千文网小编为你整理了多篇相关的《计算机基础实践报告》,但愿对你工作学习有帮助,当然你在千文网还可以找到更多《计算机基础实践报告》。
第一篇:计算机专业暑假社会实践报告
通过理论联系实际,巩固所学的知识,提高处理实际问题的能力,了解设计专题的.主要内容,为毕业设计的顺利进行做好充分的准备,并为自己能顺利与社会环境接轨做准备。
按照老师的安排,我制定了相应的实习计划。注重在实习阶段对所学知识的巩固和提高,以期达到根据理论知识,指导日常的工作实践的目的。收到了较好的效果。主要实习情况报告如下:
不同的职位具有不同的工作和不同的职责范围。而作为一个专门做外贸的公司,具有较强的综合性,工作范围大,任务也比较繁杂。在实习阶段,我主要的工作是文秘工作及其公司的网络管理和编辑。
文秘工作是办公室的主体工作,领导要做到决策科学化,离不开秘书人员的协助。因为秘书人员一方面处理着大量的日常事务工作,另外,还能发挥他们了解全面情况,掌握多方面信息的优势,辅助领导决策,提供合理的建议。秘书工作头绪多,任务重,但必须抓好以下几个方面:
第一,主动做好领导之间、同事之间的协调工作,帮助领导有计划、有步骤、有重点的抓好各项工作,做到忙而不乱。并从过去偏重办文办事,转变到既办文办事,又出谋划策。
第二、开展调查研究,了解基层同事的学习、思想、工作、生活情况,及时向领导反映,并提出合理的建议。对一些急需解决的问题,应及时与有关部门协商解决。
第三、组织起草本单位产品的报价,报备,客户售后服务,合同等协议。
第四。由于实习期间公司有展会,负责跟客户与公司的良好,及时的沟通。解释相关产品的性能,规格几价格。
文秘人员除了需要具备以上工作人员的基本条件外,还应有自己特殊的知识修养、技能修养、品德修养、作风修养。因此,做好文秘人员就要自觉、全面地加强这四个方面的修养,努力把自己造就成为德才兼备,既合格又称职的工作人员。并注重掌握以下原则。
1、要有充分的政策依据和事实依据。
2、要有准确性。
3、要雷厉风行。
4、严守纪律,保守机密。
同时我还负责公司的网站管理工作。
第一、运用photoshop处理公司的产品图片。我们公司产品的图片是用手机及数码照相机拍摄的,而我们公司的网站对上传的图片大小有要求,所以我要把它们处理成相应的大小并且保持图片不失真。
第二、完善公司的网站。由于公司最近新更新了一个网站,我负责把公司产品中缺少的上传。
第三、做好公司网络的加密工作。由于公司对手较多,为了避免公司信息的外漏,对公司电脑进行了加密工作,并加强管理公司的防火墙。
第四、客户信息的管理。实习期间正好遇到一个展会,做各种电子表格,统计并完善了客户的信息。
这是与自己所学专业有密切联系的,所以自己在这方面格外侧重并作的很用功。希望能够加强自己的专业知识。
第二篇:计算机实践报告
我实习的单位是******学院,这是一所由**市教委、**(集团)公司与德国**基金会合作的一所探索、实践德国“双元制”职业教育模式的全日制中等专业学校。我在学校里主要是负责校园内网的管理,其涉及到校园网网站的正常登陆和访问,校园内各系部主机是否正常互联,有无被病毒感染、传播。使得校园网内的计算机能够正常运行,做好校园网的管理和维护工作。
从学生到实习工程师,短短几个月的工作过程使我受益匪浅。不仅是在专业知识方面,最主要是在为人处事方面。社会在加速度地发生变化,对人才的要求也越来越高,要用发展的眼光看问题,得不断提高思想认识,完善自己。作为一名IT从业者,所受的社会压力将比其他行业更加沉重,要学会创新求变,以适应社会的需要。在单位里,小到计算机的组装维修,大到服务器的维护与测试,都需要一个人独立完成。可以说,近3个月的工作使我成长了不少,从中有不少感悟,下面就是我的一点心得:
第一是要真诚:
你可以伪装你的面孔你的心,但绝不可以忽略真诚的力量。第一天去网络中心实习,心里不可避免的有些疑惑:不知道老师怎么样,应该去怎么做啊,要去干些什么呢等等吧!踏进办公室,只见几个陌生的脸孔。我微笑着和他们打招呼。从那天起,我养成了一个习惯,每天早上见到他们都要微笑的说声:“老师早”,那是我心底真诚的问候。我总觉得,经常有一些细微的东西容易被我们忽略,比如轻轻的一声问候,但它却表达了对老师同事对朋友的尊重关心,也让他人感觉到被重视与被关心。仅仅几天的时间,我就和老师们打成一片,很好的跟他们交流沟通学习,我想,应该是我的真诚,换得了老师的信任。他们把我当朋友也愿意指导我,愿意分配给我任务。
第二是沟通:
要想在短暂的实习时间内,尽可能多的学一些东西,这就需要跟老师有很好的沟通,加深彼此的了解,刚到网络中心,老师并不了解你的工作学习能力,不清楚你会做那些工作,不清楚你想了解的知识,所以跟老师很好的沟通是很必要的。同时我觉得这也是我们将来走上社会的一把不可缺少的钥匙。通过沟通了解,老师我我有了大体了解,边有针对性的教我一些知识,我对网络部线,电脑硬件安装,网络故障排除,工作原理应用比叫感兴趣,所以老师就让我独立的完成校内大小部门的网络检修与电脑故障排除工作。如秘书处的办公室内局域网的组件,中心服务机房的服务器监测等,直接或间接保证了校园网的正常运行和使用,在这方面的工作中,真正学到了计算机教科书上所没有或者真正用到了课本上的知识,巩固了旧知识,掌握了新知识,甚至在实践中推翻了书本上旧有的不合实际的知识,这才真正体现了知识的真正价值,学以致用。
第三是激情与耐心:
激情与耐心,就像火与冰,看似两种完全不同的东西,却能碰撞出最美丽的火花。在中心时,老师就跟我说,想做电脑网络这一块,激情与耐心必不可少,在产品更新方面,这一行业就像做新闻工作,补断的更新,这就需要你有激情,耐心的去不断的学习,提高自己的专业水平。在一些具体的工作当中也是这样的:记得刚来学校实习的时候老师安排我去综合部安装win98操作系统,我本想对我来说是非常简单的事,可没想到出现了很多问题,开始是硬件问题:光驱不能用使我在一开始安装系统时就出现了急躁的情绪,然后顺利解决后,98系统的驱动问题又让我大伤脑筋!从一开始的USB驱动慢慢的安装,再通过硬件监测软件查看硬件型号,到最后把系统安装成功,用了整整两天的时间,通过自己的捉摸,调试,自此,我算是真正的搞明白的计算机的硬件安装,维护和更新,接着我又进行了各种计算机操作系统的反复安装调试,一遍又一遍的调试安装,自然有些烦,但我用我的热情耐心克服这些困难,问老师,查资料,一个个问题迎刃而解,自己在这方面的知识得到了充实。这些在平常的书本上仅仅是获得感性的认识在这里真的实践了,才算是真正的掌握了,也让我认识到了自己的不足,告诫自己,不管做什么,切忌眼高手低,要善于钻研。还有我感触比较深的就是查看log日志记录,因为服务器的维护是复杂又艰辛的,既要保障物理安全又要保证系统安全,这就需要通过查询log日志记录,每一分钟的服务器状况都有log日志记录,而且它一是数据量大、二是有大量无用信息,所以查看log使非常“痛苦”的事情。像这些工作我熬深深地感觉到每有激情与耐心是做不好的。
第四是细心负责和基本的专业素养:
细心负责是做好每一件事情所必备的基本素质,基本的专业素养是前提。实习期间,我承担了ftp服务器的管理工作和校内信息服务的日常检测工作,这同专业的发展方向是极其吻合的。ftp服务带有自身的特殊性,用户可以在其中发布各种文档包括文本、声音、视频、多媒体等,对ftp的管理就要有极好的电脑知识尤其要对文件路径十分了解,还要有信息归纳的能力,将校内用户上传的文档分门别类的放在不同的文件夹中,这也是作为我门专业学生应当具有的基本能力之一,在ftp管理的过程中,我深刻的感受到了作为信息管理者和发布者是非辨别和政治敏感的重要,用户上传的文档是未经许可和身份认证的,所以在ftp服务权限中对上传文件夹(up)做了只能上传而不能随意下载的处理,而管理员的职责是将up文件夹中的文档作初步审查,审查包括文档中是否包含反政府反党的信息、是否包含黄色等不健康信息、是否倡导了不健康不科学的生活方式和态度等各个方面。所以说要做好这些事情,不细心负责,没有基本的专业素养,是很容易出现漏洞的。
第五是“主动出击”:
当你可以选择的时候,把主动权握在自己手中。在中心服务器机房的时候,我会主动的打扫卫生,主动地帮老师做一些力所能及的事情,并会积极地寻找合适的时间,向老师请教问题,跟老师像朋友那样交流,谈生活学习以及未来的工作,通过这些我就和老师走的更近,在实习当中,,老师就会更愿意更多的指导我。获得更大的收获。记得当时经济学院反映网络不同,我就自高奋勇,去进行检修,等网络接通的时候,我心里感觉很高兴,因为我的主动,我巩固了我所学的知识,并且得到了老师的认可。
第六是讲究条理:
如果你不想让自己在紧急的时候手忙脚乱,就要养成讲究条理性的好习惯。“做什么事情都要有条理,”这是从小爸爸给我的忠告。在网络中心日常的文件材料很多,这就需要很有条理的去整理好,以免用的时候翻箱倒柜的去找,耽搁时间,浪费精力,误了事情。所以主任的桌子上总是收拾得井井有条。这一点对我感触很深,同时让我联想到在一本书上看到这么一个故事,一位在美国电视领域颇有成就的美籍华人当部门经理时,总裁惊讶于他每天都能把如山的信件处理完毕,而其他经理桌上总是乱糟糟堆满信件。他说,“虽然每天信件很多,但我都按紧急性和重要性排序,再逐一处理。”总裁于是把这种做法推广到全公司,整个公司的运作变得有序,效率也提高了。所以说:养成讲究条理的好习惯,能让我们在工作中受益匪浅。
整个的实习过程是紧张而愉快的,我得工作态度和成效已得到了领导和同事们的一致称赞。今后,我将继续保持认真负责的工作态度,高尚的思想觉悟,进一步完善和充实自己,争取在工作中取得新的突破。
第三篇:计算机大学生实习报告
大学的最后一个学期学校组织去实习大,我去了一家对口专业的公司实习。转眼间实习之前认为难熬的实习上班时间,就这么结束了,我也回到了学校即将进行毕业答辩。在实习的这几个月里面,我算是有着不小的感想和收获,在这里进行一下总结与回顾:
一、实习时间
20xx年xx月xx日――20xx年xx月xx日
二、实习岗位
Web前端开发工程师(实习)
三、实习公司
xx网络科技有限公司是xx市的一家互联网公司,公司主营软件开发和网络教育,其中网络教育这一块占据公司业务的大头。网络教育主要是通过互联网平台,在网络上开展直播授课,通过用户购买课程和订阅打赏来获得营业收入。
四、实习过程介绍
通过网络招聘平台,找到了公司的招聘信息,进行了面试并且通过了公司的多重面试。xx网络科技有限公司是一家在xx市内算是中型的公司,公司有100多名员工,其中网络教育部门占据了大部分。我通过公司的面试后,因为工作较少的缘故,并没有进入技术开发部,而是被分到了网络直播授课这一块。公司说是会进行一个三个月的轮岗,等新员工熟悉了公司的具体操作后,才会给分到相应的部门。
因此在实习的前几个月里面,我基本都是在各个部门轮岗,这让我有种被坑了的感觉。第一个月是在直播授课中担任授课老师的助教我的主要工作是给导师准备授课的前期素材,在课程中间时刻关注学员的弹幕问题并反馈给导师,在授课后与学员保持联系,承担学员的辅导和答疑。虽然在这个工作上面并没有什么难度,与我的专业也没有什么太大的关系,但是有一个好处就是我可以导师授课的时候也听一听导师讲课的内容,对自己学的知识进行一个巩固。第二个月我则是轮岗到了新媒体运营这一块,这一个岗位,让我不太感兴趣,所以上班的时候比较消极怠工。
终于,第三个月开始,我终于到了前端开发的工作岗位上面。进入到项目开发中,我们面对的第一个项目是做一家商城网站的项目。我们几个人负责的主要是移动端的框架开发,所以运用到的主要技术是html5+css3+js。可能是因为我们新手的原因,并没有让我们接触到后台的开发。前端页面的开发我们在学校实训的时候就有接触,所以说难度不是很大。但是当我们真实上手的时候,才发现简直就是不知道如何下手。在学校也好在实训也好,终究还是有一个老师在带我们的,而进了实习公司,只有一个组长带我们,但是组长也只是会偶尔过来看一看指点一下。我们也害怕被组长训,所以不怎么敢过去问。第一天基本都是凭借这脑子里的记忆在做,遇到不懂的了就一边网上搜索一边做。晚上会到了宿舍赶紧翻书回顾,那一天晚上基本都没怎么睡。后来,可能是熟悉了,进度也能够跟上来了,加上也是比较简单,所以渐渐地恢复到了之前在学校做项目的状态,所以在公司规定的时间内我们还是完成了任务,也没有受到批评,只是有些细节的部分需要改进一下。
再后来,我们还接触到了其他几个项目,不仅有移动端的,还有电脑端的网站,我们也不是仅仅在做页面布局了,也终于上手到了PHP和数据库的地方了。可喜可贺。
五、实习总结
在实习的几个月里面,我们收获颇丰,也发现了不少的问题所在。实习里面我们正式接触到了项目的开发,所以积累了到了经验,有成功的经验也有失败得到的经验,对我们的专业知识有了更加深入地了解,对PHP也有了更加多的经验积累。
同时我们也发现了自己在开发项目时的基础知识不够牢固,经常需要翻书或是网络搜索,依赖性大。我们在后面的学习中和工组中需要改进这一块!
第四篇:计算机实习报告
一.wap建站入门知识
二.wml入门
三.asp,vbscript入门基础知识
四.致谢
五.参考资料
附录:1.mime类型的基本介绍2.wap公交路线查询站点的雏形代码
一.wap建站入门知识
wap是wirelessapplicationprotocol(无线应用协议)的简称,它是开发移动网络上类似互联网应用的一系列规范的组合,网站建设计算机实习报告。wap协议与现在通行的互联网协议类似,但专为小屏幕、窄带的用户装置(如移动电话)优化。 wap协议是公开的、全球性的标准,由有兴趣参加wap forum的成员共同讨论、制定和拥有,它使无线装置可以轻易、实时地交流信息和服务。
1. wap的体系结构
① wap的模型:
・标准名字模型--www标准的url同样用来界定wap内容和来源服务器;
・内容类型--wap内容有与www类型一致的特定类型
・标准内容格式--wap内容格式基于www技术,包括显示标识、日历、图形和脚本语言等。
・标准通讯协议--移动终端与网络服务器之间的请求传送
② 在wap的协议栈中包含有以下的协议
・wireless application environment(wae)无线应用环境
・wireless session protocol(wsp) 无线会话协议
・wireless transaction protocol(wtp) 无线处理协议
・wireless transport layer security(wtls) 无线传输层安全
・wireless datagram protocol(wdp) wdp是wap体系的传输层协议
・bearer(数据载体)
・wireless telephony application (wta协议)
2. wap建站使用语言
wap建站为了适合移动终端的要求,常用的有wml(wireless markup language)语言,常用的脚本语言有:vbscript, javascript.
3. 建站的基本过程(本过程基于windows xp)
① 在本地机上从“控制面板”进入“添加与删除程序”选择其中的“添加或删除windows组件”在其中添加iss信息服务,实习报告《网站建设计算机实习报告》。
② 右键点击“我的电脑”选择“管理”,进入计算机管理界面后,找到internet信息服务中网站,在默认站点中新建-虚拟目录(wap),填入所需信息。
③ 建立了wap站点后,进入其属性界面,选中“http头”选项。设置其中的mime类型。有添加中的第一行写入wml,第二行写入:wml text/vnd.wap.wml (mime类型的基本介绍请参考附录1)
④ 完成以上步骤后,本机就成为了一台wap的服务站。只要把所编写的内容asp的后缀保存在此文件夹中,用127.0.0.1/文件夹名称/内容,就可能访问了。
⑤ 由于wap用的不是html,所以要用专门的浏览器来查看wap网页。如:m3gate wap browser,openwave,ccwap等来浏览wap网页。
二.wml入门
wml(wireless markup language)无线标记语言:
wml代表“wireless markup language”。wml就是无线标记语言(wireless markup language),内置于移动设备中的微型浏览器能够解释这种标记语言。虽然它和html语言很相像,但wml其实是xml的一个应用子集。
wml与html的区别:
1. wml是为微型浏览器所设计的html的一个子集。wml的标准定义是基于xml的。
2. html语言写出的内容,我们可以在我们的pc机上用ie或是netscape等浏览器进行阅读。
第五篇:计算机实习报告
一、实习目的认识实习是计算机科学与技术专业的学生在校期间重要的实践性环节,目的在于通过接触了解计算机的基本组成结构、计算机软件的开发流程以及计算机网络的相关知识,对所学专业有一个感性认识,树立正确的专业思想,为以后学习专业课程作好准备。
二、实习任务
认识实习要了解计算机的发展过程、技术现状和应用情况,激发今后学习计算机专业知识的积极性。为使同学们具体而有目的的实习,现提出具体实习任务:
1、了解计算机科学与技术专业的大体情况。
2、如何学习专业知识。
3、了解计算机软件设计与开发。
4、了解计算机在大型企业中的应用情况。
5、通过实习,你有哪些收获,体会。
三、实习时间
20xx年xx月xx日
四、实习心得
大学生活让我对计算机理论知识有了一定的了解。但实践出真知,唯有把理论与实践相结合,才能更好地为社会服务。
xx软件园一行,我看到了先进的设备和工作人员的工作热情,这也是第一次如此近的接触社会工作,本来感觉很遥远的东西,就在自己面前,同时,我也意识到,我学习的东西远远不够。就业压力大,就业形势严峻,需要积累自己的知识,提高自己的能力。同时,了解到公司和企业的情况,了解计算机在企业中的应用情况,确定努力方向。
回来后,听完讲座,我对计算机专业有了更深的理解,软件,网络,计算机科学与技术发展趋势,以及需要学习的知识,哪个方面有哪些就业动向,听完讲座,我受益匪浅,从最 起码的徘徊,到现在,有了明确的努力方向,有了自己的理想和目标,为我的就业起到了指路灯的作用。
第六篇:计算机类实习报告
一、工作内容
这学期跟李锡捷老师实习,参加的工作项目是信息安全组,因为平时较其它三位组员多接触UNIX-Like的环境,因此成为本组组长并协助联络事情。我们期初一开始便有正式的case接手,是一个韩国的骇客教育机构Hackerslab委托翻译他们的一份骇客教材。
对于这方面,我们四人虽然很有兴趣,但是相关的技术背景都还嫌不够,因此做起来并不是很轻松,最常遇到的问题就是专业名词的查询与翻译,常常会有不知如何是好的窘境发生,幸好系上的学长大多能提供我们一些查询的方向,大部分的问题到最后还是能顺利完成,这样初期的翻译工作大约持续了一个多月后暂时结束。对外的case完成后,我们继续朝着信息安全相关的方向研究,主要是针对两个程序进行改进工作,一个为测试系统漏洞的Nessus,一个为侦测入侵系统Snort,至此小组里再以两人一组细分为Nessus组跟Snort组,各自进行测试工作。我所分配的是Nessus组,这是一种可以用来测试服务器有哪些网络漏洞的程序,由于采用Plug-ins的方式安装,因此可以随时安插新漏洞的测试Plug-ins,加上Nessus总部的CVS机制,只要你的Nessus系统有定期CVS更新,就能保持最新的完整漏洞测试。
在业界杂志的评比里Nessus的评价甚至超越许多商用软件(Nessus是免费的),但是他有个小缺点,就是有关漏洞测试报告的部分作的并不是十分完整,每支漏洞的测试回报完整与否,取决于Plug-ins作者是否有在写作Plug-ins加上完整的叙述与解决方案,问题是大部分的Plug-ins都只有程序代码,并没有对叙述及解决方式作批注说明,因此即使在使用Nessus测出系统的安全漏洞后,使用者必须在到网络上搜寻解决方法,这样作实在不是很便利,因此老师希望我们能对于Nessus的测试回报部分作改良,写出一个报告阅读程序,结合庞大的信息安全信息,让使用者能在检测出漏洞的同时,直接取得相关的信息和解决方案,便利系统管理者在改善本身系统安全的时效性。
二、学习
Free Hackers Zone这学期最早接触的学习环境,应该要算Hackerslab提供的一个骇客练习用工作站Free Hacker Zone。这是一台用Linux架起来的工作站,里面分将使用者分作level0到level14,每取得下依个等级的使用者权限,都有一个相对应的系统漏洞需要去破解,训练使用者在实作中了解骇客破解系统的方法,我一面翻该组织的FAQ,一面尝试错误,让我一路攻到level10,其中学习到的手法包括了使用者权限设定,寻找特定权限的档案,利用系统分隔符来欺骗系统,溢位攻击等等,然而在前进level11时,因为该漏洞必须自韩国本地进行破解,因此只好作罢,没能进一步继续。不过这个经验对于后来翻译Hackerslab的文件有的不少的助益!
2.HackersLab教材翻译经过这段暖身后,我们正式接下Hackerslab文件翻译的工作,我负责的是Sniff(监听)与网页安全两份教材。在以太网络上,只要是同一个lan上的机器,都能收到在lan上传送的封包,系统核心会进行比对,如果该封包是属于自己的就继续处理,如果不是就忽略掉,而sniffing原理就是改变最后的步骤,将所有经过的封包,不管是否属于自己,全部抓进来记录。Sniffing的正面意义应该是用于处理观察网络流量状况,一旦网络出现异常时,可以藉由Sniffing来观察有哪些异常封包,帮助排除异常状况。至于窃取传送中的使用者账号跟密码,则是cracker的行为,这并非Sniffing的本意。对于区网内要如何避免被Sniff,最简单是在该区网内使用switch hub。
跟hub不同的是,hub会将接收到的封包向所有连接的host传送出去,但switch本身具有MAC路由表的功能,可以记得哪一个MAC地址要从哪一个连接埠送出去,因此不会让不相关的host收到该封包,大大减少了被Sniff撷取封包的机会。另外一种作法是对于传送的封包均作加密处理,这样就算被他人撷取到封包,对方也很难将封包解密而还原成原本的样字加以解读。常见的加密方式例如: SSL(Secure Socket Layer)、PGP (Pretty Good Privacy)、SSH (Secure Shell)、VPN (Virtual Private Network)等等。Sniff完最重要的工作是分析抓到的封包,因此这里对于各种通讯协议的封包意义大致讲解过一遍,例如该封包的来源与目的地,长度,数据内容,CRC检查码等等。另外一个章节是有关网页安全,包含了浏览器跟服务器两部分,这里大多是讲述理论性质的部分。首先是有关网页服务器,对于crack的问题,最重要的还是管理者(administrator)的认知问题,只要对系统的安全性随时保持警觉,绝对能防止crack事件的发生。目前有关网络上的服务应用虽然对于ftp或e-mail,都有许多独立的应用程序可以利用(如cute-ftp或outlook),但现在一般上网的使用者,仍有许多的机会直接使用网页来对ftp做存取跟收发e-mail,此外还有许许多多功能,也都被整合在网页浏览中,当网页服务器要兼任的服务越多,也就提供了更多让cracker入侵的机会,这是发展网页功能的同时必须付出的代价,因此,身为一个网页服务器的管理员,有责任负起保护自己服务器使用者的权益,对于安全性一定要随时保持高度的警觉性。尤其随着电子商务的发展,网页扮演的角色越来越吃重,在往夜间传递使用者信息的机会越来越多,更增加了安全性的顾虑,然而使用者多半对于这方面安全性问题不够警觉(甚至不了解严重性),只要有cracker使用一些恶意或欺骗的applet或scripts,就有可能将使用者的信息窃取到手,也可以自远程将使用者的计算机加以控制甚至令其当机,使用者对于浏览网页时的安全比必须要比过去更加留意。常见的网页攻击模式包括:溢位攻击(buffer overflow) :顾名思义, 就是利用 buffer overflow 的原理达成目的的......比如, 一个数组只有 100 bytes, 但我喂给它 200 bytes 的数据,于是这个数组装不下这些数据, 造成了 overflow......为什么 overflow 会有 security hole 呢?首先, overflow 发生时, 多出来的数据会盖到其它变量上,相信这一点大家早就知道了。问题是, 为什么数据盖到其它变量上时, 顶多使程序执行错误,会严重到出现 security 的问题吗? 这时, 好玩的事情就发生了.......当我们呼叫一个 function 时, 以汇编语言的观点,会将 return address 堆入 stack 中。如果这个 function 宣告了一些 local 变量,那进入这个 function 之后, 会在 stack 中再空出一块区域给这些 local 变量,当要从这个 function return 回去时, 就把这些在 stack 中的 local 变数清掉。现在好了, buffer overflow security hole 就是在这里发生了......
如果有某个 function 宣告了一个 local array, 如: int func() { int i, j, k; char buf[16]; struct abc *x, *y, *z; . . .}这样就很明显了, 如果在这个 function 内有了 bug, 忘记去控制数据喂给 buf 的长度,当数据喂长一点, 就可以盖到这个function 的 return address指到自己所喂进去的 code 上 这时, function 执行完毕, 要 return 时, 它就不会 return 到原来呼叫它的地方, 而会 “return” 到我所喂进去的那些 code,这么一来入侵者就可以为所欲为了! Denial of Service ( DoS ,阻断服务攻击) :所谓阻断服务攻击,是攻击者利用受害者的操作系统、网络应用程序(服务)或网络通讯协议的漏洞来攻击受害者,促使目标主机的系统或服务发生瘫痪的情况,可能造成系统资源耗尽、引响正常联机品质、网络频宽被占满、网络应用程序(服务)停止运作、系统当机等情形,使正当的使用者无法正常使用该主机所提供的服务。另一种情况是系统管理者为了测试目的尝试对自己主机展开攻击,测试操作系统或是网络应用程序(服务)中是否含有可能被攻击的漏洞存在。像立骇科技(HackersLab)的入侵测试(Penetration Test)、卫道科技的网络安全漏空扫瞄仪(NAI CyberCop Scanner)都可针对企业内的操作系统、网络甚至数据库做健康检查,其它DoS的攻击都是不合法的,而且动机通常出自恶意。Distributed Denial of Service(DDoS,分布式阻断服务攻击):所谓分布式阻断服务攻击,是运用在于受害者的系统资源、网络频宽条件都比攻击者来的好,如果攻击者想一对一的攻击被害者,可能会失败甚至导致自己的系统或网络瘫痪,所以采取一对多的攻击方式,攻击者先在一些防备较弱的主机中种植攻击程序。随后攻击者对各主机中的的攻击程序发出攻击命令,要求对目标主机发出庞大数量且多种的封包,庞大的数据量会瘫痪目标主机而使得无法正常提供服务。
DDoS不但可以提高成功率,还可以缩短攻击的时间及减少被发现的机会。※以目前骇客的行径而言,大多比较倾向于使用威力强大的DDoS攻击,尤其是针对规模大的网站时。 CGI : 一种让网页执行外部程序的一种接口,正因为如此,只要权限或设定有问题,或程序编写有问题,很容易成为cracker入侵系统的快捷方式。自动目录列表 : 取得网页跟目录下的档案列表将使得cracker清楚知道该网站结构,很容易便能发觉后门所在甚至下载有问题的程序代码回去破解分析,对于入侵更为容易使用者认证的攻击 : 利用一账号文件跟密码字典文件的配合,强制通过网页认证的一种手法。
NessusNessus官方网站,目前最新释出的版本为1.0.8,是一种用来侦测网络服务器或工作站的网络漏洞的工具。这套侦测系统是Client-Server的方式运作,服务器端包括了使用者账号的管理以及各种漏洞测试的Plug-ins,而Client则利用服务器端所提供的各种Plug-ins来测试工作站或服务器并产生报告,报告的格式包括了HTML、XML、NSR(Nessus本身的存档格式) 、TXT、TEX(LaTex格式)。其Plug-ins自有一套语法叫做NASL(Nessus Attack Scripts Language),可以自订对特定的连接埠进行封包测试,藉以判断是否为漏洞(早期使用C语言来作为Plug-ins的语法,但以被淘汰) 一、安装安装的方式分为Server跟Client两部分。首先Server必须安装在UNIX环境下,(已试过FreeBSD : ports安装 跟Linux : rpm安装)这部分没有什么问题,装下去就对了,接下来必须安装Plug-ins(若是不装Plug-ins,Nessus什么也不会测),Plug-ins可以选择一个一个下载后拷到指定目录即可,不过正确的作法应该是使用CVS的方式来维护更新Plug-ins的版本。
CVS系统又分作CURRENT跟STABLE两种,STABLE版本但讲究稳定,许多新释出的Plug-ins并没有包括在里面,而CURRENT虽然有最新的Plug-ins,但测试不见得稳定正确,有可能将你的受测工作站或服务器损害,因此要使用那个版本请自行斟酌。安装方式如下:1. 设定环境变量$ export CVSROOT=":pserver:anonymous@cvs.nessus.org:/usr/local/cvs"2. 登入CVS系统 密码为 “ anon” ,只有第一次登入会需要密码,以后会自动记载你系统的某一个地方$ cvs login3-1. 如果要抓取Nessus程序STABLE版本$ cvs -z3 checkout -rNESSUS_1_0 nessus-libraries $ cvs -z3 checkout -rNESSUS_1_0 libnasl $ cvs -z3 checkout -rNESSUS_1_0 nessus-core $ cvs -z3 checkout -rNESSUS_1_0 nessus-plugins 3-2. 如果要抓取Nessus程序CURRENT版本$ cvs -z3 checkout nessus-libraries $ cvs -z3 checkout libnasl $ cvs -z3 checkout nessus-core $ cvs -z3 checkout nessus-plugins4. 以后要检查更新部分时只要打$ cvs -z3 -P nessus-libraries $ cvs -z3 -P libnasl $ cvs -z3 -P nessus-core $ cvs -z3 -P nessus-plugins完成!!Nessus是一套强大的漏洞测试工具,但是对于他产生的报告不够完整是它的一大致命伤,目前他所采行的方法是把漏洞报告及修补漏洞的方法写死在Plug-ins里,但并不是每一个Plug-ins撰写者都有写上修补方式这部分的说明,因此我们的目的是写一个Report Reader来读取Nessus所产生的报告并自动补上漏洞相关的网址(报告格式为HTML或XML),补强的方式是连结CERT的搜寻器来产生,目前遇到的问题在于我们要选择哪一种语法来写这支Report Reader的程序(VB除外),也使我们的研究主题由Nessus暂时转到了程序语言的部分,因此Nessus暂时在此打住4.Scripts Language 截至目前为止,我们尝试过的语言Tcl、Perl、Python都是属于Scripting Languages,他们跟C或JAVA这种system programming languages有很大的差异。SL 会有一组派得上用场的组件 (component) ,用别的语言写成。SL 不会从头开始,而是结合已经写好的组件。比方说,Tcl 跟 Visual Basic 可以用来管理使用者接口组件,而 Unix shell script 可以把组件当作 "filter" ,来组成一条 "生产线" ,制造所要的信息。 SL 可以用来扩展已经存在组件的功能,而很少用来发展复杂的数据结构、算法。这些东西应该由组件提供。因此,SL 常被称为 "黏接语言" 或者 "系统整合语言"。为了简化组合组件的工作,SL通常没有型态。所有东西看起来,用起来都一样,也可以交换着用。比方说,在Tcl 或 VB 中,同一个变量既能存字符串,又能存整数。而程序代码跟数据可以互通,因此能够在线产生新程序。由此可以看到SL 对于文字数据的处理蛮擅长的。V像这样无型态的语言更容易结合组件。因为它并不对 "东西该如何使用" 做任何限制。
组件会怎么用,搞不好连原先的设计者都不清楚。换句话说,组件的使用是有弹性的,不同状况下有不同用法。对于Scripts Language有点概念以后,我们决定选取Perl跟Python两方面进行,以Tk模块作图形化接口,正在钻研当中,目前以Perl/Tk较有进度(简清岱主打)(因为有花钱买书…没钱:~~ ),Python相关书籍也将入手,目前找到的文件教学,主要都以数学运算的应用为例子(Python的数学函式支持很丰富,一进Python的console下就可以当成一台超强的计算器来用了),近程阶段目标是写出图形化的小算盘出来。
目前语言学习部分到此为止 三、自我评估及心得感想 对于这学期的实习成果,自己感觉并不是很满意,因为一开始的Hackerslab最近产生新的问题,必须要整份重弄,令人感到有点恐惧。再者,由Nessus延伸出来的Scripts Language学习,也是没有突破性的进度,最近即将面对的新挑战---PDA程序设计比赛,更因为各种原因而迟迟没犯法开始进行进一步的讨论与动作,整体来说,给自己打50的不及格分数… 感想方面,真的觉得专业实习压力比课业还来得大,尤其是每个礼拜都会有的meeting,看到大家每次meeting都跟上衣次比有所进步的样子,就更感到压力,总觉得自己还要在多学习才不会被别人赶过去。 四、对系上的建议 以往听学长姐的经验,对于专业实习期望颇高,总觉得能因为专业实习对于自己的实力大大提升,但是这一届校内专业实习的人数超越以往,
而就我所认识的校内实习同学们,大多数都是虚晃一学期,因此建议对校内实习的人数能有所限制,另外,对于郭姐对实习相关的讯息一而再再而三的提醒表示感谢!