在哪里？潜在的销售量有多大？以及国家有关房地产政策法规等规定，房地产企业占有的市场信息有多少，对市场变化发展的趋势预测准确性如何等。5．房地产销售有关法律法规等知识信息：房地产营销人员应了解民法、合同法、商标法、广告法、税法、反不正当竞争法、消费者权益法、城市房地产管理办法、房地产销售管理办法等知识。四、身体素质销售人员在销售旺季每天要接触大量的人员，客户离开后还要对当天的客户各种信息和有关资料进行归类整理、统计和分析，这些信息对企业非常珍贵。因此，必须有好的身体素质，才能精力充沛，充满信心地应对繁忙的工作。五、销售能力1、创造能力销售人员需要有较好的创造力和坚强的信念，对行业、企业和市场了解得越深就会越有创意。任何时候，销售人员都不能使对方受到强制的感觉。因为，与销售人员相对的客户，本来就有一种抗拒感。若顾客有了这种抗拒感，再加上受强制的感觉，销售人员就很难与顾客进行有效的沟通交流。因而有人说，杰出的推销员，给客户的是期待而不是强制。2、判断及察言观色能力由于房地产市场环境和顾客凸现的个性日益复杂化，而且受许多因素的制约，这就要求销售人员在销售过程中，要具有极大灵活性，要有敏锐地观察能力，因人而异的选取推销方式，并随时观察顾客对推销陈述和推销方式的反应，揣摩其购买心理的变化过程，有针对性地改进推销方法，提高推销的成功率。3、自我驱动能力推销，简单地说就是将产品卖给顾客。它是一项专业性较强的工作，很多人之所以无法成为出类拔萃的推销员，主要原因是无法战胜自己。要成为一个成功的推销员，首先要做到不服输，这并不意味着跟别人较量，它更应该跟自己较量，战胜自己，确立绝不言败的个性及精神。4、人际沟通的能力销售人员必须有沟通能力，能在很短时间内缩短与客户之间的距离，找到谈话的共同点，同时让客户接受自己，让顾客愿意将自己的想法意见说出来，彼此形成良好的合作关系，就离成功近了一步。5、从业技术能力销售人员应熟悉房地产市场交易法规、程序，具有策划和组织小型促销活动的能力，具有一定的文案写作能力，具有丰富的房地产市场知识并能灵活运用的能力，能为消费者提供合意的方案，能针对不同类型的消费者从不同的角度作不同的介绍，对房地产市场信息能做出正确的分析和判断，如此才能为客户提供优质的服务。6、说服顾客的能力销售人员要能熟练地运用各种推销技巧，成功地说服顾客。同时要熟知推销工作的一般程序，了解顾客的购买动机和购买行为，善于展示和介绍产品，善于接近顾客，善于排除顾客的异议直至达成交易。 包含各类专业文献、高等教育、中学教育、行业资料、应用写作文书、各类资格考试、置业顾问基础知识问答74等内容。
　置业顾问基础知识问答_其它_工作范文_应用文书。置业顾问基础知识问答 1、 简述接待客户的基本流程及礼仪? 首先要明确来访的每位客户 1、他是否对这个项目(楼盘)感... 　房地产行业置业顾问基础知识问答_企业管理_经管营销_专业资料。入行新人面试必备 房地产行业置业顾问基础知识问答,入行新人面试必备 房地产行业置业顾问基础知识问答 1... 　房地产行业置业顾问基础知识问答 1、 简述接待客户的基本流程及礼仪? 首先要明确来访的每位客户 1、他是否对这个项目(楼盘)感兴趣的。2、他可能是 公司花了大量... 　房地产行业置业顾问基础知识问答 1、 简述接待客户的基本流程及礼仪? 首先要明确来访的每位客户1、他是否对这个项目(楼盘)感兴趣的。2、 他可能是公司花了大量的... 　16、 商品房各部位最低的保修期限 6 (1) 基础设施工程、房屋建筑的土基基础...置业顾问基础知识考核试... 2页 1下载券 置业顾问基础知识问答 6页 3下载券... 　房地产行业置业顾问基础知识问答 房地产行业置业顾问基础知识问答 1、 简述接待客户的基本流程及礼仪? 首先要明确来访的每位客户 1、他是否对这个项目(楼盘)感兴趣... 　置业顾问业务基础知识建筑面积 住宅的建筑面积是指建筑物外墙外围所围成空间的...开发商在出售商品房时计算的建筑面积存在公共面 积的分摊问题。 ) ^7 ^+ c... 　如要投诉违规内容,请到百度文库投诉中心;如要提出功能问题或意见建议,请点击此处进行反馈。 加入会员!获取文档下载券
房地产行业置业顾问基础知识问答 置业顾问的基础... 　如要投诉违规内容,请到百度文库投诉中心;如要提出功能问题或意见建议,请点击此处进行反馈。 置业顾问基础知识 隐藏&& 售楼员应了解和知道的 一、 你必须了解大通区...查看:2327|回复：1
网络安全基础知识学习之Web安全百问百答
　　1、什么叫Web应用系统?
　　答：Web应用系统就是利用各种动态Web技术开发的，基于B/S(浏览器/服务器)模式的事务处理系统。用户直接面对的是客户端浏览器，使用Web应用系统时，用户通过浏览器发出的请求，其之后的事务逻辑处理和数据的逻辑运算由服务器与数据库系统共同完成，对用户而言是完全透明的。运算后得到的结果再通过网络传输给浏览器，返回给用户。比如：ERP系统、CRM系统以及常见的网站系统(如电子政务网站、企业网站等)都是Web应用系统。
　　2、Web威胁为什么难以防范
　　答：针对Web的攻击已经成为全球安全领域最大的挑战，主要原因有如下两点：
　　1. 企业业务迅速更新，需要大量的Web应用快速上线。而由于资金、进度、意识等方面的影响，这些应用没有进行充分安全评估。
　　2. 针对Web的攻击会隐藏在大量正常的业务行为中，而且使用各种变形伪装手段，会导致传统的防火墙和基于特征的入侵防御系统无法发现和阻止这种攻击。
　　3、为什么Google把我的网站列为恶意网站
　　答：Google在对网站内容进行搜索时，同时也会检查是否含有恶意软件或代码(这些恶意软件或代码可能威胁该网站的访问者)。如果该网站存在这样的恶意软件或代码，就会在用户搜索到该网站时，加上一个标记：“该网站可能含有恶意软件，有可能会危害您的电脑”。这将会使网站信誉受损，并导致潜在的用户流失。
　　4、为什么我网站的数据库表内容被大量替换?
　　答：如果排除了管理员误操作的可能性，则可能是网站服务器被自动化攻击工具(如SQL注入工具等)攻击的结果。目前已经有自动化的工具对网站进行攻击，如果网站存在漏洞的话，攻击工具能够获得对网站数据库访问的权限。如果发现这种情况，应该仔细核查网站服务器和数据库服务器日志，找出更改记录。
　　5、黑客为什么要篡改网站页面
　　答：当黑客获取网站的控制权限后，往往会更改网站页面，可能的动机有：
　　1. 宣称政治主张;
　　2. 炫耀技术，建立“声望”;
　　3. 宣泄情绪;
　　4. 经济利益，通过网站释放木马，从而获取经济利益。
　　6、黑客实施网站挂马的目的是什么
　　答：网站挂马的主要目的是控制访问该网站的用户的计算机，从而可以进一步获取用户的计算机隐私信息而获利，或者将这些用户的计算机作为“肉鸡”，对其它服务器或网络进行DDos攻击。
　　7、在Web威胁防御中防火墙的优点和不足
　　答：防火墙可以过滤掉非业务端口的数据，防止非Web服务出现的漏洞，目前市场上可选择的防火墙品牌也较多。但对于目前大量出现在应用层面上的SQL注入和XSS漏洞，防火墙无法过滤，因而无法保护Web服务器所面临的应用层威胁。
　　8、常见发布系统之IIS
　　答：IIS 是Internet Information Server的缩写，是由微软开发的一种Web服务器(Web server)产品，用以支持HTTP、FTP和SMTP服务发布。 它主要运行在微软的操作系统之上，是最流行的Web服务器软件之一。
　　9、常见Web服务器之Apache
　　答：Apache是Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上。Apache源于NCSAhttpd服务器，经过多次修改，已成为世界上最流行的Web服务器软件之一。
　　10、Apache是不是比IIS要安全
　　答：早期的IIS在安全性方面存在着很大的问题，如果使用默认设置，黑客可以轻松趁虚而入。不过在IIS6中，微软公司对其安全方面进行了大幅改进。只要保证操作系统补丁更新及时，就可以将网站安全系数尽可能地提高。
　　Apache在安全方面一直做得比较好，更主要的原因是很多用户都是在linux系统下使用Apache。相对于微软的操作系统，Linux系统被发布的安全按漏洞更少一些。
　　从技术角度讲，两个Web服务器的安全性没有本质区别，一个完整的Web系统的安全性更取决于Web程序的安全性以及Web服务器配置的正确性。
　　11、什么叫应用防火墙
　　答：应用防火墙的概念在上个世纪九十年代就已经被提出，但在最近几年才真正走向成熟和应用。应用防火墙的概念与网络防火墙相对，网络防火墙关注网络层的访问控制，应用防火墙则关注应用层数据的过滤与控制。
　　12、什么叫网站防篡改系统
　　答：网站防篡改系统通过实时监控来保证Web系统的完整性，当监控到Web页面被异常修改后能够自动恢复页面。网站放篡改系统由于其设计理念的限制，对静态页面的防护能力比较好，对动态页面的防护则先天不足。
　　13、我的Web服务器被访问速度变慢，经常出现连接失败的现象，可能是什么原因造成的呢?
　　答：这可能有两个方面的情况，一种是网络方面的原因，如运营商的线路故障，或带宽消耗型的DDOS攻击;另外一种情况是服务器方面的原因，如感染病毒，或资源消耗型的拒绝服务攻击。
　　14、我的Web服务器部署了木马查杀软件，为什么还被挂了木马?
　　答：所谓的网页被挂马，很多情况下并不是有木马程序或代码被放到了Web服务器上，而是有一段跳转代码(本身不包含攻击信息)被放在了Web服务器上网页中。当远程用户访问带有跳转代码的页面时，将会执行这段代码，从另外一个地址下载并执行木马。所以，即使在Web服务器上部署了木马查杀软件，也会由于木马本身并不存在于服务器上，而无法避免网站被挂马。
　　15、我的Web服务器前端部署了入侵防御产品设备，入侵防御产品设备中包含了几百条的SQL注入攻击防御特征库，为什么我的Web系统还是被SQL注入攻击成功了呢?
　　答：SQL注入是一种没有固定特征的攻击行为，对安全设备来说，就是属于变种极多的攻击行为。所以，基于数据特征的SQL注入检测方法是没有办法穷尽所有组合的，会存在大量的误报、漏报可能。如果采用的入侵防御产品设备采用的是基于数据特征的检测方法，即使包含了数百条SQL注入特征库，也会有漏报出现。
　　16、黑客为什么喜欢攻击网站?
　　答：Web业务已经成为当前互联网最为流行的业务，大量的在线应用业务都依托于Web服务进行。并且一些大型网站的日访问量可达百万之巨，不论是直接攻击网站(如网络银行，在线游戏服务器)还是通过网站挂马窃取访问者信息，都可以使黑客获得直接的经济利益。另外一方面，网站是机构的网络形象，通过攻击篡改网站页面，也可以得到最大范围的名声传播。对于那些企图出名的黑客，攻击网站是一项不错的选择。
　　17、如何判断自己的Web服务器是否已经成为肉鸡?
　　答：如果发现自己的Web服务器上开启了一些奇怪的进程，发现Web服务器总是有大量从内往外的连接，发现Web服务器不定时系统缓慢，诸如此类的现象，可使用木马清除软件进行检查和查杀。
　　细分攻击形式：
　　18、目前国内Web应用系统存在哪些最突出的安全问题?
　　答：Web应用程序的漏洞是很难避免的，系统的安全隐患主要在三方面：
　　首先是网络运维人员或安全管理人员对Web系统的安全状况不清楚。哪些页面存在漏洞，哪些页面已经被挂马，他们不能够清晰的掌握，从而及时采取改正措施;
　　其次，在安全设备的部署方面，没有选用专业的、针对Web业务攻击的防御产品对网站进行保护，而是寄托于防火墙这种访问控制类的网关安全设备;
　　另外，从安全响应来看，Web安全事件发生后的应急与处理也存在欠缺。没有相应的页面恢复系统，也没有处理Web安全事件的专业安全服务团队。很多单位没有制定实时监控的网站安全管理制度。
　　19、什么叫SQL注入
　　答：SQL注入就是利用现有应用程序，将恶意的SQL命令注入到网站后台数据库引擎执行的能力。SQL注入利用的是正常的HTTP服务端口，表面上看来和正常的Web访问没有区别，隐蔽性极强，不易被发现。
　　20、SQL注入有哪些危害
　　答：SQL注入的主要危害包括：
　　? 未经授权状况下操作数据库中的数据;
　　? 恶意篡改网页内容;
　　? 私自添加系统帐号或者是数据库使用者帐号;
　　? 网页挂木马;
　　21、什么叫XSS
　　答：跨站脚本攻击(XSS)是攻击者将恶意脚本提交到网站的网页中，使得原本安全的网页存在恶意脚本;或者是直接添加有恶意脚本的网页并诱使用户打开，用户访问网页后，恶意脚本就会将用户与网站的会话COOKIE及其它会话信息全部截留发送给攻击者，攻击者就可以利用用户的COOKIE正常访问网站。攻击者有时还会将这些恶意脚本以话题的方式提交到论坛中，诱使网站管理员打开这个话题，从而获得管理员权限，控制整个网站。跨站脚本漏洞主要是由于没有对所有用户的输入进行有效的验证所造成的，它影响所有的Web应用程序框架。
　　22、XSS有哪些危害
　　答：XSS攻击的危害包括：
　　? 　　盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号;
　　? 　　控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力;
　　? 　　盗窃企业重要的具有商业价值的资料;
　　? 　　非法转账;
　　? 　　强制发送电子邮件;
　　? 　　网站挂马;
　　? 　　控制受害者机器向其它网站发起攻击。
　　23、什么叫Shellcode
　　答：Shellcode实际是一段代码(也可以是填充数据)，可以用来发送到服务器，利用已存在的特定漏洞造成溢出，通称“缓冲区溢出攻击”中植入进程的代码。这段代码可以是导致常见的恶作剧目的的弹出一个消息框弹出，也可以用来删改重要文件、窃取数据、上传木马病毒并运行，甚至是出于破坏目的的格式化硬盘等等。
　　24、什么叫网站漏洞
　　答：随着B/S模式被广泛的应用，用这种模式编写Web应用程序的程序员也越来越多。但由于开发人员的水平和经验参差不齐，相当一部分的开发人员在编写代码的时候，没有对用户的输入数据或者是页面中所携带的信息(如Cookie)进行必要的合法性判断，导致了攻击者可以利用这个编程漏洞来入侵数据库或者攻击Web应用程序的使用者，由此获得一些重要的数据和利益。
　　25、什么叫木马
　　答：木马(Trojan)这个名字来源于古希腊传说，在互联网时代它通常是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。
　　26、什么叫网站挂马
　　答：“挂马” 就是黑客入侵了一些网站后，将自己编写的网页木马嵌入被黑网站的主页中。当访问者浏览被挂马页面时，自己的计算机将会被植入木马，黑客便可通过远程控制他们的计算机来实现不可告人的目的。网页木马就是将木马和网页结合在一起，打开网页的同时也会运行木马。最初的网页木马原理是利用IE浏览器的ActiveX控件，运行网页木马后会弹出一个控件下载提示，只有点击确认后才会运行其中的木马。这种网页木马在当时网络安全意识普遍不高的情况下还是有一点威胁的，但是其缺点显而易见，就是会出现ActiveX控件下载提示。现在很少会有人去点击那莫名其妙的ActiveX控件下载确认窗口了。在这种情况下，新的网页木马诞生了。这类网页木马通常利用IE浏览器的漏洞，在运行的时候没有丝毫提示，因此隐蔽性极高。
　　27、什么叫DOS./DDOS攻击?
　　答：DoS即Denial Of Service，拒绝服务的缩写。DoS是指利用网络协议实现的缺陷来耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃。在此攻击中并不包括侵入目标服务器或目标网络设备。这些被大量消耗的服务资源包括网络带宽、文件系统空间容量、开放的进程或者允许的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽有多高，都无法避免这种攻击带来的后果。
　　DDoS(Distributed Denial Of Service)又把DoS又向前发展了一大步，这种分布式拒绝服务攻击是黑客利用在已经被侵入并已被控制的、不同的高带宽主机(可能是数百，甚至成千上万台)上安装大量的DoS服务程序，它们等待来自中央攻击控制中心的命令。中央攻击控制中心再适时启动全体受控主机的DoS服务进程，让它们对一个特定目标发送尽可能多的网络访问请求，形成一股DoS洪流冲击目标系统，猛烈地DoS攻击同一个网站。被攻击的目标网站会很快失去反应而不能及时处理正常的访问甚至系统瘫痪崩溃。
　　28、什么叫网络钓鱼
　　答：网络钓鱼(Phishing?，又名钓鱼法或钓鱼式攻击)是通过传播“声称来自于银行或其他知名机构”的欺骗信息，意图引诱受害者泄漏出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将受害者引诱到一个与其目标网站非常相似的钓鱼网站上，并获取受害者在此网站上输入的个人敏感信息。通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。
　　29、什么叫网络蠕虫
　　答：一般认为：蠕虫病毒是一种通过网络传播的恶性病毒，它除具有病毒的一些共性外，同时具有自己的一些特征。如：不利用文件寄生(有的只存在于内存中)、对网络造成拒绝服务，以及与黑客技术相结合，等等。蠕虫病毒主要的破坏方式是大量的复制自身，然后在网络中传播，严重占用有限的网络资源，最终引起整个网络的瘫痪，使用户不能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失，因此它的危害性是十分巨大的。有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能，更是严重的地危害到用户的系统安全。
　　30、什么叫僵尸网络
　　答：僵尸网络(英文名称叫BotNet)，是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击。如：分布式拒绝服务攻击(DDoS)、海量垃圾邮件等。同时，黑客控制的这些计算机所保存的信息也都可以被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护，僵尸网络都是极具威胁的隐患。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上最受黑客青睐的作案工具。
　　31、什么是ARP攻击
　　答：ARP是地址解析协议，是一种将IP地址转化为MAC地址的协议。在网络中，当A主机需要向B主机发送报文时，会先查询本地的ARP缓存表，找到与B主机IP地址对应的MAC地址后，进行数据传输。如果未找到，则会发送一个广播ARP请求报文，请求对应B主机IP的B回应MAC地址。这个广播包会被整个广播域中所有主机收到，但只有B主机会发现IP地址对应自己，才会将MAC地址回应给A。此时A收到这个回应并更新自己的ARP缓存，进行下一步的数据传输。ARP攻击应当叫做ARP欺骗，就是冒充网关地址对网络中主机给出ARP查询回应，使得本来是A-&网关的数据走向，变成A-&攻击者-&网关。
　　32、ARP攻击的危害有哪些?
　　答：ARP攻击的危害主要有两个方面。从ARP攻击的原理来看，这种攻击使得受害主机的所有网络数据都将通过攻击者进行转发。这样一来，要窃取信息或控制流量就变得轻而易举。另一方面，由于ARP缓存会不断刷新，有的时候，真正的网关会偶尔“清醒”。当真正的网关参与到数据包转发中来时，由于做了一个切换动作，可能会有频繁的短暂掉线现象。所以，如果Web服务器所在网络中发生了ARP攻击，将导致Web服务器不可访问。
　　细分攻击介质：
　　33、WEB应用系统(网站)会面临来自哪些方面的安全问题
　　答：网站面临的安全问题是方方面面的，主要可概括为以下四个方面：
　　1)操作系统、后台数据库的安全问题
　　这里指操作系统和后台数据库的漏洞，配置不当，如弱口令等等，导致黑客、病毒可以利用这些缺陷对网站进行攻击。
　　2)Web发布系统的漏洞
　　Web业务常用的发布系统(即Web服务器)，如IIS、Apache等，这些系统存在的安全漏洞，会给入侵者可乘之机。
　　3)Web应用程序的漏洞
　　主要指Web应用程序的编写人员，在编程的过程中没有考虑到安全的因素，使得黑客能够利用这些漏洞发起对网站的攻击，比如SQL注入、跨站脚本攻击等等。
　　4)自身网络的安全状况
　　网站服务器所处的网络安全状况也影响着网站的安全，比如网络中存在的DoS攻击等，也会影响到网站的正常运营。
　　34、Web程序漏洞是怎么形成的
　　答：Web站点之所以存在如此众多的安全漏洞，是由下列所示的这些原因造成的：
　　1、 大部分的中小型网站都是使用某个建站模块建设的，而这些通用的建站模块不仅本身存在各种安全漏洞，同时一些使用它们的建站人员根本没有在建站完成后对站点进行安全加固。
　　2、 Web站点开发人员对安全不够重视，在编写网页时，没有对用户的输入进行验证，没有对数据的大小、类型和字符串进行规范，没有限制API函数对系统资源的使用，以及对Web服务器没有进行相应的资源限制，引起拒绝服务攻击。
　　3、 管理员对Web服务器主机系统及Web应用程序本身配置不当，一些中小企业自己管理的Web站点根本没有足够的技术人员来管理它们的安全。
　　4、 当Web站点是托管在某个电信机房时，对它们进行的远程管理存在安全风险。
　　5、 Web站点管理员本身技术水平的限制，对各种针对Web站点的安全攻击不了解，也没有端正工作态度，没能对站点进行认真的安全加固，以及进行日常的安全检查。
　　6、 Web站点所处网络大环境的安全设计不合理，以及没有将安全防范工作融入到站点整个生命周期的各个阶段。
　　7、 企业领导不够重视，在Web站点的安全防范方面投入的资金太少或不合理，没有制定一个有效的Web站点安全防范策略，明确Web站点日常管理流程，也没有对Web站点的管理人员和工作人员进行不断的安全培训。
　　35、黑客主要利用哪些方法对网站进行数据窃取和修改
　　答：黑客需要使用拥有一定权限的用户帐户才能对网站进行数据窃取和修改，所以可能造成用户权限泄漏或提升的漏洞，都可以被黑客利用来进行攻击，如SQL注入，溢出漏洞、暴力猜解等。
　　36、目前对Web服务器威胁较大的SQL注入工具有哪些?
　　答：网上常见的SQL注入工具有“啊D SQL注入工具”、pangolin、NBSI、HDSI、“管中窥豹注入工具”等。
　　37、目前对Web服务器威胁较大的XSS攻击工具有哪些?
　　答：网上常见的XSS攻击工具有sessionIE、Webscan、XSS Inject Scanner 等。
　　解决方案简介：
　　38、怎样应对Web业务安全事件
　　答：应对Web业务安全事件，从根本上的解决办法就是对Web应用程序源代码进行代码检查和漏洞修复，但是这会影响正常Web业务运行，而且费用较高。比较有效的解决方案是通过专业的Web业务安全检查工具或服务来检查网站安全状况，部署专业的Web安全产品。比如基于行为检测的入侵防御产品。同时在管理上，要求网管人员实时对网站进行监测，一旦发现网页被篡改等问题立刻进行页面恢复、删除恶意脚本等工作。
引用:原帖由 lnhzhlyj 于
11:30 发表
网络安全基础知识学习之Web安全百问百答
　　1、什么叫Web应用系统?
　　答：Web应用系统就是利用各种动态Web技术开发的，基于B/S(浏览器/服务器)模式的事务处理系统。用户直接面对的是客户端浏览器，使用Web应 ... 敢问楼上是Web安全领域的专家吗？