【文章內(nèi)容簡(jiǎn)介】 全國的大學(xué)、政府機(jī)構(gòu)和軍用計(jì)算機(jī)都連接到了這個(gè)網(wǎng)絡(luò)上。這個(gè)網(wǎng)絡(luò)上的計(jì)算機(jī)之間可以通信、傳輸信息。Morris試圖使得Internet蠕蟲在網(wǎng)絡(luò)上廣泛傳播并且不引起注意。假設(shè)蠕蟲占用很少的計(jì)算機(jī)操作時(shí)間，將不影響計(jì)算機(jī)的正常使用。Morris編寫的蠕蟲難以發(fā)現(xiàn)和讀取，因此其他編程人員不能輕易的終止蠕蟲的運(yùn)行。Morris而且想保證在已有一個(gè)蠕蟲的計(jì)算機(jī)上將不再拷貝。在一臺(tái)計(jì)算機(jī)上又多個(gè)蠕蟲的拷貝會(huì)使蠕蟲易于發(fā)現(xiàn)，并且將降低計(jì)算機(jī)的性能，最終導(dǎo)致計(jì)算機(jī)的崩潰。因此Morris設(shè)計(jì)的蠕蟲詢問每臺(tái)計(jì)算機(jī)是否已經(jīng)有了一個(gè)蠕蟲的拷貝。如果計(jì)算機(jī)的回答是no，蠕蟲將被拷貝到計(jì)算機(jī)；如果回答是yes，蠕蟲將不拷貝到計(jì)算機(jī)上。然而Morris擔(dān)心其他程序員可以通過編寫他們自己的程序，對(duì)于這個(gè)問題錯(cuò)誤的回答為yes，從而終止蠕蟲的運(yùn)行。為了繞過這種保護(hù)，Morris使得蠕蟲在收到7次yes的響應(yīng)后復(fù)制自己。后來證明，Morris低估了計(jì)算機(jī)詢問這個(gè)問題的次數(shù)，他的1:7的比率導(dǎo)致了比他預(yù)想的要多的拷貝被復(fù)制到了計(jì)算機(jī)上。蠕蟲還設(shè)計(jì)為計(jì)算機(jī)關(guān)閉后終止運(yùn)行，典型情況是每周關(guān)閉一到兩次。這樣做防止了蠕蟲在一臺(tái)計(jì)算機(jī)上的積聚，Morris正確估計(jì)了在感染的比率。（1）通過SEND MAIL中的漏洞或bug，這是一個(gè)在計(jì)算機(jī)上傳送和接受電子郵件的程序；（2）通過“finger守護(hù)程序”的漏洞，這是一個(gè)允許獲得另外一臺(tái)計(jì)算機(jī)的用戶的有限信息的程序；（3）通過信任主機(jī)功能組件，信任主機(jī)使得在一臺(tái)計(jì)算機(jī)上具有一定特權(quán)的用戶不用口令就可以在另外一臺(tái)計(jì)算機(jī)上獲得等價(jià)的特權(quán)；（4）通過猜測(cè)口令的程序。通過快速嘗試多種字母，希望猜中授權(quán)用戶的口令，這樣進(jìn)入后就可以獲得和授權(quán)用戶一樣的活動(dòng)權(quán)限。Morris在麻省理工學(xué)院的計(jì)算機(jī)上釋放了他的蠕蟲。選擇麻省理工大學(xué)是為了掩蓋是來自康奈爾大學(xué)的Morris是事實(shí)。很快，Morris發(fā)現(xiàn)蠕蟲復(fù)制和計(jì)算機(jī)被重新感染的速度比他預(yù)期的要快的多。最終，分布在全國的計(jì)算機(jī)要么崩潰，要么患上“精神緊張癥”。當(dāng)Morris認(rèn)識(shí)到發(fā)生了什么后，他和他在哈佛的朋友商量對(duì)策。最后，他在哈佛向網(wǎng)絡(luò)發(fā)了一個(gè)匿名信息，指導(dǎo)程序員如何終止蠕蟲的運(yùn)行、防止重新感染。然而，由于網(wǎng)絡(luò)路由的阻塞，這個(gè)信息并沒有產(chǎn)生應(yīng)有的作用。不計(jì)其數(shù)的計(jì)算機(jī)被影響，包括最主要的大學(xué)、軍事站點(diǎn)、醫(yī)學(xué)研究機(jī)構(gòu)等的計(jì)算機(jī)等。每臺(tái)計(jì)算機(jī)處理蠕蟲的費(fèi)用估計(jì)從200到53000美元不等。Morris的罪行被發(fā)現(xiàn)了，緊接著是陪審團(tuán)的審判，他觸犯了18 1030(a)(5)(A)。他被緩刑三年、400小時(shí)的社區(qū)服務(wù)和10050美元的罰金以及他的監(jiān)管費(fèi)。 強(qiáng)制產(chǎn)生錯(cuò)誤對(duì)數(shù)據(jù)庫類型、版本等信息進(jìn)行識(shí)別是此類型攻擊的動(dòng)機(jī)所在。它的目的是收集數(shù)據(jù)庫的類型、結(jié)構(gòu)等信息為其他類型的攻擊做準(zhǔn)備，可謂是攻擊的一個(gè)預(yù)備步驟。利用應(yīng)用程序服務(wù)器返回的默認(rèn)錯(cuò)誤信息而取得漏洞信息。采用非主流通道技術(shù)除HTTP響應(yīng)外，能通過通道獲取數(shù)據(jù)，然而，通道大都依賴與數(shù)據(jù)庫支持的功能而存在，所以這項(xiàng)技術(shù)不完全適用于所有的數(shù)據(jù)庫平臺(tái)。SQL注入的非主流通道主要有Email、DNS以及數(shù)據(jù)庫連接，基本思想為：先對(duì)SQL查詢打包，然后借助非主流通道將信息反饋至攻擊者。使用特殊的字符不同的SQL數(shù)據(jù)庫有許多不同是特殊字符和變量，通過某些配置不安全或過濾不細(xì)致的應(yīng)用系統(tǒng)能夠取得某些有用的信息，從而對(duì)進(jìn)一步攻擊提供方向。使用條件語句此方式具體可分為基于內(nèi)容、基于時(shí)間、基于錯(cuò)誤三種形式。一般在經(jīng)過常規(guī)訪問后加上條件語句，根據(jù)信息反饋來判定被攻擊的目標(biāo)。利用存儲(chǔ)過程通過某些標(biāo)準(zhǔn)存儲(chǔ)過程，數(shù)據(jù)庫廠商對(duì)數(shù)據(jù)庫的功能進(jìn)行擴(kuò)展的同時(shí)，系統(tǒng)也可與進(jìn)行交互。部分存儲(chǔ)過程可以讓用戶自行定義。通過其他類型的攻擊收集到數(shù)據(jù)庫的類型、結(jié)構(gòu)等信息后，便能夠建構(gòu)執(zhí)行存儲(chǔ)過程的命令。這種攻擊類型往往能達(dá)到遠(yuǎn)程命令執(zhí)行、特權(quán)擴(kuò)張、拒絕服務(wù)的目的。避開輸入過濾技術(shù)雖然對(duì)于通常的編碼都可利用某些過濾技術(shù)進(jìn)行SQL注入防范，但是鑒于此種情況下也有許多方法避開過濾，一般可達(dá)到此目的的技術(shù)手段包括SQL注釋和動(dòng)態(tài)查詢的使用，利用截?cái)?，URL編碼與空字節(jié)的使用，大小寫變種的使用以及嵌套剝離后的表達(dá)式等等。借助于此些手段，輸入構(gòu)思后的查詢可以避開輸入過濾，從而攻擊者能獲得想要的查詢結(jié)果。推斷技術(shù)能夠明確數(shù)據(jù)庫模式、提取數(shù)據(jù)以及識(shí)別可注入?yún)?shù)。此種方式的攻擊通過網(wǎng)站對(duì)用戶輸入的反饋信息，對(duì)可注入?yún)?shù)、數(shù)據(jù)庫模式推斷，這種攻擊構(gòu)造的查詢執(zhí)行后獲得的答案只有真、假兩種。基于推斷的注入方式主要分為時(shí)間測(cè)定注入與盲注入兩種。前者是在注入語句里加入語句諸如“waitfor 100”，按照此查詢結(jié)果出現(xiàn)的時(shí)間對(duì)注入能否成功和數(shù)據(jù)值范圍的推導(dǎo)進(jìn)行判定；后者主要是“and l=l”、“and l=2”兩種經(jīng)典注入方法。這些方式均是對(duì)一些間接關(guān)聯(lián)且能取得回應(yīng)的問題進(jìn)行提問，進(jìn)而通過響應(yīng)信息推斷出想要信息，然后進(jìn)行攻擊。（也稱為XSS）指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。用戶在瀏覽網(wǎng)站、使用即時(shí)通訊軟件、甚至在閱讀電子郵件時(shí)，通常會(huì)點(diǎn)擊其中的鏈接。攻擊者通過在鏈接中插入惡意代碼，就能夠盜取用戶信息。攻擊者通常會(huì)用十六進(jìn)制（或其他編碼方式）將鏈接編碼，以免用戶懷疑它的合法性。網(wǎng)站在接收到包含惡意代碼的請(qǐng)求之后會(huì)產(chǎn)成一個(gè)包含惡意代碼的頁面，而這個(gè)頁面看起來就像是那個(gè)網(wǎng)站應(yīng)當(dāng)生成的合法頁面一樣。許多流行的留言本和論壇程序允許用戶發(fā)表包含HTML和javascript的帖子。假設(shè)用戶甲發(fā)表了一篇包含惡意腳本的帖子，那么用戶乙在瀏覽這篇帖子時(shí)，惡意腳本就會(huì)執(zhí)行，盜取用戶乙的session信息。有關(guān)攻擊方法的詳細(xì)情況將在下面闡述。 McGraw博士Gary McGraw全球公認(rèn)的軟件安全權(quán)威，Cigital公司的CTO，董事會(huì)成員，掌管Fortify軟件公司的技術(shù)顧問團(tuán)，同時(shí)擔(dān)任RavenWhite公司的高級(jí)顧問。Gary在網(wǎng)絡(luò)安全方面著有多本著作，其中的6本長(zhǎng)居暢銷書排行榜前列。在本書中全面、詳細(xì)地介紹了這種方法。本書的副標(biāo)題“使安全成為必需的組成部分”點(diǎn)出了實(shí)施軟件安全的工程化方法的總綱，即在整個(gè)軟件開發(fā)生命周期中都要確保將安全作為軟件的一個(gè)有機(jī)組成部分。支持這個(gè)總綱的三根支柱是應(yīng)用風(fēng)險(xiǎn)管理、軟件安全的接觸點(diǎn)和知識(shí)。風(fēng)險(xiǎn)管理是一種戰(zhàn)略性方法，即將追蹤和減輕風(fēng)險(xiǎn)作為一種貫穿整個(gè)生命周期的指導(dǎo)方針。接觸點(diǎn)，即在軟件開發(fā)生命周期中保障軟件安全的一套最優(yōu)方法，是一種戰(zhàn)術(shù)性方法。Gary McGraw博士總結(jié)出了七個(gè)接觸點(diǎn)，即代碼審核、體系結(jié)構(gòu)風(fēng)險(xiǎn)分析、滲透測(cè)試、基于風(fēng)險(xiǎn)的安全測(cè)試、濫用案例、安全需求和安全操作。無論你采用什么樣的軟件開發(fā)方法學(xué)，你都可以將這些接觸點(diǎn)應(yīng)用到你的開發(fā)生命周期中，而不需要完全改變你的軟件開發(fā)生命周期。這些接觸點(diǎn)從“黑帽子”（攻擊和破解）和“白帽子”（防御和保護(hù)）兩個(gè)方面綜合地考察軟件開發(fā)中可能出現(xiàn)的問題，結(jié)合了它們的開發(fā)生命周期就成為“安全的”開發(fā)生命周期。“安全的”開發(fā)生命周期能夠在每一個(gè)開發(fā)階段上盡可能地避免和消除漏洞，同時(shí)又保留了你熟悉的工作方式。軟件安全的第三根支柱是知識(shí)，包括收集、壓縮和共享能用于為軟件安全方法提供堅(jiān)實(shí)基礎(chǔ)的安全知識(shí)。由于軟件安全是一門新的學(xué)科，及時(shí)總結(jié)知識(shí)，并用知識(shí)來教育所有相關(guān)的人員，對(duì)確保軟件安全是至關(guān)重要的。在整個(gè)開發(fā)生命周期中綜合應(yīng)用這些方法，就能從設(shè)計(jì)、編碼和測(cè)試等各個(gè)層面上消除軟件中的安全弱點(diǎn)，從制度上、方法上最大限度地保障軟件安全。 微軟SDL(Security Development Lifecycle)流程，是一種專注于軟件開發(fā)安全保障的流程，為了實(shí)現(xiàn)保證最終的用戶安全，在軟件開發(fā)各階段中引入安全和隱私問題。其中主要由以下7部分組成：安全培訓(xùn)(training)：推廣安全編程意識(shí)需求分析(requirements)：尋找安全嵌入的最優(yōu)方式系統(tǒng)設(shè)計(jì)(design): 威脅建模設(shè)計(jì)實(shí)現(xiàn)(implementation)：安全開發(fā)驗(yàn)證(verification)：黑/白盒測(cè)試發(fā)布(release)：最后檢查確認(rèn)響應(yīng)(response)：應(yīng)急響應(yīng)，bug跟蹤解決總結(jié), 通過上面的介紹，我們發(fā)現(xiàn)微軟SDL是將設(shè)計(jì)、代碼和文檔等與安全相關(guān)漏洞減到最少，在軟件開發(fā)的生命周期中盡可能的早地發(fā)現(xiàn)解決相關(guān)漏洞建立的流程框架。值得我們學(xué)習(xí)的地方是，我們可以借鑒微軟SDL的流程框架建立符合公司自己的。以下微軟SDL流程框架圖：微軟SDL官方地址： 目前多數(shù)公司在安全方面都面臨者諸多問題，如：安全意識(shí)不足缺少安全設(shè)計(jì)缺少安全編程規(guī)范頻繁的迭代更新版本壓縮項(xiàng)目周期。等，當(dāng)然還有更多，在此就不在列舉所以借鑒微軟SDL流程框架，本文作者構(gòu)建符合自己公司的SDL流程框架：安全測(cè)試(通過黑/白盒測(cè)試，發(fā)現(xiàn)公司系統(tǒng)潛在的漏洞，構(gòu)建漏洞庫)安全培訓(xùn)(通過對(duì)常見漏洞，尤其是對(duì)用戶及公司造成危害性大的漏洞培訓(xùn)形成解決方案措施)需求分析評(píng)估(確切的來講，這個(gè)層次應(yīng)屬于信息安全范圍，針對(duì)各層次進(jìn)行安全信息識(shí)別和漏洞評(píng)估，制定相關(guān)安全目標(biāo)等內(nèi)容)系統(tǒng)設(shè)計(jì)(威脅模型建立，進(jìn)行架構(gòu)分析，分解各應(yīng)用程序，識(shí)別風(fēng)險(xiǎn)，識(shí)別漏洞等)編碼實(shí)現(xiàn)(進(jìn)行相關(guān)代碼評(píng)審，漏洞掃描檢查)發(fā)布(上線審核機(jī)制，安全監(jiān)控(日志，網(wǎng)站，服務(wù)器等)，Bug管理，故障事件管理等)通過上面大家可以發(fā)現(xiàn)微軟SDL的“響應(yīng)”環(huán)節(jié)去掉了，其實(shí)響應(yīng)我個(gè)人理解將其融入以上6個(gè)環(huán)節(jié)中更有效，因?yàn)槊總€(gè)環(huán)節(jié)都需要應(yīng)對(duì)。其中將安全測(cè)試和安全培訓(xùn)提至最前面，因?yàn)槟壳皣鴥?nèi)公司對(duì)安全其實(shí)了解甚少且比較偏面，所以最好的解決方法就是將問題擺出來，然后尋求解決之道!可重復(fù)的流程，通過這些流程可靠地實(shí)現(xiàn)可測(cè)量的安全性提升。因此，軟件供應(yīng)商必須轉(zhuǎn)為采用一種更嚴(yán)格的、更加關(guān)注安全性的軟件開發(fā)流程。這種流程旨在盡量減少設(shè)計(jì)、編碼和文檔編寫過程中存在的漏洞，并在開發(fā)生命周期中盡可能早地檢測(cè)到并消除這些漏洞。用于處理來自 Internet 的輸入、控制可能被攻擊的關(guān)鍵系統(tǒng)或處理個(gè)人身份信息的企業(yè)和消費(fèi)者軟件最需要實(shí)施這種流程。如前所述，工程師教育已超出本文的討論范圍。但是必須認(rèn)識(shí)到教育計(jì)劃對(duì) SDL 的成功實(shí)施至關(guān)重要。計(jì)算機(jī)科學(xué)和相關(guān)專業(yè)的大學(xué)應(yīng)屆畢業(yè)生一般缺乏必要的培訓(xùn)，不能立即加入工作隊(duì)伍從事安全軟件的設(shè)計(jì)、開發(fā)或測(cè)試工作。即使是學(xué)了安全課程的人員，他們可能對(duì)加密算法或訪問控制模型接觸較多，但是對(duì)緩沖區(qū)溢出或規(guī)范化缺陷可能了解不多。一般情況下，行業(yè)內(nèi)的軟件設(shè)計(jì)者、工程師和測(cè)試人員也缺乏適當(dāng)?shù)陌踩夹g(shù)知識(shí)。在這些情況下，準(zhǔn)備開發(fā)安全軟件的組織必須負(fù)責(zé)對(duì)其工程人員進(jìn)行適當(dāng)教育。根據(jù)組織的規(guī)模和可用的資源，應(yīng)付這種挑戰(zhàn)的方法可能會(huì)有所不同。擁有大批工程人員的組織可建立一個(gè)內(nèi)部計(jì)劃對(duì)其工程師進(jìn)行在職安全培訓(xùn)，而小型組織則可能需要依賴外部培訓(xùn)。在 Microsoft，所有從事軟件開發(fā)的人員必須參加一年一次的“安全進(jìn)修課程”培訓(xùn)。項(xiàng)目風(fēng)險(xiǎn)管理是指通過風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)去認(rèn)識(shí)項(xiàng)目的風(fēng)險(xiǎn)，并以此為基礎(chǔ)合理地使用各種風(fēng)險(xiǎn)應(yīng)對(duì)措施、管理方法技術(shù)和手段，對(duì)項(xiàng)目的風(fēng)險(xiǎn)實(shí)行有效的控制，妥善的處理風(fēng)險(xiǎn)事件造成的不利后果，以最少的成本保證項(xiàng)目總體目標(biāo)實(shí)現(xiàn)的管理工作。風(fēng)險(xiǎn)管理與項(xiàng)目管理的關(guān)系通過界定項(xiàng)目范圍，可以明確項(xiàng)目的范圍，將項(xiàng)目的任務(wù)細(xì)分為更具體、更便于管理的部分，避免遺漏而產(chǎn)生風(fēng)險(xiǎn)。在項(xiàng)目進(jìn)行過程中，各種變更是不可避免的，變更會(huì)帶來某些新的不確定性，風(fēng)險(xiǎn)管理可以通過對(duì)風(fēng)險(xiǎn)的識(shí)別、分析來評(píng)價(jià)這些不確定性，從而向項(xiàng)目范圍管理提出任務(wù)。第三篇：培訓(xùn)講稿[培訓(xùn)講稿]談?wù)勑W(xué)語文教學(xué)的實(shí)效性新課改，讓語文教學(xué)充滿激情與活力；新課改，讓語文教學(xué)更精彩；新課改，讓語文教學(xué)在簡(jiǎn)單樸實(shí)中呈現(xiàn)生動(dòng)與實(shí)效。在激情似火，碩果累累的季節(jié)里，2007年縣小學(xué)語文優(yōu)質(zhì)課賽課活動(dòng)奉獻(xiàn)了精彩，呈獻(xiàn)了樸實(shí)，激起了思潮。反思56堂語文課堂教學(xué)，透析語文課堂的實(shí)效性特征，頓悟深遠(yuǎn)，如何使小學(xué)語文課堂教學(xué)體現(xiàn)實(shí)效性呢？一、解讀“實(shí)效性”教學(xué)實(shí)效性就是在教學(xué)活動(dòng)中，教師采用各種方式和手段，用最少的時(shí)間、最小的精力投入，取得盡可能多的教學(xué)效果，實(shí)現(xiàn)特定的教學(xué)目標(biāo)而組織實(shí)施的活動(dòng)。教育部課程改革專家組核心成員余文森教授在中國教育資源服務(wù)平臺(tái)“課堂教學(xué)論壇”上，就“課堂教學(xué)的有效性”與廣大中小學(xué)教師進(jìn)行了在線研討。從專業(yè)角度說，課堂教學(xué)的實(shí)效主要指課堂教學(xué)整體的效果,課堂教學(xué)的實(shí)效性是指通過課堂教學(xué)使學(xué)生獲得進(jìn)步或發(fā)展。這也是衡量教學(xué)實(shí)效性的唯一指標(biāo)。”由此我想，我們老師在對(duì)待語文有效性課堂的評(píng)價(jià)上，要審視以下幾個(gè)方面：老師眼中是否關(guān)注每一位學(xué)生的發(fā)展；老師如何引導(dǎo)學(xué)生學(xué)習(xí)；老師的教學(xué)技巧、方法是否對(duì)學(xué)生的發(fā)展有利；學(xué)生在課堂上是否在主動(dòng)學(xué)習(xí)；學(xué)生對(duì)基礎(chǔ)知識(shí)是否得到扎實(shí)訓(xùn)練，是否得到落實(shí)；學(xué)生通過老師的“教”能力是否有所提高；學(xué)生的情感價(jià)值觀是否得到提升。為此，實(shí)效的課堂教學(xué)是兼顧知識(shí)的傳授、情感的交流、智慧的培養(yǎng)和個(gè)性塑造的過程。實(shí)效的課堂教學(xué)是全面地關(guān)照學(xué)生成長(zhǎng)與發(fā)展的樂園，讓學(xué)生在這樣一種精神氛圍之中接受文化的洗禮和熏染。實(shí)效的課堂教學(xué)重視教學(xué)過程的探索性，重視教學(xué)中的師生的交往與對(duì)話。實(shí)效的課堂不是機(jī)械的生產(chǎn)一些整齊劃一的腦袋，他培養(yǎng)的學(xué)生是鮮活的，富有創(chuàng)造力的人才。二、當(dāng)前小學(xué)語文教學(xué)的理想（一）、新課程小學(xué)語文的理想課堂崔巒在全國第六次閱讀教學(xué)研討會(huì)上報(bào)告上對(duì)當(dāng)前改革的建議是：刪繁就簡(jiǎn)，削枝剪葉。提倡簡(jiǎn)簡(jiǎn)單單教語文，全心全意為學(xué)生，扎扎實(shí)實(shí)求發(fā)展。真、純（語文味，語文課）、實(shí)（樸實(shí)真實(shí) 扎實(shí) 充實(shí)）、活（針對(duì)文本體裁，活用教材）。以及簡(jiǎn)明的教學(xué)目標(biāo)，簡(jiǎn)約的教學(xué)內(nèi)容、簡(jiǎn)化的教學(xué)環(huán)節(jié)、簡(jiǎn)便的教學(xué)方法。追求“真實(shí)，樸實(shí)，扎實(shí)的課堂教學(xué)境界”，倡導(dǎo)“簡(jiǎn)簡(jiǎn)單單教語文，本本分分 為學(xué)生，扎扎實(shí)實(shí)求發(fā)展”的教學(xué)風(fēng)尚，深入推進(jìn)基礎(chǔ)教育課程改革，深入進(jìn)行新課程小學(xué)語文課堂教學(xué)研究，提高新課程小學(xué)語文課堂教學(xué)質(zhì)量是我們追求的目標(biāo)。新課程標(biāo)準(zhǔn)指出，語文教學(xué)是大語文活動(dòng)，應(yīng)突出語文實(shí)踐能力和綜合能力的功能，所以，我覺得語文教學(xué)應(yīng)實(shí)現(xiàn)四個(gè)“走向”：一是走向生活，語文教學(xué)如果遠(yuǎn)離了學(xué)生鮮活的生活世界，就無法走進(jìn)學(xué)生的內(nèi)心世界。二是走向?qū)嵺`，語文只有運(yùn)用于學(xué)