[专家们公认的20个最危险的安全漏洞

专家们公认的20个最危险的安全漏洞

大概在一年前，SANS研究所和国家基础设施保护中心（NIPC）发布了一份文档，总结了

10个最严重的网络安全漏洞。数以千计的组织利用这份文档来安排他们工作的先后次序，以便能够首先关掉最危险的漏洞。2001年10月1日发布的这份新的列表更新并扩展了以前的TOP10 列表，增加为20个最危险的安全漏洞，并将其分为三大类，通用漏洞，Windows漏洞，UNIX 漏洞。

这份SANS/FBI最危险的20个漏洞列表是非常有价值的，因为大多数通过Internet对计算

机系统的入侵均可以追溯到这20个安全漏洞，例如对五角大楼Solar Sunrise系统的攻击，Code Red和Nimda蠕虫的快速传播，均可以归结为没有对这20个漏洞打补丁。

就是这少数几个软件漏洞成就了大多数的成功攻击，是因为攻击者是机会主义者，他们使

用最简单和常用的方法。他们使用最有效和广泛传播的攻击工具，去攻击众所周知的漏洞。他们寄希望于有关组织不解决这些漏洞。他们扫描网络上有任何漏洞的系统，不做区分地加以攻击。过去，系统管理员报告说他们没有弥补很多漏洞，是因为他们不知道哪些漏洞是最危险的，

他们太忙了，没有时间修补全部漏洞。一些扫描工具可以扫描300或500，甚至800个漏洞，这就分散了系统管理员的注意力。系统管理员应该保障所有系统免于最常见的攻击。这份列表集合了大多数联邦安全机构，安全软件开发商，咨询公司，大学中的安全组织，CERT/CC和SANS 研究所的首席安全专家的知识，以简化以上问题。这份文件末尾可以找到参与成员列表。

影响所有系统的漏洞(G)

G1—操作系统和应用软件的缺省安装

G1.1描述：

大多数软件，包括操作系统和应用程序，都包括安装脚本或安装程序。这些安装程序的目的是尽快安装系统，在尽量减少管理员工作的情况下，激活尽可能多的功能。为实现这个目的，脚本通常安装了大多数用户所不需要的组件。软件开发商的逻辑是最好先激活还不需要的功能，而不是让用户在需要时再去安装额外的组件。这种方法尽管对用户很方便，但却产生了很多危险的安全漏洞，因为用户不会主动的给他们不使用的软件组件打补丁。而且很多用户根本不知道实际安装了什么，很多系统中留有安全漏洞就是因为用户根本不知道安装了这些程序。

那些没有打补丁的服务为攻击者接管计算机铺平了道路。

对操作系统来说，缺省安装几乎总是包括了额外的服务和相应的开放端口。攻击者通过这些端口侵入计算机系统。一般说来，你打开的端口越少，攻击者用来侵入你计算机的途径就越少。对于应用软件来说，缺省安装包括了不必要的脚本范例，尤其对于Web服务器来说更是如此，攻击者利用这些脚本侵入系统，并获取他们感兴趣的信息。绝大多数情况下，被侵入系统的管理员根本不知道他们安装了这些脚本范例。这些脚本范例的安全问题是由于他们没有经历其他软件所必须的质量控制过程。事实上，这些脚本的编写水平极为低劣，经常忘记出错检查，给缓冲区溢出类型的攻击提供了肥沃的土壤。

G1.2 受影响的系统

大多数操作系统和应用程序。请注意几乎所有的第三方web服务器扩展都存在这样的样本文件，它们中间的大多数是极度危险的。

G1.3 CVE 表项

（注意：以下列表并不完整，只是部分样本）

CVE-1999-0415, CVE-1999-0678, CVE-1999-0707, CVE-1999-0722, CVE-1999-0746,

CVE-1999-0954, CVE-2000-0112, CVE-2000-0192, CVE-2000-0193, CVE-2000-0217,

CVE-2000-0234, CVE-2000-0283, CVE-2000-0611, CVE-2000-0639, CVE-2000-0672,

CVE-2000-0762, CVE-2000-0868, CVE-2000-0869, CVE-2000-1059

G1.4 怎样判断你是易受攻击的：

如果你使用了安装程序去安装系统或服务软件，而且没有移走不需要的服务，或没有安装所有的安全补丁，那么你的系统是易于被黑客攻击的。

即使你进行了附加的配置，你也仍然是易受攻击的。你应该对任何连到Internet上的系统进行端口扫描和漏洞扫描。在分析结果时，请记住以下原则：你的系统应该提供尽可能少的服务，并安装为提供这些服务所需的最少的软件包。每一个额外的软件或服务都为攻击者提供了一个攻击手段，这主要是由于系统管理员不会为他们不经常使用的软件打补丁。

G1.5 怎样防范：

卸载不必要的软件，关掉不需要的服务和额外的端口。这会是一个枯燥而且耗费时间的工作。正是由于这个原因，许多大型组织都为他们使用的所有操作系统和应用软件开发了标准安装指南。这些指南包括了为使系统有效运作所需的最少的系统特性的安装。

Internet安全中心(CIS) 根据多个国家的170个组织（https://www.sodocs.net/doc/0f16841168.html,/）的知识和

经验，针对Solaris和Windows 2000开发了一套公认的最小安全配置基准，针对其他操作系统的

配置基准和测试工具还在开发中。CIS工具可以测试安全性能，分区比较系统安全状态。CIS指南

可用来提高大多数操作系统的安全性能。

G2 –没有口令或使用弱口令的帐号

G2.1 描述：

大多数系统都把口令作为第一层和唯一的防御线。用户的ID是很容易获得的，而且大多数公司都使用拨号的方法绕过防火墙。因此，如果攻击者能够确定一个帐号名和密码，他（或她）就能够进入网络。易猜的口令或缺省口令是一个很严重的问题，但一个更严重的问题是有的帐号根本没有口令。实际上，所有使用弱口令，缺省口令和没有口令的帐号都应从你的系统中清除。

另外，很多系统有内置的或缺省的帐号，这些帐号在软件的安装过程中通常口令是不变的。攻击者通常查找这些帐号。因此，所有内置的或缺省的帐号都应从系统中移出。

G2.2受影响的系统

所有通过用户ID和口令进行认证的操作系统或应用程序。

G2.3 CVE entries:

（注意：以下列表并不完整，只是部分样本）

CVE-1999-0291, CAN-1999-0501, CAN-1999-0502, CAN-1999-0503,

CAN-1999-0505, CAN-1999-0506, CAN-1999-0507, CAN-1999-0508,

CAN-1999-0516, CAN-1999-0517, CAN-1999-0518, CAN-1999-0519

G2.4 怎样判断你是易受攻击的：

为判断你是否易受攻击，你需要了解你的系统上都有哪些帐号。应进行以下操作：

1．审计你系统上的帐号，建立一个使用者列表，别忘了检查例如路由，连接Internet的打印机、复印机和打印机控制器等系统的口令。

2．制定管理制度，规范增加帐号的操作，及时移走不再使用的帐号。

3．经常检查确认有没有增加新的帐号，不使用的帐号是否已被删除。

4．对所有的帐号运行口令破解工具，以寻找弱口令或没有口令的帐号。（在你这么做之前，先确定你有权利这么做）

a.LC3 – Microsoft Windows NT and Microsoft Windows 2000, https://www.sodocs.net/doc/0f16841168.html,/

b.Microsoft Personal Security Advisor, – Microsoft Windows NT and Microsoft Windows 2000, https://www.sodocs.net/doc/0f16841168.html,/security/mpsa

c.John the Ripper – Unix, https://www.sodocs.net/doc/0f16841168.html,/john

d.Pandora – Novell, https://www.sodocs.net/doc/0f16841168.html,/pandora

5.当雇员或承包人离开公司时，或当帐号不再需要时，应有严格的制度保证删除这些帐号。

G2.5 怎样防范：

应采取两个步骤以消除口令漏洞。第一步，所有没有口令的帐号应被删除或加上一个帐号，所有弱口令应被加强。可悲的是，当用户被要求改变或加强他们的弱口令时，他们经常又选择一个容易猜测的。这就导致了第二步，用户的口令在被修改后，应加以确认。可以用程序来拒绝任何不符合你安全策略的口令，可在如下地址获得常用的程序：

1.For UNIX: Npasswd, https://www.sodocs.net/doc/0f16841168.html,/cc/unix/software/npasswd

2 .For Windows NT: Passfilt, https://www.sodocs.net/doc/0f16841168.html,/support/kb

/articles/Q161/9/90.asp

这些程序保证了修改口令时，口令的长度和组成使得破解非常困难。应指出，很多UNIX系统有保证口令强壮性的功能，另外还有很多其他软件包也可以达到这个目的。

很多组织使用口令控制程序，以保证口令经常更改，而且旧口令不可重用。如果使用口令有效期，请确认用户在口令过期之前收到警告并有足够的时间改变口令。当面对以下信息时，"your password has expired and must be changed," 用户往往会选择一个坏口令。

Microsoft Windows 2000在Group Policy中包括口令限制选项。系统管理员可以配置网络，使口令有最小长度，最小和最大有效期等限制。限制口令的最小有效期是很重要的，如果没有它，用户在被要求修改口令后会很快又把口令改回去。限制口令的最小有效期使得用户不得不记住现在的口令，而不太会把口令改回去。

另外一个很重要的手段是使用户了解，为什么以及怎样去选择强壮的口令。选择口令最常见的建

议是选取一首歌中的一个短语或一句话，将这些短语的非数字单词的第一或第二个字母，加上一些数字来组成口令，在口令中加入一些标点符号将使口令更难破解。

另一个避免没有口令或弱口令的方法是采用其他认证手段，例如口令产生令牌

（password-generating tokens）或生物尺度（biometrics）。如果你没有办法解决弱口令的问题，

尝试一下其它认证手段。

G3 –没有备份或者备份不完整

G3.1 描述：

当事故发生时（这在每一个组织均有可能发生），从事故中恢复要求及时的备份和可靠的数据存储方式。一些组织的确每天做备份，但是不去确认备份是否有效。其他一些组织建立了备份的策略和步骤，但却没有建立存储的策略和步骤。这些错误往往在黑客进入系统并已经破坏数据后才被发现。

第二个问题是对备份介质的物理保护不够。备份保存了和服务器上同样敏感的信息，它们应以相同的方式加以对待。

G3.2受影响的系统

任何运行紧要任务的系统

G3.3 CVE entries:

N/A

G3.4怎样判断你是易受攻击的：

应列出一份紧要系统的列表。然后对每一个系统可能遇到的风险和威胁进行分析。应根据这些重要的服务器制定备份方式和策略。一旦确认了这些重要系统，应明确以下重要问题：

1．系统是否有备份？

2．备份间隔是可接受的吗？

3．系统是按规定进行备份的吗？

4．是否确认备份介质正确的保存了数据？

5．备份介质是否在室内得到了正确的保护？

6．是否在另一处还有操作系统和存储设施的备份？（包括必要的license key）

7．存储过程是否被测试及确认？

G3.5怎样防范：

应当每天做备份。在大多数组织中，最低的要求是一周做一次完整的备份，之后每天再做增量备份。至少一个月要对备份介质做一次测试，以保证数据确实被正确的保存了下来。这是最低要求。很多公司每天都做完整的备份，并且一天就要做多次备份。备份的终极目的是一个完全冗余的网络，并且具备自动防故障能力---实时金融和电子商务系统，重要设施的控制系统和一些国防部门的系统都需要这样一个备份方案。

G4 –大量打开的端口

G4.1 描述

合法的用户和攻击者都通过开放端口连接系统。端口开得越多，进入系统的途径就越多。因此，为使系统正常运作，保持尽量少的端口是十分必要的。所有无用的端口都应被关闭。

G4.2受影响的系统：

大多数操作系统。

G4.3 CVE entries:

（注意：以下列表并不完整，只是部分样本）

CVE-1999-0189, CVE-1999-0288, CVE-1999-0351, CVE-1999-0416, CVE-1999-0675,

CVE-1999-0772, CVE-1999-0903, CVE-2000-0070, CVE-2000-0179, CVE-2000-0339,

CVE-2000-0453, CVE-2000-0532, CVE-2000-0558, CVE-2000-0783, CVE-2000-0983,

G4.4怎样判断你是易受攻击的：

netstat命令可以在本地运行以判断哪些端口是打开的,但更保险的方法是对你的系统进行外部

的端口扫描.这会给你列出所有实际在侦听的端口号.如果二者结果不同,你应该研究一下是什么原因.如果两个列表一致,检查一下为什么这些端口是打开的,每一个端口都在运行什么.任何无

法确认的端口都应被关闭.应记录最终端口列表,以确定没有额外的端口出现。

在众多的端口扫描器中，最流行的是nmap。在https://www.sodocs.net/doc/0f16841168.html,/nmap/ 可以找到UNIX

下的nmap。这个版本在NT下也可以编译。在https://www.sodocs.net/doc/0f16841168.html,/html/Research/Tools/ nmapnt.html可以找到NT版的nmap。无论你使用那种扫描器，都应扫描从1-65,535的所有TCP和UDP

端口。

在进行扫描之前，你应对系统拥有写入权限。一些操作系统，特别是一些有内置的TCP/IP协议栈的器件，在被扫描时，会出现难以预计的后果。扫描同时会触发入侵检测系统和防火墙，而被认为是一种入侵。

G4.5怎样防范：

一旦你确定了哪些端口是打开的，接下来的任务是确定所必须打开的端口的最小集合—关闭其他端口，找到这些端口对应的服务，并关闭/移走它们。

在UNIX系统下，很多服务是由inted和它的配置文件inetd.conf控制的。inetd.conf列出了侦听端口的服务，可用来关闭端口：将一种服务从inetd.conf中移出，重启inted，以避免端口被再次打开。其他一些服务是通过启动时的一些脚本来运行的（例如/etc/rc, /etc/rc.local,或在

/etc/rc*目录下的。由于在不同UNIX系统下关闭这些脚本的方式不同，请查询你的系统文档。

在Windows NT 和Windows 2000下，可使用一种fport（https://www.sodocs.net/doc/0f16841168.html,/）的程序来确定在某个特定端口上侦听的服务或程序。在Windows XP下，你可以netstat命令加-o来完成相同的功能。

G5 –没有过滤地址不正确的包

G5.1描述

IP地址欺诈是黑客经常用来隐藏自己踪迹的一种手段。例如常见的smurf攻击就利用了路由的特性向数以千记的机器发出了一串数据包。每一个数据包都假冒了一个受害主机的IP地址作为源地址，于是上千台主机会同时向这个受害的主机返回数据包，导致该主机或网络崩溃。

对流进和流出你网络的数据进行过滤可以提供一种高层的保护。过滤规则如下：

1．任何进入你网络的数据包不能把你网络内部的地址作为源地址。

2．任何进入你网络的数据包必须把你网络内部的地址作为目的地址。

3．任何离开你网络的数据包必须把你网络内部的地址作为源地址。

4．任何离开你网络的数据包不能把你网络内部的地址作为目的地址。

5．任何进入或离开你网络的数据包不能把一个私有地址（private address）或在RFC1918中列出的属于保留空间（包括10.x.x.x/8, 172.16.x.x/12 或192.168.x.x/16 和网络回送地址127.0.0.0/8.）的地址作为源或目的地址。

6．阻塞任意源路由包或任何设置了IP选项的包。

G5.2受影响的系统：

大多数操作系统和网络设备。

G5.3 CVE entries:

（注意：以下列表并不完整，只是部分样本）

CAN-1999-0528, CAN-1999-0529, CAN-1999-0240, CAN-1999-0588

G5.4怎样判断你是易受攻击的：

试图发送一个假冒IP地址的包，看你的防火墙或路由器是否阻隔了它。你的设备不仅应该阻隔它的传输，而且应该在日志文件中记录下假冒IP包已被丢弃。注意，这又为一种新的攻击敞开了大门：日志文件泛滥。应确认你的日志系统可以处理很强的负载，否则就易受DOS攻击。nmap 程序可以发出假冒IP包以测试这类过滤。一旦设置了过滤规则，不要认为它总能正常工作，经常测试。

G5.5怎样防范：

应在你的外部路由或防火墙上设置过滤规则。以下是CISCO路由器的简单规则：

1．进入过滤：

interface Serial 0

ip address 10.80.71.1 255.255.255.0

ip access-group 11 in

access-list 11 deny 192.168.0.0 0.0.255.255

access-list 11 deny 172.16.0.0 0.15.255.255

access-list 11 deny 10.0.0.0 0.255.255.255

access-list 11 deny

access-list 11 permit any

2. 离开过滤：

interface Ethernet 0

ip address 10.80.71.1 255.255.255.0

ip access-group 11 in

access-list 11 permit

G6 –不存在或不完整的日志：

G6.1 描述：

安全领域的一句名言是：“预防是理想的，但检测是必须的”。只要你允许你的网络与Internet

相连，黑客入侵的危险就是存在的。每周都会发现新的漏洞，而保护你不被黑客攻击的方法很少。一旦被攻击，没有日志，你会很难发现攻击者都作了什么。不了解这一点的话，你只能在两者之间做出选择：要么从原始状态重装系统，寄希望于数据备份是正确的，要么冒险使用一个黑客可能仍然控制的系统。

如果你不知道在你的系统上都发生了什么，你是不可能发现入侵的。日志提供了当前系统的细节，哪些系统被攻击了，那些系统被攻破了。

在所有重要的系统上应定期做日志，而且日志应被定期保存和备份，因为你不知何时会需要它。许多专家建议定期向一个中央日志服务器上发送所有日志，而这个服务器使用一次性写入的介质来保存数据，这样就避免了黑客篡改日志。

G6.2受影响的系统：

所有的操作系统和网络设备。

G6.3 CVE entries:

CAN-1999-0575, CAN-1999-0576, CAN-1999-0578

G6.4怎样判断你是易受攻击的：

查看每一个主要系统的日志，如果你没有日志或它们不能确定被保存了下来，你是易被攻击的。

G6.5怎样防范：

所有系统都应在本地记录日志，并把日志发到一个远端系统保存。这提供了冗余和一个额外的安全保护层。现在两个日志可以互相比较。任何的不同显示了系统的异常。另外，这提供了日志文件的交叉检测。一个服务器中的一行日志可能并不可疑，但如果在一分钟内出现在一个组织的50个服务器的同一出口，可能标志着一个严重问题。

不论何时，用一次性写入的媒质记录日志。

G7 –易被攻击的CGI程序

大多数的web服务器，包括Microsoft的IIS和Apache，都支持CGI程序，以实现一些页面的交互功能，例如数据采集和确认。事实上，大多数web服务器都安装了简单的CGI程序。不幸的

是，大多数CGI程序员没有认识到他们的程序为Internet上的任一个人提供了一个连向web服务器操作系统的直接的链接。易被攻击的CGI程序格外吸引攻击者，是因为他们很容易确定和使

用web服务器上软件的权限。攻击者们可以利用CGI程序来修改web页面，窃取信用卡帐号，为

未来的攻击设置后门。当司法部的页面被篡改后，深入调查得出的结论是可能性最大的攻击手段是CGI程序中的漏洞。由没有受过良好教育或很粗心的程序员编写的web服务器应用程序也很容

易受到攻击。作为一个基本的规则，所有系统都应删除示范（sample）程序。

G7.2受影响的系统：

所有的web服务器。

G7.3 CVE entries:

（注意：以下列表并不完整，只是部分样本）

CVE-1999-0067, CVE-1999-0346, CVE-2000-0207, CVE-1999-0467, CAN-1999-0509,

CVE-1999-0021, CVE-1999-0039, CVE-1999-0058, CVE-2000-0012, CVE-2000-0039,

CVE-2000-0208, CAN-1999-0455, CAN-1999-0477

G7.4 怎样判断你是易受攻击的：

如果你的web服务器上有任何示范程序，你是易被攻击的。如果你有合法的CGI程序，请保证你

是在运行最新版，然后对你的站点运行漏洞扫描工具。通过模仿攻击者的行为，你可以保护你的系统。你可以使用一个叫whisker（https://www.sodocs.net/doc/0f16841168.html,/rfp/）的CGI扫描工具来发现CGI程序的漏洞。

G7.5怎样防范：

以下是为保护易受攻击的CGI程序所需做的首要工作：

1．从你的web服务器上移走所有CGI示范程序。

2．审核剩余的CGI脚本，移走不安全的部分。

3．保证所有的CGI程序员在编写程序时，都进行输入缓冲区长度检查。

4．为所有不能除去的漏洞打上补丁。

5．保证你的CGI bin目录下不包括任何的编译器或解释器。

6．从CGI bin目录下删除"view-source"脚本。

7．不要以administrator或root权限运行你的web服务器。大多数的web服务器可以配置成较低的权限，例如"nobody."

8．不要在不需要CGI的web服务器上配置CGI支持。

最危险的Windows系统漏洞(W)

W1 - Unicode漏洞

W1.1 描述：

不论何种平台，何种程序，何种语言，Unicode为每一个字符提供了一个独一无二的序号。Unicode 标准被包括Microsoft在内的很多软件开发商所采用。通过向IIS服务器发出一个包括非法Unicode UTF-8序列的URL,攻击者可以迫使服务器逐字“进入或退出”目录并执行任意(程

序)(script—脚本)，这种攻击被称为目录转换攻击。

Unicode用%2f和%5c分别代表/和\。但你也可以用所谓的“超长”序列来代表这些字符。“超长”序列是非法的Unicode表示符，它们比实际代表这些字符的序列要长。/和\均可以用一个字节来表示。超长的表示法，例如用%c0%af代表/用了两个字节。IIS不对超长序列进行检查。这样在URL中加入一个超长的Unicode序列，就可以绕过Microsoft的安全检查。如果是在一个标记为可执行的文件夹中发出的请求，攻击者可以在服务器上运行可执行文件。更多的有关Unicode的威胁信息可在这里找到：

https://www.sodocs.net/doc/0f16841168.html,/rfp/p/doc.asp?id=57&face=2

W1.2 受影响的系统：

安装了IIS 4.0的Microsoft Windows NT 4.0和安装了IIS 5.0，而没有安装Service Pack 2的Windows 2000 server。

W1.3 CVE entries:

CVE-2000-0884

W1.4 怎样判断你是易受攻击的：

如果你在运行一个未打补丁的IIS，那么你是易受到攻击的。最好的判断方法是运行hfnetchk。Hfnetchk是用来帮助管理员来判断系统所打补丁情况的工具。Unicode目录转换漏洞可通过打以下补丁进行修补：

? Q269862 - MS00-057

? Q269862 - MS00-078

? Q277873 - MS00-086

? Q293826 - MS01-026

? Q301625 - MS01-044

? Windows 2000 Service Pack 2

如果一个补丁都没有安装，那么系统是易受到攻击的：

为进行进一步确认，你可以键入以下命令：

http://victim/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\

这个地址需要被修改以准确测试每一个特定系统。如果你已移走了scripts目录（建议这

么做），这个命令就失效了。你可以暂时建立一个有执行权限的目录，或使用一个已有的有执行权限的目录，来替代scripts目录。例如，你可能已经删除了scripts目录，但另外有一个cgi-bin目录，使用cgi-bin目录替代scripts目录测试你的系统。

如果你是易受攻击的，这个URL会送回一个目录，列出驱动器C下的所有内容。你只是运行DIR命令，如果是一个攻击者的话，他就有可能大肆破坏或在你的系统上安装一个后门。

W1.5 怎样防范：

为避免这一类攻击，你应下载Microsoft的最新补丁，在Microsoft Security Bulletin：https://www.sodocs.net/doc/0f16841168.html,/technet/security/bulletin/MS00-078.asp 你可以找到这些补丁的信息。

IIS Lockdown和URL Scan均可以避免这类攻击。IIS Lockdown可以帮助管理员锁住IIS server，可在以下地址获得：

https://www.sodocs.net/doc/0f16841168.html,/technet/security/tools/locktool.asp

URLScan是一个可以过滤很多HTTP请求的过滤器。例如，它可以过滤包含UTF8编码字

符的请求。URLScan可在以下地址获得：

https://www.sodocs.net/doc/0f16841168.html,/technet/security/URLScan.asp

W2 – ISAPI 缓冲区扩展溢出

W2.1描述：

Microsoft's Internet Information Server (IIS)是在大多数Microsoft Windows NT和

Windows 2000服务器上使用的服务器软件。安装IIS后，就自动安装了多个ISAPI extensions。ISAPI，代表Internet Services Application Programming Interface，允许开发

人员使用DLL扩展IIS服务器的性能。一些动态连接库，例如idq.dll，有编程错误，使得他们做不正确的边界检查。特别是，它们不阻塞超长字符串。攻击者可以利用这一点向DLL

发送数据，造成缓冲区溢出，进而控制IIS服务器。

W2.2受影响的系统：

idq.dll缓冲区溢出影响Microsoft Index Server 2.0和Windows 2000中的Indexing Service。打印机缓冲区溢出影响Windows 2000 Server, Advanced Server, 和安装了IIS 5.0的Server Data Center Edition. Windows 2000 Professional也装载了idq.dll，但不是缺省安装。如果可能，你应使用Group Policy，禁止基于web的打印（在Computer

Configuration:Administrative Templates:Printers下）。

W2.3 CVE entries:

CVE-1999-0412, CVE-2001-0241, CAN-2000-1147, CAN-2001-0500

W2.4怎样判断你是易受攻击的：

如果你的web服务器没有安装Service Pack 2，你是易受攻击的。如果你不确定安装了哪一个补丁，从以下地址下载hfnetchk并运行它：

https://www.sodocs.net/doc/0f16841168.html,/technet/treeview/default.asp?url=/technet/security/tools/hfnetch k.asp

以下补丁可以修正打印机缓冲区溢出：

? Q296576 - MS01-023

? Q300972 - MS01-033

? Q301625 - MS01-044

? Windows 2000 SP2

? Q299444 – The Windows NT 4.0 Security Roll-up Package

以下补丁可以修正idq.dll缓冲区溢出：

? Q300972 - MS01-033

? Q301625 - MS01-044

? The Windows NT 4.0 Security Roll-up Package

W2.5 怎样防范：

安装最新的Microsoft的补丁。

? Windows NT 4.0:

https://www.sodocs.net/doc/0f16841168.html,/ntserver/nts/downloads/critical/q299444/default.asp

建设部令第37号.危险性较大的分部分项工程安全管理规定

危险性较大的分部分项工程安全管理规定《危险性较大的分部分项工程安全管理规定》已经2018年2月12日第37次部常务会议审议通过，现予发布，自2018年6月1日起施行。 住房城乡建设部部长王蒙徽 2018年3月8日 危险性较大的分部分项工程安全管理规定 第一章总则 第一条为加强对房屋建筑和市政基础设施工程中危险性较大的分部分项工程安全管理，有效防范生产安全事故，依据《中华人民共和国建筑法》《中华人民共和国安全生产法》《建设工程安全生产管理条例》等法律法规，制定本规定。 第二条本规定适用于房屋建筑和市政基础设施工程中危险性较大的分部分项工程安全管理。 第三条本规定所称危险性较大的分部分项工程（以下简称“危大工程”），是指房屋建筑和市政基础设施工程在施工过程中，容易导致人员群死群伤或者造成重大经济损失的分部分项工程。 危大工程及超过一定规模的危大工程范围由国务院住房城乡建设主管部门制定。 省级住房城乡建设主管部门可以结合本地区实际情况，补充本地区危大工程范围。 第四条国务院住房城乡建设主管部门负责全国危大工程安全管理的指导监督。 县级以上地方人民政府住房城乡建设主管部门负责本行政区域内危大工程的安全监督管理。 第二章前期保障

第五条建设单位应当依法提供真实、准确、完整的工程地质、水文地质和工程周边环境等资料。 第六条勘察单位应当根据工程实际及工程周边环境资料，在勘察文件中说明地质条件可能造成的工程风险。 设计单位应当在设计文件中注明涉及危大工程的重点部位和环节，提出保障工程周边环境安全和工程施工安全的意见，必要时进行专项设计。 第七条建设单位应当组织勘察、设计等单位在施工招标文件中列出危大工程清单，要求施工单位在投标时补充完善危大工程清单并明确相应的安全管理措施。 第八条建设单位应当按照施工合同约定及时支付危大工程施工技术措施 费以及相应的安全防护文明施工措施费，保障危大工程施工安全。 第九条建设单位在申请办理安全监督手续时，应当提交危大工程清单及其安全管理措施等资料。 第三章专项施工方案 第十条施工单位应当在危大工程施工前组织工程技术人员编制专项施工 方案。 实行施工总承包的，专项施工方案应当由施工总承包单位组织编制。危大工程实行分包的，专项施工方案可以由相关专业分包单位组织编制。 第十一条专项施工方案应当由施工单位技术负责人审核签字、加盖单位公章，并由总监理工程师审查签字、加盖执业印章后方可实施。 危大工程实行分包并由分包单位编制专项施工方案的，专项施工方案应当由总承包单位技术负责人及分包单位技术负责人共同审核签字并加盖单位公章。 第十二条对于超过一定规模的危大工程，施工单位应当组织召开专家论证会对专项施工方案进行论证。实行施工总承包的，由施工总承包单位组织召开专家论证会。专家论证前专项施工方案应当通过施工单位审核和总监理工程师审查。 专家应当从地方人民政府住房城乡建设主管部门建立的专家库中选取，符合专业要求且人数不得少于5名。与本工程有利害关系的人员不得以专家身份参加专家论证会。

最受欢迎的十大WEB应用安全评估系统

最受欢迎的十大WEB应用安全评估系统 在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名，但是很可惜，绝大多数都是国外人搞的，界面是英文，操作也不方便，那游侠就在这里综合下，列举下国内WEB安全评估人员常用的一些工具。当然，毫无疑问的，几乎都是商业软件，并且为了描述更准确，游侠尽量摘取其官方网站的说明： 1.IBM Rational AppScan IBM公司推出的IBM Rational AppScan产品是业界领先的应用安全测试工具，曾以Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化Web 应用的安全漏洞评估工作，能扫描和检测所有常见的Web 应用安全漏洞，例如SQL 注入（SQL-injection）、跨站点脚本攻击（cross-site scripting）及缓冲溢出（buffer overflow）等方面安全漏洞的扫描。 游侠标注：AppScan不但可以对WEB进行安全评估，更重要的是导出的报表相当实用，也是国外产品中唯一可以导出中文报告的产品，并且可以生成各种法规遵从报告，如ISO 27001、OWASP 2007等。 2.HP WebInspect

目前，许多复杂的Web 应用程序全都基于新兴的Web 2.0 技术，HP WebInspect 可以对这些应用程序执行Web 应用程序安全测试和评估。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的Web 应用程序安全扫描结果。 它可以识别很多传统扫描程序检测不到的安全漏洞。利用创新的评估技术，例如同步扫描和审核（simultaneous crawl and audit, SCA）及并发应用程序扫描，您可以快速而准确地自动执行Web 应用程序安全测试和Web 服务安全测试。 主要功能： ·利用创新的评估技术检查Web 服务及Web 应用程序的安全 ·自动执行Web 应用程序安全测试和评估 ·在整个生命周期中执行应用程序安全测试和协作 ·通过最先进的用户界面轻松运行交互式扫描 ·满足法律和规章符合性要求 ·利用高级工具（HP Security Toolkit）执行渗透测试 ·配置以支持任何Web 应用程序环境 游侠标注：毫无疑问的，WebInspect的扫描速度相当让人满意。 3.Acunetix Web Vulnerability Scanner

2020危险化学品经营单位主要负责人考试9.18

1、【判断题】在操作各类危险化学品时,企业应在经营店面和仓库,针对各类危险化学品的性质,准备相应的急救药品和制定应急救援预案。（√） 2、【判断题】企业应对重大危险源采取便捷、有效的消防、治安报警措施和联络通信、记录措施。（√） 3、【判断题】单位或者个人违反《中华人民共和国突发事件应对法》,不服从所在地人民政府及其有关部门发布的决定、命令或者不配合其依法采取的措施,构成违反治安管理行为的,由公安机关依法给予处罚。（√） 4、【判断题】2007年11月24日7时51分,某公司上海销售分公司租赁经营的浦三路油气加注站,在停业检修时发生液化石油气储罐爆炸事故,造成4人死亡、30人受伤,周围部分建筑物等受损,直接经济损失960万元。事故调查组认定:造成这次事故的接原因是:液化石油气储罐卸料后没有用氮气置换清洗,储罐内仍残留液化石油气;在用压缩空气进行管道气密性试验时,没有将管道与液化石油气储罐用盲板隔断,致使压缩空气进入了液化石油气储罐,储罐内残留液化石油气与压缩空气混合,形成爆炸性混合气体;因违章电焊动火作业,引发试压系统发生化学爆炸,导致事故发生。根据上述事实,请判断,本起事故调查组成员由有关人民政府、安全生产监督管理部门、负有安全生产监督管理职责的有关部门、监察机关、公安机关以及工会派人组成,并应当邀请人民检察院派人参加,不可以聘请有关专家参与调查。（×）

5、【判断题】用人单位未如实提供职业健康检查所需要的文件、资料的,给予警告,责令限期改正,可以并处3万元以下的罚款。（√） 6、【判断题】储存危险化学品建筑物内不宜增设采暖设施。（×） 7、【判断题】应按《化学危险品标签编写导则》编写危险化学品标签。（√） 8、【判断题】化学品安全标签指的是用文字、图形符号和编码的组合形式表示化学品所具有的危险性和安全注意事项。（√） 9、【判断题】按照《安全生产法》的规定，从业人员可以享受的权利包括：知情权、建议权、批检控权、拒绝权、避险权、求偿权、保护权、受教育权。（√） 10、【判断题】危险化学品项目的职业卫生防护设施无需与主体工程同时设计，同时施工，同时投入生产和使用，可先行投产、运行。（×） 11、【判断题】危险化学品安全标签中还应标注出化学品是否为易(可)燃或助燃物质,有效的灭火剂和禁用的灭火剂以及灭火注意事项。（√） 12、【判断题】矿山、金属冶炼建设项目和用于生产、储存、装卸危险物品的建设项目的安全设施设计未按照国家有关规定报经有关部门审查，可以先投入施工建设。（×） 13、【判断题】从事危险化学品批发业务的企业,所经营的危化学

危险性较大的分部分项工程安全管理规定(住建部37号令2018)

住房城乡建设部办公厅关于实施《危险性较大的分部分项工程安 全管理规定》有关问题的通知 各省、自治区住房城乡建设厅，北京市住房城乡建设委、天津市城乡建设委、上海市住房城乡建设管委、重庆市城乡建设委，新疆生产建设兵团住房城乡建设局： 为贯彻实施《危险性较大的分部分项工程安全管理规定》（住房城乡建设部令第37号），进一步加强和规范房屋建筑和市政基础设施工程中危险性较大的分部分项工程（以下简称危大工程）安全管理，现将有关问题通知如下： 一、关于危大工程范围 危大工程范围详见附件1。超过一定规模的危大工程范围详见附件2。 二、关于专项施工方案内容 危大工程专项施工方案的主要内容应当包括： （一）工程概况：危大工程概况和特点、施工平面布置、施工要求和技术保证条件； （二）编制依据：相关法律、法规、规范性文件、标准、规范及施工图设计文件、施工组织设计等； （三）施工计划：包括施工进度计划、材料与设备计划； （四）施工工艺技术：技术参数、工艺流程、施工方法、操作要求、检查要求等； （五）施工安全保证措施：组织保障措施、技术措施、监测监控措施等； （六）施工管理及作业人员配备和分工：施工管理人员、专职安全生产管理人员、特种作业人员、其他作业人员等； （七）验收要求：验收标准、验收程序、验收内容、验收人员等； （八）应急处置措施； （九）计算书及相关施工图纸。 三、关于专家论证会参会人员 超过一定规模的危大工程专项施工方案专家论证会的参会人员应当包括： （一）专家； （二）建设单位项目负责人； （三）有关勘察、设计单位项目技术负责人及相关人员； （四）总承包单位和分包单位技术负责人或授权委派的专业技术人员、项目负责人、项目技术负责人、专项施工方案编制人员、项目专职安全生产管理人员及相关人员； （五）监理单位项目总监理工程师及专业监理工程师。 四、关于专家论证内容 对于超过一定规模的危大工程专项施工方案，专家论证的主要内容应当包括： （一）专项施工方案内容是否完整、可行； （二）专项施工方案计算书和验算依据、施工图是否符合有关标准规范； （三）专项施工方案是否满足现场实际情况，并能够确保施工安全。 五、关于专项施工方案修改 超过一定规模的危大工程专项施工方案经专家论证后结论为“通过”的，施工单位可参考专家意见自行修改完善；结论为“修改后通过”的，专家意见要明确具体修改内容，施工单位应当按照专家意见进行修改，并履行有关审核和审查手续后方可实施，修改情况应及时告知专家。 六、关于监测方案内容进行第三方监测的危大工程监测方案的主要内容应当包括工程概况、监测依据、监测内容、监测方法、人员及设备、测点布置与保护、监测频次、预警标准及监测成果报送等。 七、关于验收人员 危大工程验收人员应当包括：

浅谈WEB应用安全问题及防范

浅谈WEB应用安全问题及防范 随着WEB应用技术的发展，越来越多的企业或学校使用WEB应用来进行企业或学校信息开放性管理，使机构管理信息暴露在越来越多的威胁中。由于WEB应用具有一定的运行特点，传统防火墙对于其存在的安全问题缺少针对性和有效性，新的防护工具——Web应用防火墙应运而生。 标签：web应用开放性安全问题Web防火墙 随着信息资源逐渐向数据高度集中的模式，Web成为一种普适平台，Web 应用成为了越来越多的企业或学校进行核心业务及信息管理的承载者。Web应用提供了丰富的开放资源和高效率的新工作方式，但它的开放性、易用性和易开发性同样也使Web应用的安全问题日益突出，已成为了网络安全核心问题之一。 1 Web应用的工作原理和特点 Web应用程序首先是“应用程序”，和用标准的程序语言，如C、C++等编写出来的程序没有什么本质上的不同。然而Web应用程序又有自己独特的地方，就是它是基于Web的，而不是采用传统方法运行的。 目前广泛使用的Web应用程序一般是B/S模式，使用标准的三层架构模型：第一层是客户端；使用动态Web内容技术的部分属于中间层；数据库是第三层。在B/S模式中，客户端运行浏览器软件。浏览器以超文本形式向Web服务器提出访问数据库的要求，Web服务器接受客户端请求后，将这个请求转化为SQL 语法，并交给数据库服务器，数据库服务器得到请求后，验证其合法性，并进行数据处理，然后将处理后的结果返回给Web服务器，Web服务器再一次将得到的所有结果进行转化，变成HTML文档形式，转发给客户端浏览器以友好的Web 页面形式显示出来。 因此，Web应用具有以下特点： 1.1 易用性 Web应用所基于的Web浏览器的界面都很相似，对于无用户交互功能的页面，用户接触的界面都是一致的，因此Web应用的操作简单易上手。 1.2 开放性 在Web应用的B/S模式下，除了内部人员可以访问，外部的用户亦可通过通用的浏览器进行访问，并且不受浏览器的限制。 1.3 易扩展性

住建部办公厅关于实施《危险性较大的分部分项工程安全管理规定》有关问题的通知建办质【2018】37号文

索引号：000013338/2018-00134 主题信息：工程质量安全 发文单位：中华人民共和国住房和城乡建设部办公厅生成日期：2018年05月17日住房城乡建设部办公厅关于实施《危险性较大的分部分项 有效期： 文件名称： 工程安全管理规定》有关问题的通知 文号：建办质〔2018〕31号主题词： 住房城乡建设部办公厅关于实施《危险性较大的分部分项 工程安全管理规定》有关问题的通知 各省、自治区住房城乡建设厅，北京市住房城乡建设委、天津市城乡建设委、上海市住房城乡建设管委、重庆市城乡建设委，新疆生产建设兵团住房城乡建设局：为贯彻实施《危险性较大的分部分项工程安全管理规定》（住房城乡建设部令第37号），进一步加强和规范房屋建筑和市政基础设施工程中危险性较大的分部分项工程（以下简称危大工程）安全管理，现将有关问题通知如下： 一、关于危大工程范围 危大工程范围详见附件1。超过一定规模的危大工程范围详见附件2。 二、关于专项施工方案内容 危大工程专项施工方案的主要内容应当包括： （一）工程概况：危大工程概况和特点、施工平面布置、施工要求和技术保证条件； （二）编制依据：相关法律、法规、规范性文件、标准、规范及施工图设计文件、施工组织设计等； （三）施工计划：包括施工进度计划、材料与设备计划； （四）施工工艺技术：技术参数、工艺流程、施工方法、操作要求、检查要求等； （五）施工安全保证措施：组织保障措施、技术措施、监测监控措施等； （六）施工管理及作业人员配备和分工：施工管理人员、专职安全生产管理人员、特种作业人员、其他作业人员等； （七）验收要求：验收标准、验收程序、验收内容、验收人员等； （八）应急处置措施；

(全)危险化学品经营单位主要负责人模拟考试题库含答案

危险化学品经营单位主要负责人模拟考试 1、【判断题】室颤电流即最小致命电流,与电流持续时间关系密切。（√） 2、【判断题】产生静电最常见的方式是接触-分离起电。（√） 3、【判断题】按照《安全生产法》的规定,生产、经营、储存、使用危险物品的车间、商店、仓库必须与员工宿舍保持足够的安全距离。（√） 4、【判断题】从事使用高毒物品作业的用人单位，应当配备专职的或者兼职的职业卫生医师和护士；不具备配备专职的或者兼职的职业卫生医师和护士条件的，应当与依法取得资质认证的职业卫生技术服务机构签订合同，由其提供职业卫生服务。（√） 5、【判断题】甲、乙类仓库内可设置办公室、休息室等。（×） 6、【判断题】编制应急救援预案的目的是确保不发生事故。（×） 7、【判断题】企业应制订安全检查计划,定期或不定期开展各种检查。（√） 8、【判断题】生产经营单位对负有安全生产监督管理职责的部门的监督检查人员依法履行监督检查职责，应当予以配合，不得拒绝、阻挠。（√） 9、【判断题】取得第一类易制毒化学品经营许可的企业,应当凭经营许可证到工商行政管理部门办理经营范围变更登记。未经变更登记,不得进行第一类易制毒化学品的经营。（√）

10、【判断题】事故发生后,不管情况如何,事故现场有关人员不得直接向事故发生地县级以上人民政府安全生产监督管理部门和负有安全生产监督管理职责的有关部门报告。（×） 11、【判断题】某机械制造厂仪表车间车工班的李某、徐某、陈某和徒工小张、小孟及徐某的妻子饶某,聚集在一间约18㎡的休息室内,用一个5KW的电炉取暖。将门窗紧闭,墙角存放一个盛装15kg汽油的玻璃瓶。玻璃瓶内压力,随着室温升高而加大,先后两次将瓶塞顶出,被徒工小孟先后两次用力塞紧。由于瓶内压力不断增大,把玻璃瓶胀开一道裂缝,汽油慢慢向外渗出,流向电炉。坐在电炉旁的陈某、饶某发现汽油渗出后,立刻用拖布擦拭汽油。在擦拭清理过程中,拖布上的汽油溅到电炉丝上,瞬间电炉就燃烧起来,火焰顺着油迹向汽油瓶烧去。屋内的几个人见事不妙都往门口跑,徐某用力把门打开,因屋内充满汽油蒸气,门一开,屋外充足的氧气使屋内刹那间火光冲天,汽油瓶爆炸。造成3人被烧死,其他人被烧伤,房屋和机床被烧毁,经济损失惨重。根据上述事实,该事故原因是严重违反休息室内不准存放易燃易爆危险化学品的规定,汽油瓶受热胀裂,遇火燃烧爆炸,发现危险后处理操作方法错误,缺乏有关汽油等危险物品的安全知识,遇险后不会正确理。（√） 12、【判断题】用人单位工作场所存在职业病目录所列职业病的危害因素的,应当及时、如实向所在地消防部门申报危害项目,接受监督。（×） 13、【判断题】储存危险化学品建筑采暖的热媒温度不应过高，热水采暖不应超过80℃，也可采用蒸汽采暖和机械采暖。（×）

《危险性较大的分部分项工程安全管理规定》(住房城乡建设部令第37号)

危险性较大的分部分项工程安全管理规定 《危险性较大的分部分项工程安全管理规定》已经2018年2月12日第37次部常务会议审议通过，现予发布，自2018年6月1日起施行。 住房城乡建设部部长王蒙徽 2018年3月8日 危险性较大的分部分项工程安全管理规定 第一章总则 第一条为加强对房屋建筑和市政基础设施工程中危险性较大的分部分项工程安全管理，有效防范生产安全事故，依据《中华人民共和国建筑法》《中华人民共和国安全生产法》《建设工程安全生产管理条例》等法律法规，制定本规定。 第二条本规定适用于房屋建筑和市政基础设施工程中危险性较大的分部分项工程安全管理。 第三条本规定所称危险性较大的分部分项工程（以下简称“危大工程”），是指房屋建筑和市政基础设施工程在施工过程中，容易导致人员群死群伤或者造成重大经济损失的分部分项工程。 危大工程及超过一定规模的危大工程范围由国务院住房城乡建设主管部门制定。 省级住房城乡建设主管部门可以结合本地区实际情况，补充本地区危大工程范围。 第四条国务院住房城乡建设主管部门负责全国危大工程安全管理的指导监督。 县级以上地方人民政府住房城乡建设主管部门负责本行政区域内危大工程的安全监督管理。 第二章前期保障 第五条建设单位应当依法提供真实、准确、完整的工程地质、水文地质和工程周边环境等资料。 第六条勘察单位应当根据工程实际及工程周边环境资料，在勘察文件中说明地质条件可能造成的工程风险。 设计单位应当在设计文件中注明涉及危大工程的重点部位和环节，提出保障工程周边环境安全和工程施工安全的意见，必要时进行专项设计。 第七条建设单位应当组织勘察、设计等单位在施工招标文件中列出危大工程清单，要求施工单位在投标时补充完善危大工程清单并明确相应的安全管理措施。 第八条建设单位应当按照施工合同约定及时支付危大工程施工技术措施费以及相应的安全防护文明施工措施费，保障危大工程施工安全。 第九条建设单位在申请办理安全监督手续时，应当提交危大工程清单及其安全管理措施等资料。 第三章专项施工方案 第十条施工单位应当在危大工程施工前组织工程技术人员编制专项施工方案。 实行施工总承包的，专项施工方案应当由施工总承包单位组织编制。危大工程实行分包的，专项施工方案可以由相关专业分包单位组织编制。 第十一条专项施工方案应当由施工单位技术负责人审核签字、加盖单位公章，并由总监理工程师审查签字、加盖执业印章后方可实施。 危大工程实行分包并由分包单位编制专项施工方案的，专项施工方案应当由总承包单位技术负责人及分包单位技术负责人共同审核签

1-危险化学品-主要负责人安全考试试题

危险化学品生产单位考试 单选题(共50题,每题1分) 问题:1. 《易制毒化学品购销和运输管理办法》规定,运输第三类易制毒化学品的,应当在运输前向()的县级人民政府公安机关备案。公安机关应当在收到备案材料的当日发给备案证明。 A、目的地 B、运出地 C、产地 问题:2. 《危险化学品安全管理条例》规定,危险化学品应当储存在()或者专用储存室内。 A、专用仓库专用场所 B、专用仓库专用场地 C、专用库区专用场地 问题:3. 危险化学品的泄漏处理包括:()、泄漏物处理、危害监测。 A、危化品保护 B、泄漏源控制 C、周边的警戒 问题:4. 下列()对本岗位的安全生产负直接责任。 A、班组长 B、岗位工人 C、基层技术人员

问题:5. 职业病防治工作坚持()方针。 A、以人为本,标本兼治 B、安全第一,预防为主 C、预防为主,防治结合 问题:6. 锅炉运行时,水位允许的变动范围,一般不超过正常水位线上下()mm。 A、100 B、75 C、50 问题:7. 停电检修时,在一经合闸即可送电到工作地点的开关或刀闸的操作把手上,应悬挂()的标示牌。 A、在此工作 B、止步,高压危险 C、禁止合闸,有人工作 问题:8. 工伤保险是国家通过立法手段保证实施的,对在工作过程中遭受人身伤害的职工或遗属提供补偿的一种()。 A、优惠措施 B、社会福利制度 C、经济补偿制度 问题:9. 在应急救援过程中,卫生部门负责现场()指挥及受伤人员抢救和护送转院等工作。 A、医疗救护

B、抢修运输 C、个人防护 问题:10. 下列安全泄放装置中开启排放后容器和装置不能继续使用,需要停止运行的是易熔塞和()。 A、爆破片 B、安全阀 C、疏水器 问题:11. 触电事故中,绝大部分是()导致人身伤亡的。 A、人体接受电流遭到电击 B、烧伤 C、电休克 问题:12. 下列()安全阀可用于移动式的压力容器上。 A、重锤杠杆式 B、弹簧式 C、脉冲式 问题:13. ()安全技术措施有消除危险源、限制能量或危险物质、隔离等。 A、减少事故损失的 B、电气 C、防止事故发生的 问题:14. 安全设施“三同时”是危险化学品生产经营单位安全生产的重要保障措施,是一种()保障措施。 A、事前

五个常见的Web应用漏洞及其解决方法

五个常见的Web应用漏洞及其解决方法开放Web应用安全项目（OW ASP）很快会发布今年的10大Web应用安全漏洞清单。这个清单与去年并没有太大差别，这表明负责应用设计与开发的人仍然没能解决以前那些显而易见的错误。许多最常见的Web应用漏洞仍然广泛存在，许多恶意软件搜索和攻击这些漏洞，连黑客新手都能轻松做到。 本文介绍了5个最常见的Web应用漏洞，以及企业该如何修复初级问题，对抗那些针对这些漏洞的攻击。 注入攻击和跨站脚本攻击 Web应用主要有2种最常见的严重缺陷。首先是各种形式的注入攻击，其中包括SQL、操作系统、电子邮件和LDAP注入，它们的攻击方式都是在发给应用的命令或查询中夹带恶意数据。别有用心的数据可以让应用执行一些恶意命令或访问未授权数据。如果网站使用用户数据生成SQL查询，而不检查用户数据的合法性，那么攻击者就可能执行SQL注入。这样攻击者就可以直接向数据库提交恶意SQL查询和传输命令。举例来说，索尼的PlayStation 数据库就曾经遭遇过SQL注入攻击，并植入未授权代码。 跨站脚本(XSS)攻击会将客户端脚本代码（如JavaScript）注入到Web应用的输出中，从而攻击应用的用户。只要访问受攻击的输出或页面，浏览器就会执行代码，让攻击者劫持用户会话，将用户重定向到一个恶意站点或者破坏网页显示效果。XSS攻击很可能出现在动态生成的页面内容中，通常应用会接受用户提供的数据而没有正确验证或转码。 为了防御注入攻击和XSS攻击，应用程序应该配置为假定所有数据——无论是来自表单、URL、Cookie或应用的数据库，都是不可信来源。要检查所有处理用户提供数据的代码，保证它是有效的。验证函数需要清理所有可能有恶意作用的字符或字符串，然后再将它传给脚本和数据库。要检查输入数据的类型、长度、格式和范围。开发者应该使用现有的安全控制库，如OW ASP的企业安全API或微软的反跨站脚本攻击库，而不要自行编写验证代码。此外，一定要检查所有从客户端接受的值，进行过滤和编码，然后再传回给用户。 身份验证和会话管理被攻破 Web应用程序必须处理用户验证，并建立会话跟踪每一个用户请求，因为HTTP本身不具备这个功能。除非任何时候所有的身份验证信息和会话身份标识都进行加密，保证不受其他缺陷（如XSS）的攻击，否则攻击者就有可能劫持一个激活的会话，伪装成某个用户的身份。如果一个攻击者发现某个原始用户未注销的会话（路过攻击），那么所有帐号管理功能和事务都必须重新验证，即使用户有一个有效的会话ID。此外，在重要的事务中还应该考虑使用双因子身份验证。 为了发现身份验证和会话管理问题，企业要以执行代码检查和渗透测试。开发者可以使用自动化代码和漏洞扫描程序，发现潜在的安全问题。有一些地方通常需要特别注意，其中包括会话身份标识的处理方式和用户修改用户身份信息的方法。如果没有预算购买商业版本，那么也可以使用许多开源和简化版本软件，它们可以发现一些需要更仔细检查的代码或进程。

《危险性较大的分部分项工程管理办法》(建设部87号令)

住房和城乡建设部关于印发《危险性较大的分部分项工程安全管理办法》的通 知 （建质[2009]87号） 各省、自治区住房和城乡建设厅，直辖市建委，江苏省、山东省建管局，新疆生产建设兵团建设局，中央管理的建筑企业： 为进一步规范和加强对危险性较大的分部分项工程安全管理，积极防范和遏制建筑施工生产安全事故的发生，我们组织修定了《危险性较大的分部分项工程安全管理办法》，现印发给你们，请遵照执行。 中华人民共和国住房和城乡建设部 二○○九年五月十三日 危险性较大的分部分项工程安全管理办法 第一条为加强对危险性较大的分部分项工程安全管理，明确安全专项施工方案编制内容，规范专家论证程序，确保安全专项施工方案实施，积极防范和遏制建筑施工生产安全事故的发生，依据《建设工程安全生产管理条例》及相关安全生产法律法规制定本办法。 第二条本办法适用于房屋建筑和市政基础设施工程（以下简称“建筑工程”）的新建、改建、扩建、装修和拆除等建筑安全生产活动及安全管理。 第三条本办法所称危险性较大的分部分项工程是指建筑工程在施工过程中存在的、可能导致作业人员群死群伤或造成重大不良社会影响的分部分项工程。危险性较大的分部分项工程范围见附件一。 危险性较大的分部分项工程安全专项施工方案（以下简称“专项方案”），是指施工单位在编制施工组织（总）设计的基础上，针对危险性较大的分部分项工程单独编制的安全技术措施文件。 第四条建设单位在申请领取施工许可证或办理安全监督手续时，应当提供危险性较大的分部分项工程清单和安全管理措施。施工单位、监理单位应当建立危险性较大的分部分项工程安全管理制度。 第五条施工单位应当在危险性较大的分部分项工程施工前编制专项方案；对于超过一定规模的危险性较大的分部分项工程，施工单位应当组织专家对专项方案进行论证。超过一定规模的危险性较大的分部分项工程范围见附件二。 第六条建筑工程实行施工总承包的，专项方案应当由施工总承包单位组织编制。其中，起重机械安装拆卸工程、深基坑工程、附着式升降脚手架等专业工程实行分包的，其专项方案可由专业承包单位组织编制。 第七条专项方案编制应当包括以下内容： （一）工程概况：危险性较大的分部分项工程概况、施工平面布置、施工要求和技术保证条件。 （二）编制依据：相关法律、法规、规范性文件、标准、规范及图纸（国标图集）、施工组织设计等。 （三）施工计划：包括施工进度计划、材料与设备计划。 （四）施工工艺技术：技术参数、工艺流程、施工方法、检查验收等。 （五）施工安全保证措施：组织保障、技术措施、应急预案、监测监控等。 （六）劳动力计划：专职安全生产管理人员、特种作业人员等。 （七）计算书及相关图纸。 第八条专项方案应当由施工单位技术部门组织本单位施工技术、安全、质量等部门的专业技术人员进行审核。经审核合格的，由施工单位技术负责人签字。实行施工总承包的，专项方案应当由总承包单位技术负责人及相关专业承包单位技术负责人签字。

危险化学品单位主要负责人和安全管理人员模拟考试题(八)

危险化学品单位 主要负责人和安全管理人员模拟考试题（八） 单位：姓名：分数： 一、选择题：请选择一项或多项正确答案将序号填入括号内（每题1分共30分） 1、《中华人民共和国安全生产法》是（）年公布实施的。 （1）2002年（2）2003年（3）2004年 2、国家实行生产安全事故责任追究制度，追究生产安全事故责任人的（）责任。 （1）行政（2）经济（3）法律 3、依据《生产安全事故报告和调查处理条例》的规定，事故发生单位及其有关人员有下列（）行为之一的，对事故发生单位处100万元以上500万元以下的罚款；对主要负责人、直接负责的主管人员和其他直接责任人员处上一年年收入60％至100％的罚款；属于国家工作人员的，并依法给予处分；构成违反治安管理行为的，由公安机关依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。 （1）谎报或者瞒报事故的；伪造或者故意破坏事故现场的； （2）转移、隐匿资金、财产，或者销毁有关证据、资料的； （3）拒绝接受调查或者拒绝提供有关情况和资料的； （4）在事故调查中作伪证或者指使他人作伪证的； （5）事故发生后逃匿的。 4、当单元内存在的危险物质为多品种时，则每种危险物质实际存在量（t）与各危险物质相对应的生产场所或贮存区的临界量（t）比值后的总和（）1，定为重大危险源。 （1）< （2）≤（3）> （4）≥ 5、运输危险化学品必须配备必要的（）。

（1）防护用品（2）生活用品（3）应急处理器材 6、货物具有中等危险性，包装强度要求较高，需使用（）类包装。 （1）1 （2）2 （3）3 7、公众上交的危险化学品由（）部门接受。 （1）安监（2）公安（3）质检（4）环保 8、《生产安全事故报告和调查处理条例》是国务院第493号令公布的，请问自（）起施行。 （1）2007年6月1日（2）2007年7月1日（3）2007年10月1日 9、对事故发生单位的主要负责人，直接负责的主管人员和其他直接责任人员，最高可处上一年年收入的（）的罚款。 （1）50% （2）60% （3）60%至100% 10、依据《生产安全事故报告和调查处理条例》的规定，发生较大事故的企业对事故发生负有责任的，处以（）的罚款。 （1）10万以上20万以下（2）20万以上50万以下 （3）50万以上200万以下（4）200万以上500万以下 11、《生产安全事故报告和调查处理条例》规定，生产安全事故发生后，单位负责人应于（）小时内上报。 （1）1 （2）2 （3）3 （4）4 12、下列有关危险品的论述，正确的是：（） （1）按照《常用危险化学品的分类及标志》，危险化学品分为8类。 （2）按照《危险货物分类和品名编号》，危险货物分为9类。 （3）汽油的危规号为31001，是指汽油是低闪点易燃液体。 （4）按照《危险货物分类和品名编号》，危险货物分为10类 13、当泄漏现场有人受到危险化学品伤害时，应立即（）。 （1）在泄漏现场进行紧急抢救（2）将伤员转移到安全地带，紧急抢救14、发生危险化学品事故，单位主要负责人应按照本单位制定的应急救援预案，立即组织救援，并立即报告当地（）部门。 （1）安监（2）公安（3）环保（4）质检 15、危险化学品单位应制定本单位事故应急救援预案，配备应急救援人员和必要的应急救援器材，设备，并（）组织演练。 （1）定期（2）不定期

常见WEB安全漏洞及整改建议

常见WEB安全漏洞及整改建议 1. HTML表单没有CSRF保护 1.1 问题描述： CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。 CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账……造成的问题包括：个人隐私泄露以及财产安全。 1.2 整改建议： CSRF的防御可以从服务端和客户端两方面着手，防御效果是从服务端着手效果比较好，现在一般的CSRF防御也都在服务端进行。有以下三种方法： (1).Cookie Hashing(所有表单都包含同一个伪随机值)： (2).验证码 (3).One-Time Tokens(不同的表单包含一个不同的伪随机值) 1.3 案例： 1.服务端进行CSRF防御 服务端的CSRF方式方法很多样，但总的思想都是一致的，就是在客户端页面增加伪随机数。 1.3.1 Cookie Hashing(所有表单都包含同一个伪随机值)： 这可能是最简单的解决方案了，因为攻击者不能获得第三方的Cookie(理论上)，所以表单中的数据也就构造失败.

//构造加密的Cookie信息 $value = “DefenseSCRF”; setcookie(”cookie”, $value, time()+3600); ?> 在表单里增加Hash值，以认证这确实是用户发送的请求。 $hash = md5($_COOKIE['cookie']); ?> ”> 然后在服务器端进行Hash值验证 if(isset($_POST['check'])) { $hash = md5($_COOKIE['cookie']); if($_POST['check'] == $hash) { doJob(); } else {

住建部【2018】37号文《危险性较大的分部分项工程安全管理规定》

住建部【2018】37号文《危险性较大的分部分项工程安全管理规定》 第一章总则 第一条为加强对房屋建筑和市政基础设施工程中危险性较大的分部分项工程安全管理，有效防范生产安全事故，依据《中华人民共和国建筑法》《中华人民共和国安全生产法》《建设工程安全生产管理条例》等法律法规，制定本规定。 第二条本规定适用于房屋建筑和市政基础设施工程中危险性较大的分部分项工程安全管理。 第三条本规定所称危险性较大的分部分项工程（以下简称“危大工程”），是指房屋建筑和市政基 础设施工程在施工过程中，容易导致人员群死群伤或者造成重大经济损失的分部分项工程。 危大工程及超过一定规模的危大工程范围由国务院住房城乡建设主管部门制定。 省级住房城乡建设主管部门可以结合本地区实际情况，补充本地区危大工程范围。 第四条国务院住房城乡建设主管部门负责全国危大工程安全管理的指导监督。 县级以上地方人民政府住房城乡建设主管部门负责本行政区域内危大工程的安全监督管理。 第二章前期保障 第五条建设单位应当依法提供真实、准确、完整的工程地质、水文地质和工程周边环境等资料。 第六条勘察单位应当根据工程实际及工程周边环境资料，在勘察文件中说明地质条件可能造成的工程风险。 设计单位应当在设计文件中注明涉及危大工程的重点部位和环节，提出保障工程周边环境安全和工程施工安全的意见，必要时进行专项设计。 第七条建设单位应当组织勘察、设计等单位在施工招标文件中列出危大工程清单，要求施工单位在投标时补充完善危大工程清单并明确相应的安全管理措施。 第八条建设单位应当按照施工合同约定及时支付危大工程施工技术措施费以及相应的安全防护文明 施工措施费，保障危大工程施工安全。 第九条建设单位在申请办理安全监督手续时，应当提交危大工程清单及其安全管理措施等资料。 第三章专项施工方案 第十条施工单位应当在危大工程施工前组织工程技术人员编制专项施工方案。 实行施工总承包的，专项施工方案应当由施工总承包单位组织编制。危大工程实行分包的，专项施工 方案可以由相关专业分包单位组织编制。 第十一条专项施工方案应当由施工单位技术负责人审核签字、加盖单位公章，并由总监理工程师审 查签字、加盖执业印章后方可实施。 危大工程实行分包并由分包单位编制专项施工方案的，专项施工方案应当由总承包单位技术负责人及 分包单位技术负责人共同审核签字并加盖单位公章。 第十二条对于超过一定规模的危大工程，施工单位应当组织召开专家论证会对专项施工方案进行论 证。实行施工总承包的，由施工总承包单位组织召开专家论证会。专家论证前专项施工方案应当通过施工单位审核和总监理工程师审查。 专家应当从地方人民政府住房城乡建设主管部门建立的专家库中选取，符合专业要求且人数不得少于 5名。与本工程有利害关系的人员不得以专家身份参加专家论证会。 第十三条专家论证会后，应当形成论证报告，对专项施工方案提出通过、修改后通过或者不通过的一致意见。专家对论证报告负责并签字确认。

危险化学品生产单位主要负责人考试题库及答案

危险化学品生产单位主要负责人考试题库及答案 1、【判断题】在职业危害识别过程中,生产中使用的全部化学品、中间产物和产品均需要进行职业卫生检测。（×） 2、【判断题】单位要根据需要,没有必要引进、采用先进适用的应急救援技术装备。（×） 3、【判断题】危险化学品管理档案应当包括危险化学品名称、数量、标识信息、危险性分类和化学品安全技术说明书、化学品安全标签等内容。（√） 4、【判断题】个人不得购买农药、灭鼠药、灭虫药以外的剧毒化学品。（√） 5、【判断题】对于油品(特别是甲、乙类液体),不准使用两种不同导电性质的检尺、测温和采样工具进行操作。（√） 6、【判断题】危险化学品的储存应根据危险品性能分区、分类、分库储存。（√） 7、【判断题】除矿山、建筑施工单位和易燃易爆物品、危险化学品、放射性物品等危险物品的生产、经营、储存、使用单位和中型规模以上的其他生产经营单位外,其他生产经营单位应当对本单位编制的应急预案进行论证。（√）

8、【判断题】接闪器所用材料应能满足机械强度和耐腐蚀的要求，还应有足够的热稳定性，以能承受雷电流的热破坏作用。（√） 9、【判断题】利用山势装设的远离被保护物的避雷针或避雷线,也可作为被保护物的主要直击雷防护措施。（×） 10、【判断题】有毒作业环境管理中的组织管理包括对职工进行防毒的宣传教育,使职工既清楚有毒物质对人体的危害,又了解预防措施,从而使职工主动地遵守安全操作规程,加强个人防护。（√） 11、【判断题】任何单位和个人对违反本条例规定的行为,无权向负有危险化学品安全监督管理职责的部门举报。（×） 12、【判断题】根据《危险化学品安全管理条例》,运输危险化学品,应当根据危险化学品的危险特性采取相应的安全防护措施,并配备必要的防护用品和应急救援器材（√） 13、【判断题】生产经营单位应在有较大危险因素的生产经营场所和有关设备设施上,设置明显的安全警示标志。（√） 14、【判断题】应力腐蚀是指在拉应力作用下,金属在腐蚀介质中引起的破坏。（√） 15、【判断题】凡与大地有可靠接触的金属导体,均可作为自然接地体。（×）

十大常见漏洞

Web应用常见的安全漏洞有哪些 随着存在安全隐患的Web应用程序数量的骤增，Open Web Application Security Project （开放式Web应用程序安全项目，缩写为OWASP）总结出了现有Web应用程序在安全方面常见的十大漏洞，以提醒企业及其程序开发人员尽量避免它们给企业IT系统带来的安全风险： 一、非法输入 Unvalidated Input 在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞。随着OWASP对Web应用程序脆弱性的调查，非法输入的问题已成为大多数Web应用程序安全漏洞方面的一个普遍现象。 二、失效的访问控制 Broken Access Control 大部分企业都非常关注对已经建立的连接进行控制，但是，允许一个特定的字符串输入可以让攻击行为绕过企业的控制。 三、失效的账户和线程管理 Broken Authentication and Session Management 有良好的访问控制并不意味着万事大吉，企业还应该保护用户的密码、会话令牌、

账户列表及其它任何可为攻击者提供有利信息、能帮助他们攻击企业网络的内容。 四、跨站点脚本攻击 XSS 跨站漏洞以及钓鱼式攻击 XSS，中文名称为跨站脚本，是一种很常见的脚本漏洞。因为跨站脚本攻击不能直接对系统进行攻击，所以往往被人们忽视。 由于WEB应用程序没有对用户的输入进行严格的过滤和转换，就导致在返回页面中可能嵌入恶意代码。远程攻击者可以利用这些漏洞在用户浏览器会话中执行任意HTML和脚本代码。跨站脚本执行漏洞的攻击效果需要借助第三方网站来显现，此这种攻击能在一定程度上隐藏身份。 由于跨站脚本不能直接对系统进行攻击，所以跨站脚本总是伴随社会工程学来 实现攻击的，这种攻击的主要表现形式是钓鱼式攻击。钓鱼式攻击方式有很多，如获取Cookie, 伪造页面,屏蔽页面特定信息,与其它漏洞结合攻击操作系统等等。钓鱼式攻击是针对人脑的攻击方式，它的传播手段有EMAIL、IM、聊天室、恶意连接、游戏中的聊天系统，凡是能实现用户之间互动操作的系统都存在钓鱼式攻击的风险。 在电子商务蓬勃发展的今天，针对个人财务信息的钓鱼攻击事件数量成直线上升，其中一个主要攻击途径就是跨站脚本执行漏洞。据统计，国内外存在跨站脚本漏洞的网站多达60%, 其中包括许多大型知名网站。 这是一种常见的攻击，当攻击脚本被嵌入企业的Web页面或其它可以访问的Web 资源中，没有保护能力的台式机访问这个页面或资源时，脚本就会被启动，这种攻击可以影响企业内成百上千员工的终端电脑。 网站开发者角度，如何防护XSS攻击? 对XSS最佳的防护应该结合以下两种方法：验证所有输入数据，有效检 测攻击;对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行。 网站用户角度，如何防护XSS攻击? 当你打开一封Email或附件、浏览论坛帖子时，可能恶意脚本会自动执行，因此，在做这些操作时一定要特别谨慎。建议在浏览器设置中关闭

危险化学品经营单位主要负责人(最新 试题+答案)

判断题 1、《中华人民共和国安全生产法》规定，生产经营单位必须依法参加工伤保险，为从业人员缴纳保险费。 您的答案：正确答案：正确 2、《中华人民共和国安全生产法》规定，生产经营单位应当建立健全生产安全事故隐患治理制度，采取技术、管理措施，及时发现并消除事故隐患。 您的答案：正确答案：正确 3、《中华人民共和国安全生产法》规定，未经安全生产教育和培训合格的从业人员，不得上岗作业。 您的答案：正确答案：正确 4、《中华人民共和国安全生产法》规定，从业人员发现危及人身安全的紧急时，无权停止作业或者在采取可能的应急措施后撤离作业场所。 您的答案：正确答案：错误 5、《中华人民共和国安全生产法》规定，国家实行生产安全事故责任追究制度，依照本法和有关法律、法规的规定，追究生产安全事故责任人员的法律责任。 您的答案：正确答案：正确 6、《中华人民共和国安全生产法》规定，生产经营单位对负有安全生产监督管理职责的部门的监督检查人员依法履行监督检查职责，应当予以配合，不得拒绝、阻挠。

您的答案：正确答案：正确 7、《中华人民共和国安全生产法》规定，生产经营单位必须投保安全生产责任保险。 您的答案：正确答案：错误 8、《中华人民共和国安全生产法》规定，生产经营单位与从业人员订立协议，免除或者减轻其对从业人员因生产安全事故伤亡依法应承担的责任的，该协议无效；对生产经营单位的主要负责人、个人经营的投资人处五万元以上十万元以下的罚款。 您的答案：正确答案：错误 9、《中华人民共和国安全生产法》规定，有关地方人民政府和负有安全生产监督管理职责的部门的负责人接到生产安全事故报告后，应当按照生产安全事故应急救援预案的要求立即赶到事故现场，组织事故抢救。 您的答案：正确答案：正确 10、加油站的客户服务电话应具有来电显示和录音功能，信息记录不少于两个月。 您的答案：正确答案：错误 11、《职业病防治法》规定，用人单位应当依照法律、法规要求，严格遵守国家职业卫生标准，落实职业病预防措施，从源头上消除职业病危害。 您的答案：正确答案：错误 12、加油站油罐应设带有高液位报警功能的液位计，对油罐液位进行实时监控。宜设压力和温