2016语文版语文选修第12课商山早行 ppt课件2 ㊣精品文档值得下载

，限制外部连接。

对所有敏感功能加以保护，避免其自动执行和由第三方网站执行。

执行手工或自动化代码扫描，确定并消除潜在的机会。

注入缺陷描述通常来讲，注入缺陷允许攻击者通过操纵输入来改变应用程序的行为。

这种行为上的改变可以避开访问控制，使得攻击者创建修改删除或阅读应用程序能够访问的任何数据。

根据，最严重的情况可能是目标应用程序完全被攻破。

注入缺陷是由开发者所做的假设造成的，即被个应用程序处理的输入字符串不包含语法内容。

这个假设导致有效输入确认的缺失。

共有三种主要的注入攻击系统调用命令注入本文其它内容将详细讨论注入攻击。

请查阅注入缺陷了解注入脆弱性的般性讨论。

注入攻击在这种形式的注入脆弱性中，用户输入不被过滤。

因此攻击者能够在输入中插入个语句或另外个参数，然后在数据库中运行。

在他年的论文向开发者介绍注入攻击中描述了四种基本的注入攻击。

操纵攻击者使用各种操作如修改语句。

她还可以修改个子句的语法来获得其它信息。

代码注入在代码注入攻击中，攻击者在现有术脆弱性管理等要求均可以利用代码审查进行控制目标的验证。

支付卡行业数据库安全标准中在发布生产以前检查自定义代码，以识别所有潜在的编码漏洞，及对于面向公众的应用程序，经常解决新的威胁和漏洞，并确保保护这些应用程序不受到以下任方法的攻击，此项要求中明确提出了由于开发团队的内部组织或第三方专业机构进行代码安全审查。

对于银行业及金融业来说，此项业务需求将比较大。

网上银行系统信息安全通用规范网上银行系统信息安全通用规范试行中明确要求由外包方开发的客户端程序要进行代码安全测试并须通过第三方中立测试机构的安全检测，中应用安全对编码规范约束防止注入攻击防止跨站脚本攻击等对软件安全及代码安全做出了明确要求，而且指定了要求第三方机构出具相应的测评报告。

电子银行业务管理办法及电子银行安全评估指引电子银行业务管理办法对电子银行系统的安全性进行了规范，指出在申请电子银行业务时需要提交电子银行安全性评估报告。

目前电子银行安全评估指引是电子银行安全性评估的准则，其第三十条明确规定电子银行系统的安全性评估须包括应用系统安全性评估内容，但未对应用系统安全性评估方法进行明确规范，鉴于已出台的网上银行系统信息安全通用规范试行，可以在其测试过程中，增加代码审查相关测评方法。

通过以上政策及标准的调研发现，软件安全在等级保护上市公司及金融银行业均有明确的要求，但鉴于不同组织机构对信息安全的接受程度财务状况及相关业务审计要求来看，在金融银行业及上市公司推广该业务才是唯的出路，但市场总体来说未必很大。

中国银行的软件安全现状则中的漏洞类别超过种，并且的安全，跨站脚本攻击描述在允许代码注入的应用程序中常常可以发现脆弱性。

利用这种弱点的脚本可能来自服务器，但它们并不在那里执行相反，它们在客户端工作站上执行。

有两种基本的脆弱性反射式和存储式的脆弱性。

反射式脆弱性是最常见的形式。

当用户可以向个文本框中输入语法内容，然后在用户的显示器上显示出来时，往往存在这种脆弱性。

当名攻击者用这种脆弱性定位个页面时，他只需简单地在框中输入脚本。

当页面再次显示输入的文本时，脚本就开始执行。

许多时候，必须使用社会工程使用户访问个专门制作的来发动攻击。

这样做可能导致在页面中插入攻击者的脚本，跨站脚本蠕虫和病毒，年月。

存储脆弱性就像它的名称指出的那样。

攻击者向其他用户经常访问的网站，或网站的个区域提交利用弱点的代码。

这类例子包括社交网络网站和读者对所发表内容的评论。

当受害者的浏览器打开被感染的网页时，脚本不需要用户干预即可自动执行。

这是因为存储的恶意脚本被浏览器看作是来自个可信网站服务器的脚本。

下面是个非常简单的存储脚本攻击实例。

最初，脚本可能被插入到个表单框中，并最终进入大量用户使用的论坛或其它服务中。

例如，在个在线论坛中发贴时，攻击者可能会输入以下脚本当个没有疑心的用户打开论坛中的贴子时，这段脚本就会在用户的工作站上运行。

其显示结果是段无害的文本，但如果脚本中包括以下代码，情况就会有所不同显示许可出错信息提示用户输入密码将密码通过电子邮件发送到攻击者的服务器旦攻击者成功利用个脆弱性，他可以执行大量的恶意行为，包括强制发送电子邮件消息转账删除或修改数据使用受害者的工作站攻击其它网站下载非法内容本质上说，成功完成攻击的攻击者能够执行页面脚本所能执行的任何功能。

控制措施和许多应用程序脆弱性样，确认输入是防御利用的最佳方法。

例如，保证不允许在任何页面框中输入尖括号。

这似乎是个非常简单的方法，但很明显它也是防御攻击的最佳方法之。

和在其文章中写道„我们遇到的几乎每种脆弱性都是由于没有在输入中删除尖括号或没有在输出中对这些尖括号进行编码引起的黑客大曝光，第页。

不只是尖括号，还必须禁止语法输入。

语法输入可能来自数据库其它服务器等。

必须对应用程序的所有输入进行过滤，保证向你的用户传送干净的内容。

组织还可以采用其它步骤来预防由脆弱性引起的问题，它们包括对用户进行培训，告诉他们小心使用电子邮件消息或即时消息中的链接。

实施互联网访问控制解决方案，限制访问高风险网站即色情和盗版媒体网站并防止访问已知的恶意网站。

保证每个工作站有安装有个人防火墙和最新的防病毒软件。

对防火墙进行配置中国银行是目前中国优秀的银行之，公司目前的应用软件开发主要采取软件外包和自主研发相结合的模式，对于中国银行来讲，应用软件自身的安全问题，也是个几乎全新的领域，但是他们已经意识到这是他们下阶段为确保信息安全必须要做的个非常重要的事情，在我们与他们前期的交流中我们了解到目前他们在实现开发应用安全软件方面还存在如下些问题外包团队和公司的研发团队对于开发安全的应用软件的意识不浓和知识不足。

许多已经被等信息安全组织标识为严重软件安全漏洞的问题了解不足，或者了解深度不够，从而造成他们在编码的时候没有考虑到部分软件安全漏洞或者在安全漏洞的预防方面不够彻底和充分，因此在他们的应用系统中存在着许多诸如，的软件安全漏洞。

没有完善的应用软件安全的审计策略和措施。

由于缺少应用软件安全保护方面的知识，因此目前对于外包团队的项目进能力通过创设情境，给学生自主探索合作交流的学习空间，使学生养成自主探索合作交流的良好学习习惯。

教学重难点教学重点掌握整十数加减的口算方法。

教学难点理解整十数加减口算的算理。

二说教法计算常与枯燥机械重复相连，在教学中借助带学生去看花的生动情境，把整十数加减整十数的口算置入有事物情境有情节的探索中，使计算含有丰富生动的具体内容。

在探索整十数加减整十数的计算方法时通过讨论交流动手操作，让学生自主探索，显示不同算法，体现了课标中鼓励学生思考，提倡计算方法的多样化的理念。

练习以动手摆摆，请学生喝饮料，吃苹果等形式进行，淡化练的痕迹，巩固和实践相关的知识技能，发展数尝试解决这些问题，充分发挥了他们的主动性和积极性。

在解决问题的过程中，学生通过思考讨论交流，很自然地形成了算法多样化的局面。

这样既留给学生探索思考动手的时间和空间，又开阔学生的思路，还培养学生的合作精神。

同时运用同桌讨论交流的方法得整十数加减整十数不同的计算方法。

体现了课标中鼓励学生思考，提倡算法多样化的理念。