怎么php判断位数,月薪11k在上海处于什么水平?
2020年,上海发布2019年平均薪资为9580元,但我又看到了另一份数据,2021年上海薪资水平报告中,平均薪资只有6378元。
零基础英语差能学习Java吗?
谢谢邀请回答!???
我认为,你的英语差与学好Java没有生死攸关的关系。由于你的英语差,在Java入门学习中,肯定要遇到疑惑和困难,正所谓万事开头难。但是,只要你对Java学习感兴趣,或许证明你对Java有天赋,朋友,我支持你,用心去学吧!开头的Java课程学习,难免学起有种种困惑,这就要考验你的恒心和毅力了!
在Java学习过程中,针对你英语差的情况,我建议:1.制定学习计划,坚定目标不放松,每天学习和消化一部分Java基础知识;2.学好Java基础至关重要,如:什么是包、变量、标识符、主线程?项目开发的流程、集合和数组的区别、线程和进程的区别,等等;3.注意学习方法,在学习中,要多写、多练和多读;4.可以参加培训班,毕竟培训班的提升远比一个人的学习效果好得多;5.多向一些Java大神交流和请教,避免你在学习中少走弯路;
6.Java学习的积累和总结,实战演练很重要,任何学习都是长期学习和积累的过程,OK!!!
以上建议属我个人的一点点想法和体会,分享给你,希望能对你有所帮助和启发,也希望与你共讨此类话题,相互交流,共同成长,共同进步!!!
???
CPU是如何识别代码的?
CPU识别代码是依靠内部的指令译码器实现。指令译码器是由大量的逻辑门组成多输入多输出部件,基本原理是这样的,经过精心的设计使各种输入组合一一对应着各种输出组合,各种输入组合就对应着各种指令,各种输出组合就对应着对指令的翻译,这个翻译过程是硬件连接属性决定的和软件无关,指令译码器按照时钟节拍一步一步的机械的运行。
最终幻想12重制版职业怎么选择最强职业搭配推荐?
白魔道士
武器以ロッド为主,也能使用1~2级両手剣和5级ダガー,防具都是魔装备,能够使用全部的1~12级白魔法和1~3级绿魔法,执照上总共加HP1360,力量强化7次,魔力强化15次,行动时间缩短2次,MP节约3次,HP满时提升魔力,濒死时提升魔力,拥有エーテルの知识1~2级,技能方面有算术、暗黑、ライブラ、贴付、チャージ、アキレス
天蝎座ライブラ
巨蟹座HP+270
蛇夫座骑士剑1
水瓶座ダガー5、算术
摩羯座力强化、暗黑
射手座HP+230
金牛座HP+310、骑士剑2
天秤座力强化
简介:借助精灵的力量使用回复和支援魔法的魔道士.
作为FF系列的传统职业,白魔的特点很鲜明:会各种顶级白魔法和辅助魔法,但是体力和防御的低下,却使得这个职业的生存能力大打折扣.再加上其他职业通过搭配组合也会一些比较高级而且实用的白魔法,使得白魔道士在本作中成为了鸡肋的存在.而且作为纯辅助的职业,伤害输出不用指望.BOSS战中MP消耗也不小,基本处于不断施法状态,使得三人组队战更多的时候只有2人在作战,
评价:纯粹的辅助角色,不推荐这个职业.
ウーラン
武器为枪,防具都是重装备,能够使用5~8级黑魔法,执照上总共加HP1710,力量强化14次,魔力强化6次,行动时间缩短2次,HP满时提升攻击力,濒死是提升攻击力和防御力,拥有ポーションの知识1~3级,万能薬の知识1-2级,フェニックス效果提升2次,技能方面有勧诱、応急手当、密猟、无作为魔、MPHP、肉斩骨断、苏生、防御破壊、アキレス、暗黑、攻撃破壊
摩羯座力强化
狮子座肉斩骨断
双鱼座魔力强化*2
天蝎座攻击破坏
水瓶座ポーションの知识3
金牛座黑魔法7~8
处女座防御破坏
简介:可以装备枪的战士,回避攻击的同时用用枪尖刺穿敌人的铠甲
枪骑士作为近战角色而言拥有很高的物理攻击力和不错的魔法攻击手段,虽然HP不多难以担当肉盾的角色,但是可以凭借不错的伤害输出成为队伍里的主攻手.不过缺点也很明显,游戏后期伤害输出的不足限制了他的发展,
评价:物攻魔攻皆强力,值得一用的角色
机工士
武器主要是铳和计算尺,并能使用3~4级ハンディボム,防具都是軽装备,能够使用1级绿魔法和8~10级时空魔法,执照上总共加HP2100,力量强化3次,魔力强化7次,行动时间缩短3次,濒死是提升防御力,拥有ポーションの知识1~3级,万能薬の知识1~3级,フェニックス效果提升1次,技能方面有ライブラ、盗む、勧诱、歩数攻撃、时间攻撃、密猟、アキレス、銭投げ、算术、贴付
天秤座绿魔法1
巨蟹座ハンディボム装备4
射手座ハンディボム装备3
天蝎座魔力强化
处女座(和附近的必杀之间只需解其一)魔力强化*3
蛇夫座HP+390
水瓶座时空魔法8~10
金牛座HP+350
简介:一旦瞄准敌人就无法逃脱,擅长狙击的战士
机工十这个职业有些模纫两可:作为远程支援型角色,虽然有统攻击无视防御的特点,但是需要搭配高级武器才能打出高伤害;
要是装备计算尺,成为辅助型角色的话,又要配合各种特技才能发挥最大威力.不过总体来说,作为一个既可远攻又可近战的过渡型的角色还是值得一用的.
评价:远近皆可战,值得一用的角色
赤魔戦士
武器主要是メイス,并能使用1~4级両手剣,防具为魔装备、盾和8~10级重装备,能够使用全部的裏魔法以及2~7级白魔法、3~7,9~10级黑魔法和1~3级时空魔法,执照上总共加HP1005,力量强化3次,魔力强化12次,行动时间缩短1次,MP节约3次,HP满时提升魔力,濒死时提升魔力,拥有エーテルの知识1级,技能方面有盗む、チャージ、暗黑
狮子座盗む
巨蟹座消费MPカット
蛇夫座骑士剑4
金牛座骑士剑3
处女座骑士剑1~2
水瓶座力强化*2
天蝎座黑魔法9~10
射手座白魔法7
天秤座重装备8~10
简介:装备メイス,擅长物理攻击与魔法攻击的万能型战士
赤魔道士历来被称为万金油职业,虽然样样都懂,但不是样样精通.但是在本作中常常能有很好的作为:
血虽然不厚,还好可以装盾弥补(本作盾的回避数值很高,很实用),在队伍遇到危机时刻可以临时充当肉盾.
另一方面,作为辅助型角色,除了会所有的里魔法和中级魔法外,后期可以通过召唤兽搭桥学习到高级的黑魔法,完全可以替代黑魔道士成为魔攻的主力.
评价:非常适合作板凳的第四号主力,推荐使用的职业
ナイト
武器为片手剣和両手剣,防具为重装备、盾和源氏装备,能够使用6~9级白魔法,执照上总共加HP2100,力量强化11次,行动时间缩短1次,盾回避上升3次,HP满时提升攻击力,濒死时提升攻击力和防御力,拥有ポーションの知识1~2级,技能方面有MPHP、暗黑、応急手当、暗黑杀法、苏生、远隔攻撃
双鱼座白魔法6~7
狮子座白魔法8~9
金牛座、蛇夫座和一个必杀(只需解其一)HP+390、苏生、圣剣装备
天秤座HP+350
天蝎座力强化
射手座ポーションの知识2
白羊座ポーションの知识1
处女座力强化、远隔攻撃
简介:擅长使用剑和盾并可以装备强力防具的战士
骑士这个职业非常的实用.由于本作盾的地位大幅上升,剑盾组合的稳定性再次体现了出来.除了本身血厚外,还能靠装备重装来提高他的伤害输出,如果通过召唤兽学会了白魔法.那么这个职业立刻专职变成了圣骑士.....
评价:稳定性出众的角色,强烈推荐的职业
モンク
武器为棒,防具为軽装备,能够使用4,9~13级白魔法,执照上总共加HP3035,力量强化16次,行动时间缩短3次,HP满时提升攻击力,濒死时提升攻击力和防御力,拥有ポーションの知识1~3级,フェニックス效果提升2次,技能方面有歩数攻撃、算术、攻撃破壊、苏生、防御破壊、肉斩骨断、応急手当、ライブラ、アキレス、无作为魔、暗黑、暗黑杀法
双子座歩数攻撃
狮子座白魔法4
射手座ポーションの知识3
天秤座暗黑
水瓶座白魔法10
蛇夫座白魔法13
处女座行动时间短缩*2
金牛座白魔法11~12
巨蟹座暗黑杀法
简介:以身体作为武器对敌人进行各种攻击的战士
武僧/格斗家在早期更多的是充当肉盾的角色,因为武僧一开始就可以学到很多+血的执照格子,而且棒的回避率不低.然而到了游戏中期,随着多次的力量强化,武僧的高攻击输出逐渐体现了出来(素手状态),尤其在其他职业还没有得到较强武器时候这一点体现的非常明显.另外,作为近战型职业,在没有习得远隔攻击的时候,持棒的武僧却能直接打到飞空类敌人,这是非常难能可贵的.和骑士一样,可以通过召唤兽习得白魔法.
评价:生存能力极强的肉盾,推荐的职业
时空魔戦士
武器为ボウガン,也能使用7~9级片手剣,防具都是重装备,能够使用全部的1~10级时空魔法和1~3级绿魔法,执照上总共加HP950,力量强化11次,魔力强化9次,行动时间缩短3次,MP节约3次,HP满时提升魔力,濒死时提升防御力和魔力,拥有エーテルの知识1~3级,万能薬の知识1~2级,技能方面有时间攻撃、贴付、魔法破壊、魔防破壊、チャージ、密猟、算术
狮子座消费MPカット
天秤座力强化
水瓶座力强化
蛇夫座剣装备9
处女座剣装备7~8
金牛座HP+270
双鱼座HP+230
双子座エーテルの知识3
巨蟹座魔法破坏、魔防破坏
摩羯座白魔法4
简介:装备ボウガン,操纵各种时间和空间的魔法
这个职业怎么说好呢,辅助魔法非常的实用,伤害输出也不低,血也不厚,但是作为可以持单手剑的职业,却不能装盾这一设定让人大惑不解,难道是为了凸显和其他职业的不同?
评价:和赤魔作用类似的角色,值得一用的职业
ブレイカー
武器为斧、ハンマー、ハンディボム,防具为重装备、盾、源氏,不能使用魔法,执照上总共加HP2100,力量强化13次,魔力强化5次,行动时间缩短3次,盾回避上升2次,HP满时提升攻击力,濒死时提升攻击力和防御力,各类知识都没有,技能方面魔攻破壊、攻撃破壊、防御破壊、魔防破壊、暗黑杀法、无作为魔、MPHP、歩数攻撃、时间攻撃
天蝎座无作为魔
天秤座和巨蟹座(只需解其一)魔力强化*4
摩羯座力强化
双子座歩数攻撃
水瓶座魔力强化
处女座行动时间短缩
白羊座时间攻撃
狮子座行动时间短缩
简介:将一切都注入武器中全力攻击敌人的破坏者
破坏者/狂战士这个职业,很明显是个拼人品的肉盾.先不说斧子的伤害输出飘忽程度之大(虽然暴击最高也能打出上万的伤害,但是出现伤害数值个位数也是常有的事情),还没有可用的魔法和知识,MP存在明显就是多余的(感觉就是为了装晓之断片而存在的职业)
评价:纯粹的肉盾角色,不推荐使用的职业
弓使い
武器都是弓,防具包括全部的軽装备和10~12级重装备,能够使用4级白魔法,执照上总共加HP2185,力量强化2次,魔力强化6次,行动时间缩短2次,HP满时提升攻击力,濒死时提升防御力,拥有ポーションの知识1~3级,万能薬の知识1-3级,フェニックス效果提升3次,技能方面有MPHP、针千本、魔防破壊、魔攻破壊、无作为魔、苏生、歩数攻撃、勧诱、密猟、ライブラ、応急手当、盗む、銭投げ、アキレス
水瓶座HP+435、HP+390
处女座和蛇夫座(只需解其一)MPHP、针千本
金牛座魔力强化*5
射手座重装备10~12
简介:擅长远距离攻击作战的战士
和机工士相比,是一个更纯粹的远程支援型角色.血不厚,攻击输出也中规中举,
评价:坚持打了就逃的角色,勉强可以用用的职业
黑魔道士
武器主要是杖,还能使用3~4级ハンディボム,防具包括全部魔装备和7~9级重装备,能够使用全部1~13级黑魔法1~3级绿魔法,执照上总共加HP1460,魔力强化16次,行动时间缩短2次,MP节约3次,HP满时提升魔力,濒死时提升魔力,拥有エーテルの知识1~3级,万能薬の知识1~2级,技能方面有远隔攻撃、勧诱、チャージ、密猟、盗む
处女座远隔攻撃
水瓶座HP+230HP+190HP+310
巨蟹座重装备9
天秤座重装备8
射手座重装备7
狮子座ハンディボム装备4
双子座盗む、密猟
摩羯座ハンディボム装备2
双鱼座ハンディボム装备3
简介:操纵构成万物的元素之力,使用攻击魔法的魔道士
黑魔的魔攻伤害在游戏前期非常的突出,常常可以打出破万的数值,.不过和白魔一样,血少防低,如果不能在几个回合里消灭敌人,那么被秒杀的很可能就是他自己了.可以说,这个职业是喜欢速战速决玩家的最爱.
评价:魔攻之高无与伦比,值得一用的角色.
もののふ
武器是刀和ブラッドソード装备,防具为包括魔装备、源氏装备和9~11级重装备,不能使用魔法,执照上总共加HP3005,力量强化8次,魔力强化14次,行动时间缩短3次,盾回避上升1次,HP满时提升魔力,濒死时提升防御力和魔力,万能薬の知识1~2级,技能方面有ライブラ、贴付、暗黑、HPMP、肉斩骨断、无作为魔、銭投げ、针千本、暗黑杀法
摩羯座暗黑
白羊座ライブラ
射手座盾回避率UP
天秤座HP+500
巨蟹座魔力强化*2
天蝎座和处女座(只需解其一)贴付
蛇夫座重装备9~11
金牛座格闘
双子座ブラッドソード装备*2
简介:舍弃人生舍弃感情,一心为君主效命的剑士
武士/侍这个职业和破坏者一样,不能使用魔法,但是可以使用知识,而且双手刀的优势本身就在于连击数.由于力量强化和魔力强化最终的结果都是提高伤害输出,再加上本身血也很厚,因此很吃香,由于本作新增了一把单手武器(正宗I),配合全套源氏装备的武士简直就是战神再临般的存在.
评价:注重物攻的肉盾,强烈推荐的职业
シカリ
武器为ダガー、忍刀,还有5~6级铳,防具包括軽装备和盾,能够使用12级白魔法,执照上总共加HP2535,力量强化6次,魔力强化5次,行动时间缩短3次,盾回避上升2次,HP满时提升攻击力,濒死时提升攻击力和防御力,拥有ポーションの知识1~3级,万能薬の知识1~3级,フェニックス效果提升2次,技能方面有肉斩骨断、无作为魔、苏生、応急手当、ライブラ、銭投げ、歩数攻撃、针千本、贴付、远隔攻撃
摩羯座无作为魔
狮子座肉斩骨断
射手座铳装备5~6
双子座HP+435
天秤座贴付
处女座フェニックス効果UP*2
天蝎座白魔法12
双鱼座銭投げ
简介:跨越山河与国境,行动敏捷的战士
窃贼/猎人在前期一直表现的非常活跃,攻击速度很快,也能装盾,装上统之后就可以作为远程支援型角色,唯一的问题就是伤害输出到了游戏中后期偏低,需要靠团队的配合来作战
评价:游戏初期新手玩家的最爱,可以一用的角色.
推荐职业分配(适合打100试炼):
主角(骑士)狮子座双鱼座白羊座
小潘(武僧)蛇夫座金牛座水瓶座处女座
公主(武士)天平座巨蟹座人马座
大叔(枪骑)魔羯座
兔女(赤魔)天蝎座
空贼(猎人)双子座
LinkedIn领英上超过600万条用户登录信息泄露怎么回事?
11月16日,中国电信股份有限公司北京研究院与北京神州绿盟信息安全科技股份有限公司(以下简称绿盟科技)等单位共同发布了调研产出的《2016 年上半年中国网站安全报告》,其中给出了一组数据:
相比 2015 年上半年, 2016 年上半年高危漏洞占比有所增加。 2015 年上半年监测发现每个网站平均漏洞数达 658 个,其中,高危漏洞数为 7 个。 2016 年上半年监测的网站数据显示,平均每个网站漏洞数达 773个,其中,高危漏洞数高达 22 个。
七八线地区的童鞋们更要注意的是,对,你们更危险,请看——
从行业分布情况来看,地方企业占比最高,运营商、政府教育及医疗行业也存在较多问题。漏洞的行政属性较为明显,区县及以下单位问题最多,合计有 252969 个高危漏洞,其次是各省市级单位,共曝出 108722 个高危漏洞,可以明确看到区县及以下级别单位的漏洞数量要明显高于部委、集团、省市级单位。
看上去读者你是不是没什么触动的意思?没关系,看一下以下焦点安全事件盘点,你可能会发出:“唉呀妈呀,你们说的就是这个事!”或者可能你就是其中一个受害者。
1.LinkedIn 用户账户信息泄露
盆友,坦白跟你说,社交平台现在是黑客的“关注点”哦!越来越多的问题被发现,例如数据泄露、xx或者其他攻击。
如果你曾经换过工作,那么这类社交求职平台可能会毫不留情地把你的信息泄露。如下对话可能会发生:
A:李先生你好,听说你要跳槽
B:(十分惊喜状,以为猎头来了),对对对,是的,你有什么好职位?
A:那个,就想问问您,一般跳槽可能会换租房是吧,我是租房中介。
……
这一次,受伤害的是领英( LinkedIn)。它是全球最大职业社交网站,会员遍布 200 多个国家和地区,总数超过4 亿人,致力于向全球职场人士提供沟通平台,并协助他们在职场事半功倍,发挥所长。加入后,可浏览会员资料、在招职位、行业消息、人脉圈动态和对您职业技能有帮助的相关信息。
2012 年,一名自称“和平”的俄罗斯黑客攻击了领英网站,获取了超过 600 万条用户登录信息,并泄露在网上。
比 2012 年更为严重的是 2016 年,仍是一位自称“和平”的俄罗斯黑客获取了 1.17 亿领英电子邮件 ID 以及用户的登录密码,并在暗网市场上以 5 个比特币(约 $2200 或¥15000)的价格进行出售。
暗网出售截图
2.百万邮件账户信息被盗
用过雅虎、hotmail、和Gmail 邮箱的朋友肯定还记得这次灾难——
2016 年 5 月 7 日,根据路透社报道,黑客正在黑市上交易高达 272300000 条被盗的邮件账户用户名和密码,其中, 57000000 条俄罗斯 Mail.ru 邮件账户、 40000000 条雅虎邮件账户、 33000000 条 hotmail 邮件账户以及 2400000 条 Gmail 邮件账户。
另外,还包含成千上万的德国和中国的电子邮件户,以及数以千计的涉及美国银行业、制造业和零售业公司员工的用户名和密码组合如图:
3.国内部分网站存在 Ramnit 恶意代码攻击
2016年4月,CNCERT 监测发现,一个名为“ Ramnit ”的网页恶意代码被挂载在境内近600个党政机关、企事业单位网站上,一旦用户访问网站有可能受到挂马攻击,对网站访问用户的 PC 主机构成安全威胁。
专门针对天朝党政机关、企事业单位网站,胆子不小!
Ramnit 恶意代码是一个典型的 VBScript 蠕虫病毒,可通过网页挂马的方式进行传播,当用户浏览含有 Ramnit 恶意代码的 HTML 页面时,点击加载 ActiveX 控件,用户主机就很有可能受到恶意代码的感染。如下图所示为 Ramnit 代码在页面中驻留的代码片断。
Ramnit代码在页面中驻留的代码片断
Ramnit 主要在用户% TEMP %文件夹中植入了一个名为“svchost.exe”的二进制文件并执行关联的 ActiveX 控件,受感染的用户主机会试图连接到与 Ramnit 相关的一个木马控制服务器——fget-career.com。
根据 CNCERT 监测情况分析,Chrome 和 Firefox 浏览器用户不会受到恶意代码的影响,而较高版本的 IE 浏览器也会对此类 ActiveX 控件进行告警提示而不是自动执行。所以,受影响的主要是较低版本的 IE 浏览器。建议IE浏览器用户在访问互联网站时做好 IE 安全设置(建议设置为中-高安全级别),禁止执行不明来源的ActiveX控件。
2015年11月至2016年3月间的巡检结果显示境内共计有约 1250 台境内WEB服务器被挂载过 Ramnit 恶意代码,被入侵的服务器主要类型为 Microsoft IIS(占比69.3%),其次是 Apache 系列服务器(占比19.2%)。
4.全网服务器安全恐遭“菜刀-Cknife”威胁
2016年7月20日,据国外媒体 softpedia 报道,中国 MS509Team 的两大安全研究人员 Chora 和 MelodyZX 开发了新型Webshell管理工具“Cknife”,在 GitHub 开放源代码供所有人使用,当然黑客也不例外。
2015年12月,跨平台版中国菜刀—Cknife发布,它是由Java语言编写的,包括服务器端组件,可以管理链接至 Java、PHP、ASP 和 ASP.NET 服务器。
工具运行原理
创业公司 Recorded Future 的一份调查研究指出,Chopper 是 2013 年发布的一款非常有效但却过时(代码级别)的 Webshell 管理工具,深受中国各种颜色帽、犯罪组织以及高级持续性威胁者追捧。Cknife 是 Chopper 的“升级版”。
Cknife 与 Chopper 有一些共同之处,像图标以及处理HTTP请求中的一些怪异模式。但这两种工具却也截然不同,Cknife 用 Java 编写,而 Chopper 则用 C++ 编写而成。
此外,Cknife 通过 HTTP 打开 Webshell GUI 与被感染服务器之间的连接,而 Chopper 使用 HTTPS。Recorded Future 表示,Cknife 开发人员许诺在今后几个月会支持 HTTPS.
Cknife 是网络服务器的 RAT 。Cknife 允许用户一次连接多个服务器,同时连接网络服务器与数据库并运行命令行访问的远程shell。
Recorded Future 警告称,“Cknife 是中国攻击者过去半年以来一直在讨论(可能在使用)的可置信威胁。考虑到围绕网络服务器的大范围攻击面、Chopper 和 Cknife 各自的应用程序与架构以及 Chopper的成功先例,不久的将来,Cknife 应该应认真解决的合法威胁。”
5.只针对中国用户的勒索软件CuteRansomware
上次雷锋网邀请 360 的专家给大家科普过勒索软件——在黑客的众多牟利手段当中,勒索软件可能是最普遍的一种。这种恶意软件通常会通过受感染的邮件附件、被篡改的网站或网页广告散布。勒索软件会对用户电脑上的文件进行加密,除非受害者交付特定数额的赎金,否则受影响的文件将会一直处于不可用的状态。
那么,在实际案例中,有没有真的只针对中国用户的的勒索软件呢?历史告诉大家,真的有!
2016年7月15日,有安全研究人员发现了一个名为 cuteRansomware 的新恶意勒索软件。该恶意软件代码的注释及勒索内容全部使用的中文,这就意味着,该勒索软件目前只将中国用户作为攻击目标。再仔细查看代码并比对 AVG 研究人员发现的版本之后,研究人员还发现该版本还采用谷歌文档表格作为其 C&C服务器。
cuteRansomware 会感染计算机,生成 RSA 加密密钥,然后通过 HTTPS 将密钥传送到谷歌文档表格中。
6.WinRT PDF 存在网页挂马攻击漏洞
WinRT PDF 作为 Windows 10 系统的默认 PDF 阅读器,能够像过去几年爆发的 Flash、Java、Acrobat漏洞相似允许黑客通过 Edge 浏览器发起一系列攻击。Windows Runtime(WinRT)PDF 渲染库或者简称 WinRT PDF,是内嵌至 Windows 10 系统中的重要组件,允许开发者在应用中轻松整合PDF阅读功能。该渲染库被已经在 Windows Store 上架的应用广泛使用,包括 Windows 8/8.1 的默认阅读应用和微软最新的Edge浏览器。
2016年3月3日,来自 IBM X-Force Advanced 研究团队的安全专家 Mark Vincent Yason 近期发现 WinRT PDF 存在和过去几年曾用于 Flash 和 Java 上相似的网页挂马攻击(drive-by attacks)漏洞。在WinRT PDF 作为 Edge 浏览器的默认 PDF 阅读器之后,任何嵌入至网页的 PDF 文档都能够在这个库中打开。聪明的攻击者能够通过 PDF 文件来利用这个 WinRT PDF 漏洞,使用包含 CSS 的 iframe 定位来秘密打开包含恶意程序的 PDF 文件并执行恶意程序。
攻略:为何你中招,如何不再中招?
如果你曾经不小心遇到上述问题,可能不是你运气差。绿盟科技告诉雷锋网(公众号:雷锋网),通过对 200 余个单位的网站安全管理情况进行了调研分析,他们发现了这些问题:
•在基础管理方面,虽然目前有 95% 的单位有专人负责安全运维工作,但是超过 5 人的安全团队不足 20%,同时有将近一半的单位缺失安全制度及应急响应流程。意思是,大事不好了,然而网站运维也蒙圈了。
•在资产管理方面,有将近 50% 的单位没有进行网站资产的定期梳理,导致很多新建站点数据库等端口在公网暴露,往往这些单位也不清楚下辖单位的网站资产全集。同时,有 70% 以上网站都是外包建站, 40% 以上是外包运营,如果对于外包过程掌控不足,很容易留下大量安全隐患。意思是,我把内衣、底裤都挂到摄像头下了,还特别喜欢找别人帮我晾衣服,被拿走了都不知道。
•在建站开发方面,使用第三方软件框架种类繁多,有各类开源服务器(如 apache、Lighttpd 等 )、开源数据库 ( 如 mysql、 PostgreSQL 等 )、开源论坛框架(如 phpwind、phpcms 等)等,这些开源产品如果不能很好地管理,会导致大量配置相关的风险隐患。
•在漏洞管理方面,有将近 40% 的单位认为高危漏洞处于个位数,但事实比这糟糕得多,有 61% 的单位低估了漏洞的数量以及危害,另外 96% 的单位在彻底修复漏洞前没有做任何漏洞防御措施。意思是,狼来了,但是以为羊来了。
•在威胁管理方面,仅有 6% 的单位能对扫描行为和模拟的攻击行为进行拦截。在事件管理方面,仅有 20% 的单位明确进行了网站各类事故的监测,其余各单位有将近一半反馈没有做网站事故灾害监测,而另一半则不确认本单位是否做了安全事故灾害监测。
为此,除了建立健全安全管理组织形式,明确清晰安全管理工作职责,构建落实安全管理体系框架,绿盟科技着重建议建立完善安全管理运营流程。
以监测、发现、与处理一项网站漏洞为例,以下为高能实操攻略:
1.如何发现漏洞这个小妖精?
办法一,日常漏洞监测与扫描。这其中包含Web 漏洞和系统漏洞的监测与发现,由于网站安全漏洞会不断被发现和公开,所以使用扫描设备对网站漏洞进行监测是个持续的过程,并且需要纳入到日常管理工作范畴。办法二,紧急漏洞通告的舆情监测。紧急漏洞通告一般是指业内将漏洞及漏洞验证代码同时公开的漏洞,这些漏洞往往有高风险、波及范围广、对应的攻击代码传播快的特点。通常在紧急漏洞公开之前或公开的同一天会出现利用该漏洞的攻击工具。所以,对一些第三方的漏洞通报平台、各安全厂商发布紧急漏洞信息的平台、各类黑客论坛进行情报监测。
2.发现漏洞以后怎么办?
发现漏洞以后,需要对漏洞进行验证和分析,验证过程通常是根据漏洞详情验证漏洞的真伪,扫描设备、各类漏洞通告有较高的频率出现误报,所以在发现漏洞后首先要对漏洞进行验证,确认网站系统是否存在漏洞或受到漏洞的影响。
在确认漏洞的真伪后,通常对中高危漏洞需要优先分析,分析的目的在于确认漏洞被利用后会对资产或企业造成何种影响,相同的漏洞给不同的网站带来的风险是完全不同的,应该由网站维护人员和安全管理员共同判断。在对网站进行验证分析后,需要网站管理人员作出决策,凡有可能对网站造成机密性、完整性、可用性破坏的漏洞都应该考虑及时采取措施预防和修复。有部分不会对网站造成任何影响的漏洞可采取接受风险的策略。
3.漏洞未能修复之前怎么办?
在漏洞未能修复之前采取的临时措施,通常是在漏洞修复之前采用技术手段将来自外部的风险(漏洞利用)屏蔽。这个过程可以通过修改 Web 程序来实现,也可以依赖于网站的防护设备,通过追加临时安全防护策略可以拦截外部攻击者利用漏洞的行为。
在漏洞预防策略实施后,需要再次通过人工方式或设备验证漏洞预防策略是否已生效。当然,漏洞预防措施的实施不代表漏洞不需要修复,因为来自内部的威胁照样存在,彻底解决的办法还是修复漏洞。如果发现漏洞后可以快速修复漏洞,甚至可以不采取漏洞预防的措施。
4.如何修复?
针对网站已有的漏洞在技术上进行修复,根据不同种类的漏洞采取的手段各不相同,同一类型的漏洞也可以采用不同的手段修复和规避,降低风险。按照漏洞的几种常见类型,漏洞的修复方法可以按照如表所示: