【文章內容簡介】 全國的大學、政府機構和軍用計算機都連接到了這個網絡上。這個網絡上的計算機之間可以通信、傳輸信息。Morris試圖使得Internet蠕蟲在網絡上廣泛傳播并且不引起注意。假設蠕蟲占用很少的計算機操作時間，將不影響計算機的正常使用。Morris編寫的蠕蟲難以發(fā)現和讀取，因此其他編程人員不能輕易的終止蠕蟲的運行。Morris而且想保證在已有一個蠕蟲的計算機上將不再拷貝。在一臺計算機上又多個蠕蟲的拷貝會使蠕蟲易于發(fā)現，并且將降低計算機的性能，最終導致計算機的崩潰。因此Morris設計的蠕蟲詢問每臺計算機是否已經有了一個蠕蟲的拷貝。如果計算機的回答是no，蠕蟲將被拷貝到計算機；如果回答是yes，蠕蟲將不拷貝到計算機上。然而Morris擔心其他程序員可以通過編寫他們自己的程序，對于這個問題錯誤的回答為yes，從而終止蠕蟲的運行。為了繞過這種保護，Morris使得蠕蟲在收到7次yes的響應后復制自己。后來證明，Morris低估了計算機詢問這個問題的次數，他的1:7的比率導致了比他預想的要多的拷貝被復制到了計算機上。蠕蟲還設計為計算機關閉后終止運行，典型情況是每周關閉一到兩次。這樣做防止了蠕蟲在一臺計算機上的積聚，Morris正確估計了在感染的比率。（1）通過SEND MAIL中的漏洞或bug，這是一個在計算機上傳送和接受電子郵件的程序；（2）通過“finger守護程序”的漏洞，這是一個允許獲得另外一臺計算機的用戶的有限信息的程序；（3）通過信任主機功能組件，信任主機使得在一臺計算機上具有一定特權的用戶不用口令就可以在另外一臺計算機上獲得等價的特權；（4）通過猜測口令的程序。通過快速嘗試多種字母，希望猜中授權用戶的口令，這樣進入后就可以獲得和授權用戶一樣的活動權限。Morris在麻省理工學院的計算機上釋放了他的蠕蟲。選擇麻省理工大學是為了掩蓋是來自康奈爾大學的Morris是事實。很快，Morris發(fā)現蠕蟲復制和計算機被重新感染的速度比他預期的要快的多。最終，分布在全國的計算機要么崩潰，要么患上“精神緊張癥”。當Morris認識到發(fā)生了什么后，他和他在哈佛的朋友商量對策。最后，他在哈佛向網絡發(fā)了一個匿名信息，指導程序員如何終止蠕蟲的運行、防止重新感染。然而，由于網絡路由的阻塞，這個信息并沒有產生應有的作用。不計其數的計算機被影響，包括最主要的大學、軍事站點、醫(yī)學研究機構等的計算機等。每臺計算機處理蠕蟲的費用估計從200到53000美元不等。Morris的罪行被發(fā)現了，緊接著是陪審團的審判，他觸犯了18 1030(a)(5)(A)。他被緩刑三年、400小時的社區(qū)服務和10050美元的罰金以及他的監(jiān)管費。 強制產生錯誤對數據庫類型、版本等信息進行識別是此類型攻擊的動機所在。它的目的是收集數據庫的類型、結構等信息為其他類型的攻擊做準備，可謂是攻擊的一個預備步驟。利用應用程序服務器返回的默認錯誤信息而取得漏洞信息。采用非主流通道技術除HTTP響應外，能通過通道獲取數據，然而，通道大都依賴與數據庫支持的功能而存在，所以這項技術不完全適用于所有的數據庫平臺。SQL注入的非主流通道主要有Email、DNS以及數據庫連接，基本思想為：先對SQL查詢打包，然后借助非主流通道將信息反饋至攻擊者。使用特殊的字符不同的SQL數據庫有許多不同是特殊字符和變量，通過某些配置不安全或過濾不細致的應用系統能夠取得某些有用的信息，從而對進一步攻擊提供方向。使用條件語句此方式具體可分為基于內容、基于時間、基于錯誤三種形式。一般在經過常規(guī)訪問后加上條件語句，根據信息反饋來判定被攻擊的目標。利用存儲過程通過某些標準存儲過程，數據庫廠商對數據庫的功能進行擴展的同時，系統也可與進行交互。部分存儲過程可以讓用戶自行定義。通過其他類型的攻擊收集到數據庫的類型、結構等信息后，便能夠建構執(zhí)行存儲過程的命令。這種攻擊類型往往能達到遠程命令執(zhí)行、特權擴張、拒絕服務的目的。避開輸入過濾技術雖然對于通常的編碼都可利用某些過濾技術進行SQL注入防范，但是鑒于此種情況下也有許多方法避開過濾，一般可達到此目的的技術手段包括SQL注釋和動態(tài)查詢的使用，利用截斷，URL編碼與空字節(jié)的使用，大小寫變種的使用以及嵌套剝離后的表達式等等。借助于此些手段，輸入構思后的查詢可以避開輸入過濾，從而攻擊者能獲得想要的查詢結果。推斷技術能夠明確數據庫模式、提取數據以及識別可注入參數。此種方式的攻擊通過網站對用戶輸入的反饋信息，對可注入參數、數據庫模式推斷，這種攻擊構造的查詢執(zhí)行后獲得的答案只有真、假兩種?；谕茢嗟淖⑷敕绞街饕譃闀r間測定注入與盲注入兩種。前者是在注入語句里加入語句諸如“waitfor 100”，按照此查詢結果出現的時間對注入能否成功和數據值范圍的推導進行判定；后者主要是“and l=l”、“and l=2”兩種經典注入方法。這些方式均是對一些間接關聯且能取得回應的問題進行提問，進而通過響應信息推斷出想要信息，然后進行攻擊。（也稱為XSS）指利用網站漏洞從用戶那里惡意盜取信息。用戶在瀏覽網站、使用即時通訊軟件、甚至在閱讀電子郵件時，通常會點擊其中的鏈接。攻擊者通過在鏈接中插入惡意代碼，就能夠盜取用戶信息。攻擊者通常會用十六進制（或其他編碼方式）將鏈接編碼，以免用戶懷疑它的合法性。網站在接收到包含惡意代碼的請求之后會產成一個包含惡意代碼的頁面，而這個頁面看起來就像是那個網站應當生成的合法頁面一樣。許多流行的留言本和論壇程序允許用戶發(fā)表包含HTML和javascript的帖子。假設用戶甲發(fā)表了一篇包含惡意腳本的帖子，那么用戶乙在瀏覽這篇帖子時，惡意腳本就會執(zhí)行，盜取用戶乙的session信息。有關攻擊方法的詳細情況將在下面闡述。 McGraw博士Gary McGraw全球公認的軟件安全權威，Cigital公司的CTO，董事會成員，掌管Fortify軟件公司的技術顧問團，同時擔任RavenWhite公司的高級顧問。Gary在網絡安全方面著有多本著作，其中的6本長居暢銷書排行榜前列。在本書中全面、詳細地介紹了這種方法。本書的副標題“使安全成為必需的組成部分”點出了實施軟件安全的工程化方法的總綱，即在整個軟件開發(fā)生命周期中都要確保將安全作為軟件的一個有機組成部分。支持這個總綱的三根支柱是應用風險管理、軟件安全的接觸點和知識。風險管理是一種戰(zhàn)略性方法，即將追蹤和減輕風險作為一種貫穿整個生命周期的指導方針。接觸點，即在軟件開發(fā)生命周期中保障軟件安全的一套最優(yōu)方法，是一種戰(zhàn)術性方法。Gary McGraw博士總結出了七個接觸點，即代碼審核、體系結構風險分析、滲透測試、基于風險的安全測試、濫用案例、安全需求和安全操作。無論你采用什么樣的軟件開發(fā)方法學，你都可以將這些接觸點應用到你的開發(fā)生命周期中，而不需要完全改變你的軟件開發(fā)生命周期。這些接觸點從“黑帽子”（攻擊和破解）和“白帽子”（防御和保護）兩個方面綜合地考察軟件開發(fā)中可能出現的問題，結合了它們的開發(fā)生命周期就成為“安全的”開發(fā)生命周期。“安全的”開發(fā)生命周期能夠在每一個開發(fā)階段上盡可能地避免和消除漏洞，同時又保留了你熟悉的工作方式。軟件安全的第三根支柱是知識，包括收集、壓縮和共享能用于為軟件安全方法提供堅實基礎的安全知識。由于軟件安全是一門新的學科，及時總結知識，并用知識來教育所有相關的人員，對確保軟件安全是至關重要的。在整個開發(fā)生命周期中綜合應用這些方法，就能從設計、編碼和測試等各個層面上消除軟件中的安全弱點，從制度上、方法上最大限度地保障軟件安全。 微軟SDL(Security Development Lifecycle)流程，是一種專注于軟件開發(fā)安全保障的流程，為了實現保證最終的用戶安全，在軟件開發(fā)各階段中引入安全和隱私問題。其中主要由以下7部分組成：安全培訓(training)：推廣安全編程意識需求分析(requirements)：尋找安全嵌入的最優(yōu)方式系統設計(design): 威脅建模設計實現(implementation)：安全開發(fā)驗證(verification)：黑/白盒測試發(fā)布(release)：最后檢查確認響應(response)：應急響應，bug跟蹤解決總結, 通過上面的介紹，我們發(fā)現微軟SDL是將設計、代碼和文檔等與安全相關漏洞減到最少，在軟件開發(fā)的生命周期中盡可能的早地發(fā)現解決相關漏洞建立的流程框架。值得我們學習的地方是，我們可以借鑒微軟SDL的流程框架建立符合公司自己的。以下微軟SDL流程框架圖：微軟SDL官方地址： 目前多數公司在安全方面都面臨者諸多問題，如：安全意識不足缺少安全設計缺少安全編程規(guī)范頻繁的迭代更新版本壓縮項目周期。等，當然還有更多，在此就不在列舉所以借鑒微軟SDL流程框架，本文作者構建符合自己公司的SDL流程框架：安全測試(通過黑/白盒測試，發(fā)現公司系統潛在的漏洞，構建漏洞庫)安全培訓(通過對常見漏洞，尤其是對用戶及公司造成危害性大的漏洞培訓形成解決方案措施)需求分析評估(確切的來講，這個層次應屬于信息安全范圍，針對各層次進行安全信息識別和漏洞評估，制定相關安全目標等內容)系統設計(威脅模型建立，進行架構分析，分解各應用程序，識別風險，識別漏洞等)編碼實現(進行相關代碼評審，漏洞掃描檢查)發(fā)布(上線審核機制，安全監(jiān)控(日志，網站，服務器等)，Bug管理，故障事件管理等)通過上面大家可以發(fā)現微軟SDL的“響應”環(huán)節(jié)去掉了，其實響應我個人理解將其融入以上6個環(huán)節(jié)中更有效，因為每個環(huán)節(jié)都需要應對。其中將安全測試和安全培訓提至最前面，因為目前國內公司對安全其實了解甚少且比較偏面，所以最好的解決方法就是將問題擺出來，然后尋求解決之道!可重復的流程，通過這些流程可靠地實現可測量的安全性提升。因此，軟件供應商必須轉為采用一種更嚴格的、更加關注安全性的軟件開發(fā)流程。這種流程旨在盡量減少設計、編碼和文檔編寫過程中存在的漏洞，并在開發(fā)生命周期中盡可能早地檢測到并消除這些漏洞。用于處理來自 Internet 的輸入、控制可能被攻擊的關鍵系統或處理個人身份信息的企業(yè)和消費者軟件最需要實施這種流程。如前所述，工程師教育已超出本文的討論范圍。但是必須認識到教育計劃對 SDL 的成功實施至關重要。計算機科學和相關專業(yè)的大學應屆畢業(yè)生一般缺乏必要的培訓，不能立即加入工作隊伍從事安全軟件的設計、開發(fā)或測試工作。即使是學了安全課程的人員，他們可能對加密算法或訪問控制模型接觸較多，但是對緩沖區(qū)溢出或規(guī)范化缺陷可能了解不多。一般情況下，行業(yè)內的軟件設計者、工程師和測試人員也缺乏適當的安全技術知識。在這些情況下，準備開發(fā)安全軟件的組織必須負責對其工程人員進行適當教育。根據組織的規(guī)模和可用的資源，應付這種挑戰(zhàn)的方法可能會有所不同。擁有大批工程人員的組織可建立一個內部計劃對其工程師進行在職安全培訓，而小型組織則可能需要依賴外部培訓。在 Microsoft，所有從事軟件開發(fā)的人員必須參加一年一次的“安全進修課程”培訓。項目風險管理是指通過風險識別、風險分析和風險評價去認識項目的風險，并以此為基礎合理地使用各種風險應對措施、管理方法技術和手段，對項目的風險實行有效的控制，妥善的處理風險事件造成的不利后果，以最少的成本保證項目總體目標實現的管理工作。風險管理與項目管理的關系通過界定項目范圍，可以明確項目的范圍，將項目的任務細分為更具體、更便于管理的部分，避免遺漏而產生風險。在項目進行過程中，各種變更是不可避免的，變更會帶來某些新的不確定性，風險管理可以通過對風險的識別、分析來評價這些不確定性，從而向項目范圍管理提出任務。第三篇：培訓講稿[培訓講稿]談談小學語文教學的實效性新課改，讓語文教學充滿激情與活力；新課改，讓語文教學更精彩；新課改，讓語文教學在簡單樸實中呈現生動與實效。在激情似火，碩果累累的季節(jié)里，2007年縣小學語文優(yōu)質課賽課活動奉獻了精彩，呈獻了樸實，激起了思潮。反思56堂語文課堂教學，透析語文課堂的實效性特征，頓悟深遠，如何使小學語文課堂教學體現實效性呢？一、解讀“實效性”教學實效性就是在教學活動中，教師采用各種方式和手段，用最少的時間、最小的精力投入，取得盡可能多的教學效果，實現特定的教學目標而組織實施的活動。教育部課程改革專家組核心成員余文森教授在中國教育資源服務平臺“課堂教學論壇”上，就“課堂教學的有效性”與廣大中小學教師進行了在線研討。從專業(yè)角度說，課堂教學的實效主要指課堂教學整體的效果,課堂教學的實效性是指通過課堂教學使學生獲得進步或發(fā)展。這也是衡量教學實效性的唯一指標。”由此我想，我們老師在對待語文有效性課堂的評價上，要審視以下幾個方面：老師眼中是否關注每一位學生的發(fā)展；老師如何引導學生學習；老師的教學技巧、方法是否對學生的發(fā)展有利；學生在課堂上是否在主動學習；學生對基礎知識是否得到扎實訓練，是否得到落實；學生通過老師的“教”能力是否有所提高；學生的情感價值觀是否得到提升。為此，實效的課堂教學是兼顧知識的傳授、情感的交流、智慧的培養(yǎng)和個性塑造的過程。實效的課堂教學是全面地關照學生成長與發(fā)展的樂園，讓學生在這樣一種精神氛圍之中接受文化的洗禮和熏染。實效的課堂教學重視教學過程的探索性，重視教學中的師生的交往與對話。實效的課堂不是機械的生產一些整齊劃一的腦袋，他培養(yǎng)的學生是鮮活的，富有創(chuàng)造力的人才。二、當前小學語文教學的理想（一）、新課程小學語文的理想課堂崔巒在全國第六次閱讀教學研討會上報告上對當前改革的建議是：刪繁就簡，削枝剪葉。提倡簡簡單單教語文，全心全意為學生，扎扎實實求發(fā)展。真、純（語文味，語文課）、實（樸實真實 扎實 充實）、活（針對文本體裁，活用教材）。以及簡明的教學目標，簡約的教學內容、簡化的教學環(huán)節(jié)、簡便的教學方法。追求“真實，樸實，扎實的課堂教學境界”，倡導“簡簡單單教語文，本本分分 為學生，扎扎實實求發(fā)展”的教學風尚，深入推進基礎教育課程改革，深入進行新課程小學語文課堂教學研究，提高新課程小學語文課堂教學質量是我們追求的目標。新課程標準指出，語文教學是大語文活動，應突出語文實踐能力和綜合能力的功能，所以，我覺得語文教學應實現四個“走向”：一是走向生活，語文教學如果遠離了學生鮮活的生活世界，就無法走進學生的內心世界。二是走向實踐，語文只有運用于學