- 博客(72)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 泛微科技 面试
专业面问的很专业,适合专业能力强的应聘者,一对一单面,面试官应该为部门的直属领导,专业能力很强。泛微有两个公司,一个是做OA的,一个是做电子印章的。电子印章适合搞密码的,没去应聘,具体情况不清楚。招聘OA那边是初面,专业面,hr面。
2023-07-06 11:39:53
168
原创 中航集团(国航股份)信息管理部 面试
一面和二面的内容差不多,不过说是不同的领导,因此两次都要好好准备,两次面试均为专业面,都会根据简历进行专业知识的提问。笔试为国航统一组织的笔试,会有英文笔试内容,笔试题中数学题较多。国航的流程很慢,适合最后用来保就业。国航的流程为一面,二面,笔试,体检。
2023-07-06 11:36:09
954
13
原创 工行软开、业研 面试
参加工行统一笔试,笔试后要等一段时间才会收到面试,软开的北京杭州均为单面,且均为一轮。业研的面试为不分岗位的群面,也为一轮。面试均为专业面,会根据简历进行提问,总体来说业研的面试要比软开的严格。
2023-07-06 11:27:32
226
原创 河北移动(夏招) 面试
河北移动组织统一笔试,笔试后为多对一的面试,因为走得夏招,所以流程很快,差不多2周就可以走完全部流程,收到体检通知。总体面试笔试难度不大,市分公司先培训,再定岗。
2023-07-06 11:26:33
105
原创 四川通信科研规划设计有限责任公司(设计院) 面试
公司的招聘流程拖得很久,毕竟是中通服的子公司,相关审批可能要逐级上报,如果等不及可以问HR,公司人力的电话基本上都是打得通的。中国电信四川分公司统一组织笔试,笔试后有两场面试,初面为线上群面,二面为线下群面,一面会涉及技术问题,二面主要考察综合能力。
2023-07-06 11:23:49
221
原创 社会工程学
社会工程学 社会工程学(Social Engineering)简称社工,它是通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害的一种危害手段。 信息收集 Whois Whois可以用来查询域名是否已经被注册,如果已经注册,将会查询域名的详细信息,比如:域名注册商、域名注册日期、域名注册人联系方式等,如图16-1所示,可以查询到2cto.com域名注册人的邮箱、手机号码、地址等信息。 友情链接和联系方式 利用Whois反查
2022-01-23 16:29:48
2693
原创 ARP欺骗攻击
ARP欺骗攻击 ARP协议简介 ARP是Address Resolution Protocol(地址解析协议)的缩写 ARP缓存表 任何一台主机安装了TCP/IP协议都会有ARP缓存表,该表保存了这个网络(局域网)中各主机IP对应的MAC地址,ARP缓存表能够有效地保证数据传输的一对一特性。 在Windows中使用 arp -a命令查看缓存表 在此时的ARP缓存表中可以看到,192.168.1.12对应的MAC地址为2c-d0-5a-05-8e-fl,并且类型
2022-01-23 16:29:16
3850
原创 提 权
提权 攻击者对服务器提权一般分为两种: 一种是溢出提权,另一种是第三方组件提权。 溢出提权 溢出提权是指攻击者利用系统本身或系统中软件的漏洞来获取 root权限,其中溢出提权又分为远程溢出与本地溢出。 远程溢出是指攻击者只需要与服务器建立连接,然后根据系统的漏洞,使用相应的溢出程序,即可获取到远程服务器的 root权限。 本地溢出,攻击者首先需要有服务器一个用户,且需要有执行权限的用户才可能发起提权。攻击者通常会向服务器上传本地溢出程序,在服务器端执行。如果系统存在漏洞,那么将
2022-01-23 16:28:34
1448
原创 旁 注 攻 击
旁注攻击 旁注攻击即攻击者在攻击目标时,对目标网站“无从下手”,找不到漏洞时,攻击者就可能会通过具有同一服务器的网站渗透到目标网站,从而获取目标站点的权限。 服务器端Web架构 Web应用程序与数据库 当攻击者在攻击“xxser.com”时,并未发现风险,但通过攻击“secbug.org”得到了数据库的root 权限,这样“xxser.com”的数据可能会被泄露 IP逆向查询 许多网站都提供了基于P到网站的逆向查询功能,通过这类网站攻击者可以查找到部署在同一 Web
2022-01-23 16:27:18
3338
原创 暴力破解测试
暴力破解测试 C/S架构破解 C/S 结构即大家熟知的客户端和服务结构 SQL Server 利用Hydra对数据库进行破解 Hydra目前支持的破解服务有:FTP、MSSQL、MYSQL、POP3、SSH Hydra破解示例如下: (1)破解MySQL密码 hydra.exe -L c: luser.txt -P c :\pass.txt 192.168.1.110 mysql 使用-L指定用户名文件,-P指定密码文件。
2022-01-20 11:04:19
801
原创 实战入侵与防范
实战入侵与防范 开源程序安全剖析 0day 攻击 0day的含义为破解,Oday已经引申了这个含义,一般是指没有公开,没有补丁的漏洞,也就是未公开的漏洞。 挖掘Oday的方式一般有两种:源代码审计(白盒测试)和模糊渗透测试(黑盒测试)。 网站后台安全 导致网站后台安全的原因 模板 以WordPress为例 文件管理 文件管理与模板获取 WebShell 相似,而文件管理的风险更高,因为文件编辑模块本来可以对文本进行编辑,包括
2022-01-19 15:56:58
943
原创 其他漏洞
其他漏洞 CSRF CSRF攻击:攻击者盗用了你的身份,以你的名义进行某些非法操作。CSRF能够使用你的账户发送邮件,获取你的敏感信息,甚至盗走你的财产。 CSRF攻击场景(GET) CSRF 攻击是黑客借助受害者的Cookie骗取服务器的信任,但是黑客并不能获取到Cookie,也看不到Cookie的内容。另外,由于浏览器同源策略的限制,黑客无法从返回的结果中得到任何东西,CSRF所能做的就是给服务器发送请求. CSRF攻击场景(POST) 使用 POST方式接收数据一样阻
2022-01-16 20:45:11
342
原创 文件包含漏洞
文件包含漏洞 PHP包含 PHP中提供了四个文件包含的函数,分别是 include()、include once()、require()和require_once()。这四个函数都可以进行文件包含,但作用却不一样,其区别如下: 文件包含示例 本地包含 Local File Include (LFI) Index.php对ArrayUtil.php进行包含,并且使用PrintArr 函数 phpinfo.txt文件
2022-01-15 19:40:07
721
原创 命令执行漏洞
命令执行漏洞 命令执行漏洞是指攻击者可以随意执行系统命令。 OS命令执行漏洞示例 Web应用程序DVWA(著名的渗透测试演练平台)提供了测试域名/IP的Ping 服务(命令执行漏洞测试模块),并将Ping 命令的执行过程显示出来。下面测试域名www.xser.com是否可以正常连接,如图所示 由于命令可以连接执行,因此 命令执行漏洞 命令执行漏洞是直接调用操作系统命令,故这里叫作OS命令执行漏洞,而代码执行漏洞则是靠执行脚本代码调用操作系统命令,如:
2022-01-15 17:12:23
398
原创 XSS跨站脚本漏洞
XSS跨站脚本漏洞 XSS类型 XSS主要被分为三类,分别是:反射型、存储型和 DOM型。 反射型XSS 反射型XSS也被称为非持久性XSS,是现在最容易出现的一种XSS漏洞。当用户访问个带有XSS代码的URL请求时,服务器端接收数据后处理,然后把带有XSS代码的数据发送到浏览器,浏览器解析这段带有XSS代码的数据后,最终造成XSS 漏洞。这个过程就像一次反射,故称为反射型XSS。 攻击步骤 存储型XSS 允许用户存储数据的Web应
2022-01-15 16:40:32
687
原创 文件上传漏洞
上传漏洞 解析漏洞 常见的Web容器有IIS、Nginx、Apache、Tomcat等,下面将以IIS、Apache 容器为例讲解。 IIS解析漏洞 当建立*.asa、*.asp格式的文件夹时,其目录下的任意文件都将被IIS当作 asp文件来解析 当文件为*.asp;1.jpg 时,IIS 6.0同样会以ASP脚本来执行 Apache解析漏洞 PHP CGI解析漏洞 Nginx是一款高性
2022-01-12 16:39:21
134
原创 SQL注入漏洞
SQL注入漏洞 SQL注入原理 使用方法 'or 1=1 --' SQL语句的本意为 username='账户' and password='密码' 注入之后为 username='账户' or 1=1--' and password='' 此时的 password根本起不了任何作用,因为它已经被注释了,而且 username='账户' or 1=1这条语句永远为真,那么最终执行的SQL语句相当于: select count(*) from
2022-01-12 16:18:38
3946
原创 信息内容探测
信息探测 Google Hack Google 常用语法 Nmap Nmap常用扫描参数及说明 指纹识别 针对计算机或计算机系统的某些服务的指纹识别 计算机指纹识别的识别过程与常见的指纹识别是相通的,比如,某CMS 存在一个特征,在根目录下会存在“dxs.txt”,且内容为dxs v1.0,这个特征就相当于这个CMS的指纹,在碰到其他网站时,也存在此特征,此时就可以快速识别这一CMS,故叫作指纹识别。 ...
2022-01-09 19:36:49
249
原创 深入HTTP请求流程
深入HTTP请求流程 URL(统一资源定位符)也被称为网页地址,是互联网标准的地址。URL的标准格式如下: 协议://服务器IP [:端口]/路径/[?查询] HTTP遵循请求(Request)/应答(Response)模型 HTTP请求 HTTP请求包括三部分,分别是请求行(请求方法)、请求头(消息报头)和请求正文。面是HTTP请求的一个例子。 POST /login.php HTTP/1.1 //请求行 HOST: www . xxser.com //请求头
2022-01-09 19:35:49
1802
原创 Web安全简介
Web安全简介 Web默认运行在服务器的80端口上 渗透服务器的攻击手段 C段渗透:攻击者通过渗透同一网段内的一台主机对目标主机进行ARP等手段的渗透。 社会工程学:社会工程学是高端攻击者必须掌握的一个技能,渗透服务器有时不仅仅只靠技术。详细内容请参照第16章“社会工程学”。 Services:很多传统的攻击方式是直接针对服务进行溢出的,至今一些软件仍然存在溢出漏洞。 ...
2022-01-09 19:35:10
390
原创 操作系统接口
联机命令接口 联机命令的类型 系统访问类 磁盘操作类 文件操作类 目录操作类 其他命令 键盘终端处理程序 为了实现人机交互,还须在微机或终端上配置相应的键盘终端处理程序,它应具有下述几方面的功能: 接收用户从终端上打入的字符。 字符缓冲,用于暂存所接收的字符。 回送显示。 屏幕编辑。 特殊字符处理。 命令解释程序 组成 常驻部分。 初始化部分。 暂存部分。 命令解释程序工作流程
2021-11-23 19:33:08
387
原创 磁盘存储器的管理
主要任务和要求 有效地利用存储空间 提高磁盘的I/O速度 提高磁盘系统的可靠性 外存的组织方式 连续组织方式 连续组织方式的主要优缺点 主要优点如下: 顺序访问容易。 顺序访问速度快。 主要缺点如下: 要求有连续的存储空间。 必须事先知道文件的长度。 不能灵活地删除和插入记录。 不便于动态增长的文件。 隐式链接 显式链接 FAT技术 在微软公司的早
2021-11-23 19:32:27
869
原创 文件系统管理
文件系统的概念 文件系统的引入 软件资源 软件资源:各种系统程序,以及标准子程序库和应用程序,数据。 软件资源都是一组相关联的信息(程序和数据)的集合。 引入文件系统的原因 方便用户,保证文件的安全性,提高资源利用率 文件系统的功能 实现按名存取 文件的物理结构 文件信息的检索 文件的共享和保护 文件和文件系统 数据项、记录和文件 数据项 基本数据项。描述一个对象的某种属性的字符集,是数据组织中可以命名的最小逻辑数据
2021-11-23 19:31:36
406
原创 输入输出系统
I/O系统的功能、模型和接口 I/O系统的基本功能 隐藏物理设备的细节 仅向上层进程提供少量的、抽象的读/写命令 与设备的无关性 提高处理机和I/O设备的利用率 对I/O设备进行控制 确保对设备的正确共享 错误处理 I/O系统的层次结构和模型 I/O系统的层次结构 I/O系统中各种模块之间的层次视图 I/O系统接口 块设备接口 流设备接口: 字符设备接口 网络通信接口 I/O设备的类型
2021-11-13 20:43:33
851
原创 虚拟存储器
虚拟存储器的基本概念 虚拟存储器的引入 常规存储器管理方式的特征 一次性。 驻留性。 局部性原理 在一较短的时间内,程序的执行仅局限于某个部分,所访问的存储空间局限于某个区域。 时间局部性、空间局部性 虚拟存储器定义 所谓虚拟存储器,是指具有请求调入功能和置换功能,能从逻辑上对内存容量加以扩充的一种存储器系统。其逻辑容量由内存容量和外存容量之和所决定,其运行速度接近于内存速度,而每位的成本却又接近于外存。 虚拟存储器的实现方法
2021-11-13 20:41:47
700
原创 存储器管理
存储器的层次结构 存储器管理的目的 主存的分配和管理: 当用户需要内存时,系统为之分配相应的存储空间;不需要时,及时回收,以供其它用户使用。 提高主存储器的利用率: 不仅能使多道程序动态地共享主存,提高主存利用率,最好还能共享主存中某个区域的信息。 “扩充”主存容量: 为用户提供比主存物理空间大得多的地址空间,以至使用户感觉他的作业是在这样一个大的存储器中运行。 存储保护: 确保多道程序都在各自分配到存储区域内操作,互不干扰,防止一道程序破坏其它作业或系统
2021-11-13 20:40:44
521
原创 网络安全服务与管理
等保发展历程 1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》 ——计算机信息系统实行安全等级保护,安全等级的划分标准和具体办法,由公安部分会同有关部门制定。 2003年 中办发《关于加强信息安全保障工作的意见》 ——要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。 2007年 公通字《信息安全等级保护管理办法》 ——明确了信息安全等级保护的具体要求,需要履行信息安全等级保护的义
2021-10-28 09:38:37
2797
原创 主机安全测评
前言 主机相关知识点 主机按照其规模或系统功能来区分,可分为巨型、大型、中型、小型、微型计算机和单片机。 主机安全是由操作系统自身安全配置、相关安全软件以及第三方安全设备等来实现,主机测评主要是依据基本要求对主机安全进行符合性检查。 目前运行在主机上的主流操作系统有Window、Linux、SunSolaris、IBMAIX、HP-Uinx等。 测评对象是主机上各种类型的操作系统 C2指通过注册过程控制、审计安全相关事件以及资源隔离使单个用户为其行为负责的操作系统
2021-10-28 09:35:43
2448
原创 应用安全测评
主要内容 应用安全控制点 应用安全测评点 应用安全测评实验 应用安全控制点 应用系统可大致分为两类: 1)基于网络的应用: 基于网络的应用是形成其他应用的基础,包括消息发送、web浏览器等等,可以说是基本的应用; 2)基于业务的应用: 业务应用采纳基本应用的功能以满足特定业务的要求,如电子商务、电子政务等; 3)由于各种基本应用最终为业务应用服务的,因此对应用系统的安全保护最终就是如何保护系统的各种业务应用程序安全运行。 业务应用安全共有11个控
2021-10-28 09:34:32
588
原创 信息安全风险评估
资产识别 风险概述 “风险”术语的由来: 有风就有险(古代的渔民和海员)。 常见的风险: 自然灾害风险(地震、台风)、战争风险(台海、陈涉吴广)、金融风险(股票)…… 国际标准化组织对风险的定义: “风险是不确定性对目标的影响”。 何谓信息安全风险? ——人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件发生及其对组织造成的影响。 风险和安全 风险和安全是一个矛盾统一体,成反比关系(感受到越不安全,感受到的
2021-10-28 09:33:13
4280
原创 信息安全测评
信息安全测评的科学精神 怀疑、批判、创新、求实、协作 信息安全测评的科学方法 信息安全测评工作最主要的方法: 系统科学/系统工程 系统还原论 使用分析、分解的方法和演绎、精确的数学工具,对分解后的最小部件进行定量的刻画,然后又回过头来逐级叠加,形成对系统整体的定量描述。 缺点: 学科分割、“只见树木不见森林” 复杂系统论 定性分析和定量计算向结合的现代系统科学思想,欧洲的“复杂巨系统理论”、美国的“复杂性理论”、中国的“开发的复杂巨系统理论”。
2021-10-28 09:31:26
1002
原创 网络安全测评
网络安全的控制点 网络安全保障的两个对象 服务安全: 确保网络设备的安全运行,提供有效的网络服务。 数据安全: 确保在网络上传输数据的保密性、完整性和可用性。 网络环境是抵御内外攻击的第一道防线,“基本要求”规定了8个控制点 结构安全与网段划分 网络访问控制 拨号访问控制 网络安全审计 边界完整性检查 网络入侵防范 恶意代码防范 网络设备防护 结构安全与网段划分 在对网络安全实现全方位保护之前,首先应该关注网络的资源分
2021-10-28 09:30:18
8217
原创 处理机调度与死锁
处理机调度的层次和调度算法的目标 处理机调度的层次 高级调度(后备队列→就绪队列) 又称为作业调度、长程调度,用于决定把外存上处于后备队列中的哪些作业调入内存,并为它们创建进程、分配必要的资源,排在就绪队列上。 批处理操作系统中的高级调度。 分时系统和实时系统一般不需要高级调度。 中级调度(中程调度) 主要目的是为了提高内存利用率和系统吞吐量。 将处于外存交换区中的就绪状态或等待状态的进程调入内存,或把处于内存就绪状态或内存等待状态的进程交换到外存交换区中。
2021-10-28 09:28:15
434
原创 进程的描述与控制
前驱图和程序的执行 前驱图 前趋图的定义 前趋图(Procedence Graph)是一个有向无循环图DAG(Directed Acyclic Graph)。 结点:语句、程序段或进程。 有向边→:前趋关系,执行顺序。Pi→Pj或(Pi,Pj)。 初始节点 终止节点 重量:程序量或执行时间。 前趋图示例 程序的顺序执行及其特征 程序的顺序执行 可以一个程序分成若干个程序段,各程序段之间,必须按照某种先后次序顺序
2021-10-28 09:26:41
686
转载 python3的local, global, nonlocal简析
ython3:变量作用域及global,nonlocal的用法在Python程序中声明、改变、查找变量名时,都是在一个保存变量名的命名空间中进行中,此命名空间亦称为变量的作用域。python的作用域是静态的,在代码中变量名被赋值的位置决定了该变量能被访问的范围。即Python变量的作用域由变量所在源代码中的位置决定.变量作用域之LENGB L = Local 局部作用域 E = Enclosing 嵌套作用域 N = nonlocal 只作用于嵌套作用域,而且只..
2021-09-22 21:27:29
252
原创 操作系统引论
操作系统的目标和作用 计算机系统的组成 硬件系统(裸机): CPU、存储器(主存、辅存)、I/O、I/O控制系统 软件系统: 系统软件、应用软件 系统软件: 管理计算机本身的操作。如操作系统、编译…. 应用软件: 提供给用户进行解题。如,科学计算、事物管理 计算机系统的层次结构 操作系统的目标 目前存在着多种类型的OS,不同类型的OS,其目标各有所侧重。通常在计算机硬件上配置的OS,其目标有以下几点:
2021-09-21 11:20:30
173
原创 计算机网络谢希仁第七版第四章习题
4-09:(1)子网掩码为 255.255.255.0 代表什么意思?(2)一个网络的现在掩码为 255.255.255.248,问该网络能够连接多少个主机?(3)一个A 类网络和一个B 网络的子网号 subnet-id 分别为 16个1 和 8个1,问这两个子网掩码有何不同?(4)一个 B 类地址的子网掩码是 255.255.240.0。试问在其中每一个子网上的主机数最多是多少?(5)一个A 类网络的子网掩码为 255.255.0.255;它是否为一个有效的子网掩码?(6)某个 IP 地址的十六进制表示
2021-08-13 11:03:29
5243
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人