当前位置:【精选】计算机专业的在实习报告4篇
在人们素养不断提高的今天,报告使用的次数愈发增长,报告具有成文事后性的特点。那么,报告到底怎么写才合适呢?以下是小编整理的计算机专业的在实习报告4篇,仅供参考,希望能够帮助到大家。
计算机专业的在实习报告 篇1
一、实习目的1、复习、巩固计算机网络的基础知识そ一步加深对网络体系结构的理解和掌握;
2、通过网络工程实践将课本上的理论知识和实际有机的结合起来,锻炼自己分析解决实际问题的能力,提高自己的适应实际实践编程的能力;
3、培养自己在项目开发中团队合作精神、创新意识及能力;
4、初步掌握规划与管理中小型计算机网络系统的基本能力并能够进行网络综合布线系统的规划、设计和实施;
5、通过实践掌握计算机网络系统的基本规划设计方法以及网络综合布线系统的设计思想;
6、通过熟悉了解实习公司的业务以及机房,了解网络技术在实际中的应用;
7、熟悉linu*下和windows下常见服务器的搭建和使用,了解局部网络故障检测与排除等。真正学到了计算机教科书上所没有或者真正用到了课本上的知识巩固了旧知识,掌握了新知识。在实践中推翻了书本上旧有的不合实际的知识,体现知识的真正价值,做到学以致用。
二、实习内容细数一下,出来实习的日子已经5个多月。从当初的对于工作的认识有如一张白纸般的我,到如今已经画上了圈圈点点。这些都多得公司的领导及师兄们的耐心指导,没有他们的带领只靠个人单打独斗,我想成长是非常缓慢的。公司的氛围很好,技术部的同事们都很团结并且友善,这是一支年轻的队伍,一个团结友爱共进退的团队。
我非常喜欢这样的工作氛围。而且我也十分珍惜这样的工作机会。在这实习的日子里,我秉着一种学习的态度,希望多从项目方案中及外出割接的实践中学习知识,积累工作经验。而且我也很认真很细心地观摩前辈们工作处事的风格,并从中受益良多。我清楚地认识到,光有技术、知识是不够的,更多的时候我们更加看重的是一个人以何种态度对待自己的工作以及又是以一种什么样的方式去处理其遇到的各种事情。前者或许只是认知上的问题,而后者,则需要一定的工作上的积累,经历一定的磨练,才能形成自己较为老道的一种处事的能力。所以对于我们新人来说,必须注重自己经验的积累,同时认真学习他人,从中积累属于自己的宝贵的财富。
这次实习我总结了几个方面的内容,大致可以分为:
1、网线的制作;
2、服务器操作系统的安装;
3、DNS服务器的安装与配置;
4、DHCP服务器的安装与配置;
5、监控服务器smokeping的安装;
6、监控服务器jffnms、cacti的管理与使用;
7、局域网的架设与售后技术支持;
8、使用SNMP协议对设备进行管理等。
刚来到公司的时候,由于对公司的业务还不熟悉,主要是负责一些比较零散的任务,是部门的以为老同事带着我做事情。那时是参与制作网线。由于自己的网络基础比较扎实,所以制作网线的时候能背得出线序,所以在理论上对网线的制作并不陌生。
其次我还重点得熟悉了公司业务涉及的几种服务器的安装使用。比如公司是使用smokeping来对网络流量进行监控与分析的。所以我也熟悉smokeping的安装与使用。所在的环境是CentOS6。3。公司有给出配置文档,我觉得linu*下搭建服务器其实并不困难,由于在学校自学过linu*系统的.知识,熟悉掌握linu*的基本命令,所以在搭建这些常用的服务器如DNS、DHCP、smokeping时并不觉得有很大的困难。
做完这些我忽然领悟到了一些东西,做技术这些工作,其实有些东西真的是很容易就学会的,操作性的东西并没有太多的困难。那么我们的竞争力在哪里呢?如果一件事情随便一个人都很容易上手很容易做,那我们是不是也很容易被代替?我的公司规模不大,所以平时跟上级也可以接触得比较多。我的部门经理偶尔也会跟我谈到一些关于工作上的他个人的感想等。他跟我说,我们做事情不要只是简单地按照上面的意思按部就班地把一件事情完成,有时候可以多点思考,看看能不能加入一些自己的想法。为公司带来盈利的不是在底层的人,而是给公司带来更多idea的人。是啊,做技术其实也需要创新,多思考。你不能总是像流水线工人一样,简单地完成你自己的事情就好了,要有一点目标,自己的想法,把事情做得更好!让别人无法代替你的位置!
这些是我觉得作为一个网络工程师该具备的一些能力。网络工程师不是一个只会在路由器上复制粘贴代码的工人,他必须要有自己的关于路由交换技术的思维能力,我们更多的是要了解路由交换的原理,思想,这才是精髓,才是我们网络工程师应该追求的在技术上的境界。
慢慢的,我在公司也呆了一段的时间,这时我开始接手公司的核心的业务,网络架设与后期维护。
计算机专业的在实习报告 篇2
20xx年的暑假,将是我学生生涯的最后一个暑假,充满期待又满怀焦虑。毕业以后,我能挤过百万就业军的独木桥吗?能胜任公司交给的任务吗?相信这是每一位毕业大学生都不敢松懈的问题。
因此,怀着对自己将来的打算和期望,以及在父母的强烈催促下,我假期前就详细安排了自己的假期计划。
从我的专业看,外贸公司是一个的对口工作。老妈试着去给我联系了一家的外贸公司,可是由于我们学院放假太迟,那边的实习生人数已满,我错过了一次机会。幸运的是被告之可以一月之后再去联系。
于是,我选择了自己另外一大兴趣——电脑行业。怀着对电脑行业极大的崇拜和向往,我来到了杭州一家大型电脑市场。经过几次碰壁,我最终在一家电脑个体商户落户。没有报酬,也不管饭,可是得到了一个实习的机会。就这样,从技术再到销售,我不断向各位师傅讨教。相继学会了有关装机,装系统,装应用软件的基本操作, 在客户需要时还根据客户要求上门服务.为了保证我学到的东西能够切实规范化,系统化.我要求自己每天都必须注意消化自己在平时所学到的东西。
实践期间我争取一切可能的机会让我动手,短短的几天时间自己装过几部电脑,绝大部分自己都曾到过用户家中为用户解决问题,我对电脑的一般性故障也能作一定的维护,具备了一定的产品真伪识别能力,甚至我还学到了很多经营技巧,对计算机的总体认识和把握也有显著的提高。
为了拓宽自己的电脑知识面,我每天回家后还抓紧时间从网上搜索一些电脑常识,深感互联网带来的巨大便利,。否则那么多的问题期待同事们解答是不可能的。
如此半个月下来,我感觉学到好多,庆幸自己把握住了这次机会,当然也深知自己已学的不过是九牛一毛,我更需不断努力,正如同事们所说的“技术知识是靠积累的”!
走出了电脑公司,迎接仅剩为期两周的外贸实习。对我来说,能进这样一家外贸公司,是一个的机会!市中心的商务楼,给人愉悦的感觉;年龄相仿的.同事,给人亲切的感觉;如此多的外贸实务可以学习,给人挑战性的感觉!总之,我对哪怕短短十天的实习也充满了期待!
如今,短短两周的实习已接近尾声,回顾过来,激动之余,诸多感慨!
相处,在这样的白领办公场所,没有看到或者说是感受到任何勾心斗角的事情不知是有幸还是不幸,同事们也说起所在的单位的氛围的确,相互相处都很和谐。
工作,其实并没有太大难度。看到单位同事最常头痛的事便是为某个贸易环节出错而烦恼。国际贸易的中间环节多,涉及面广,除交易双方当事人外,还涉及商检、运输、保险、金融、车站、港口和海关等部门以及各种中间商和代理商。如果哪个环节出了问题,就会影响整笔交易的正常进行,并有可能引起法律上的纠纷。
计算机专业的在实习报告 篇3
这是一篇计算机专业认知实习报告内容,计算机的飞速发展,给我们的工作、生活带来了很大的方便,各行各业的发展,都与计算机技术息息相关,计算机技术的发展引领着世界走向高度智能化,让我们来看看吧~
20xx年4月18日上午,珠海***公司的黄**经理给我们介绍了珠海***公司,这是一所专业从事手机游戏和手机动漫等无线娱乐产品的开发、发行和内容服务的高新技术企业。由于我们的专业是电气工程及其自动化,大家就业的目标可能都是一些电气公司,电网公司等,而去从事手机游戏开发的公司就业的学生可能是少之又少,但掌握多一些知识对自己的发展总是有好处。对于黄经理提到的各款智能手机的操作系统,如android,symbian,ios,windows mobile等,由于本人对这些手机操作系统都比较感兴趣,之前对这些也有经常关注,还曾想和同学一起做基于android系统的手机游戏开发,因此,本人很认真的听了黄经理的课。
在上课期间,黄经理给我们介绍了移动互联网,智能手机的市场前景,以及手机游戏的开发流程。所谓移动互联网,就是将移动通信和互联网相结合。当然,移动通信主要还是通过智能手机来作为载体,毕竟一些平板电脑(如苹果的ipad等)还尚处于起步阶段,用户量较小,而智能手机才是移动互联网的主要使用设备。据黄经理说,中国的手机用户量已达8.1亿,其中大部分是使用智能手机,因此,从事手机游戏和手机动漫的开发,市场前景非常的广阔。若能开发出用户喜欢的游戏,或者是软件、动漫等,都将能够带来很好的经济效益。在这次课的结尾阶段,黄经理从企业的角度上就大学生就业发表了自己的看法,他认为企业需要的人才在工作时是非常主动的,能够在工作的过程中不断发现问题,并勇于向上级表达。对于企业所需的人才,我认为其实就是那些能够给企业带来真正实用价值的人,能够给企业带来利益的人,当然,这人自身则必须要包含很多好的方面,我觉得最重要的就是要有高的智商和高的情商,既有很强的口头交际能力,又掌握了扎实的技术基础,善于把握和应用人性的优缺点,若人能集这些特点于一身,就等于有了黄经理说的铁饭碗,不光是企业,世界范围内的各行各业都会需要这种人。
在互动环节,有学生提问黄经理关于企业在招聘时对硕士生和本科生的起点不同的看法,黄经理提到在企业招聘时硕士生比本科生的起点要高,因此硕士生的薪酬会高许多,因为硕士生在读研时跟着老师做项目,学生的科研素质能够得到系统的锻炼,但之后企业还是会主要看重学生的工作能力。因此,我们学生在大学里面,应提高我们自身的学习能力,因为在大学里边学到的在进入企业之后不一定会用的上,正如黄经理引用李开复的.话说,“大学教育的本质,是将在大学里边学到的东西全部忘掉之后所剩下的东西,即学生的学习能力”。的确,学生能力的强弱可以决定一个人未来的发展。
另外,在课程的最后,刘新东老师关于学生选择供电局作为就业场所发表了自己的观点。老师认为学生进供电局,可以在压力不太大之下能够稳定的维持小康生活,但是进供电局,学生若想在几年内赚到很多钱,难度却是非常的大,尽管是清华或北大毕业的学生,不管是硕士生还是本科生,进入供电局之后都会在艰苦的工作环境下工作一段时间,受到领导赏识的就可能会被升职,若该员工不受领导赏识,则可能在艰苦的环境下干一辈子。我认为,决定自己未来发展的因素还是根源于自身,若自己足够优秀,无论在什么领域下工作都将会脱颖而出,都能够成为该领域的佼佼者。因此,全方面提升自身能力,在自身发展的任何阶段都是首要任务。
结论及建议
计算机的飞速发展,给我们的工作、生活带来了很大的方便,当今世界的各行各业的发展,都与计算机技术息息相关,计算机技术的发展引领着世界走向高度智能化。
在这为期两天的上课中,黄勇老师、黄**经理和刘新东老师给我们所传授的知识,对我们来说都将是一笔宝贵的财富,虽然这次上课的主题是围绕计算机应用实践,但在上课的过程中,老师们都会时不时的透漏自己的学习和工作经验,这些经验使我们在今后的发展中能够少走许多弯路。
对于在这两天课的学习中,本人主要有如下总结:
1) 努力学习专业知识,特别是计算机知识,学好计算机编程,做到精通一门语言,再依次延伸,进而精通多门语言。只有这样,才能使自己不会在高度信息化,智能化的时代落伍。
2) 坚持从全方面,多渠道来提高自己的能力,包括学习能力,工作能力,口头交际能力以及计算机应用能力等。
另外,基于在这两天学习的体会,对我们电气所的大三学生的计算机应用实践实习提出如下建议:
1) 尽量选择多家企业让学生参观,最好寻找大型企业,这样会更有利于拓展学生的视野,达到实习的目的。
2) 实习之前务须向学生说明实习的目的,意义。
3) 计算机应用实践实习不一定要在期末进行,在平时也有很多的空闲时间,可以考虑把实习时间定在平时。
4) 要有严格的课堂纪律制度,迟到或缺席者必须严惩。
企业参观总结及感想
20xx年4月19日上午8点,我们的11级暨南大学电气自动化研究所第一批计算机应用实践实习生从暨大北门出发,坐公车前往珠海***电子科技发展有限公司参观,由于这是一家从事手机游戏和手机动漫等无线娱乐产品开发的公司,因此,生产设备就是几台电脑,无需大型厂房,所以这家公司只有三个面积不太大的办公室,拥有员工数130多人,属于高新技术企业。
去到公司,我们被公司秘书领进会议室,在进会议室的过程中,看到该公司的一些员工在写程序,一些在聊Q,一些在看动漫,或许这就是进软件公司工作的一大优势吧,因为看动漫,聊Q也是他们工作的一部分,他们必须从这些日常生活里边汲取灵感,最后把这些灵感应用于创作上。
进入会议室,公司的穆总给我们讲授了公司的发展状况和业务,他还从公司的角度就企业用人谈了他的一些看法,并且给我们介绍了该公司招聘实习生,以及实习生的培训安排和实习生薪酬的情况。最后,穆总还邀请了3名在我们暨南大学毕业之后在该公司工作的师兄和我们交流经验,其中一位是04级计算机的师兄,另两位是06级软工的师兄。在交流经验时,那位04级的师兄谈到,大学学到的东西在就业的时候基本上没用,即工作时用不上,说实话,我不太同意那位师兄的看法,因为尽管在工作中你没有使用到在大学期间学到的课本知识,但学习能力却是在大学里边培养的。从那师兄的言语中,我能感觉到,大学期间学习书本知识固然重要,但是,培养和提高自己的学习能力更加的重要。
下面对大学毕业生毕业后择业和今后的发展谈谈我个人的看法。
在我择业时,我会选择那些对我能力提高有很大帮助的公司,对于那些对我能力提高帮助不大的公司,即使给我的待遇再好,我可能也不会去,因为我觉得在大学毕业后的前几年,先不要谈论公司的待遇,薪酬,而首要谈的应该是该公司是否重视人才,领导是否有远大的战略目光,公司的运营模式是否有利于自身能力的提高。因此,无论在工作的哪一阶段,我都会很认真的学习前辈的经验,高效完成工作中的任务并自身不断积累经验,利用各种渠道来提高自己的能力。人一辈子短则几十年,长则上百年,我觉得人既然生在这世上,就要有属于自己的事业,属于自己的品牌,就要给子孙后代留下一点宝贵的东西,无论是在精神方面的还是在物质方面。
通过这次计算机应用实践实习,不但让我学到了很多获益终生的知识,还让我发现了自身存在的不足,对于自身存在的不足我都会积极给予改正,以自信、优秀的大学生风貌融入到今后的工作和学习之中。感谢刘新东老师,周署老师,黄勇老师、黄**经理、穆总以及对这次计算机应用实践实习给于大力资助的电气自动化研究所的全体老师。
就这次企业参观期间我们08级电气所学生所暴露出来的问题,提出如下改进意义:
1) 在企业参观的过程中,学生必须时刻保持安静。
2) 在企业参观期间,听企业的相关人员讲解的时候,学生必须时刻用记录本记录下相关的情况,这不仅有利于自己实习报告的撰写,还是对企业讲解人员的尊重。
3) 在企业讲解人员在讲解相关知识的过程中,必须时刻专心听讲,保持虚心的态度,遇到感兴趣的及时向相关人士提问。
计算机专业的在实习报告 篇4
一、工作内容
这学期跟李锡捷老师实习,参加的工作项目是信息安全组,因为平时较其它三位组员多接触UNIX-Like的环境,因此成为本组组长并协助联络事情。我们期初一开始便有正式的case接手,是一个韩国的骇客教育机构Hackerslab委托翻译他们的一份骇客教材。
对于这方面,我们四人虽然很有兴趣,但是相关的技术背景都还嫌不够,因此做起来并不是很轻松,最常遇到的问题就是专业名词的查询与翻译,常常会有不知如何是好的窘境发生,幸好系上的学长大多能提供我们一些查询的方向,大部分的问题到最后还是能顺利完成,这样初期的翻译工作大约持续了一个多月后暂时结束。对外的case完成后,我们继续朝着信息安全相关的方向研究,主要是针对两个程序进行改进工作,一个为测试系统漏洞的Nessus,一个为侦测入侵系统Snort,至此小组里再以两人一组细分为Nessus组跟Snort组,各自进行测试工作。我所分配的是Nessus组,这是一种可以用来测试服务器有哪些网络漏洞的程序,由于采用Plug-ins的方式安装,因此可以随时安插新漏洞的测试Plug-ins,加上Nessus总部的CVS机制,只要你的Nessus系统有定期CVS更新,就能保持最新的完整漏洞测试。
在业界杂志的评比里Nessus的评价甚至超越许多商用软件(Nessus是免费的),但是他有个小缺点,就是有关漏洞测试报告的部分作的并不是十分完整,每支漏洞的测试回报完整与否,取决于Plug-ins作者是否有在写作Plug-ins加上完整的叙述与解决方案,问题是大部分的Plug-ins都只有程序代码,并没有对叙述及解决方式作批注说明,因此即使在使用Nessus测出系统的安全漏洞后,使用者必须在到网络上搜寻解决方法,这样作实在不是很便利,因此老师希望我们能对于Nessus的测试回报部分作改良,写出一个报告阅读程序,结合庞大的信息安全信息,让使用者能在检测出漏洞的同时,直接取得相关的信息和解决方案,便利系统管理者在改善本身系统安全的时效性。
二、学习
Free Hackers Zone这学期最早接触的学习环境,应该要算Hackerslab提供的一个骇客练习用工作站Free Hacker Zone。这是一台用Linux架起来的工作站,里面分将使用者分作level0到level14,每取得下依个等级的使用者权限,都有一个相对应的系统漏洞需要去破解,训练使用者在实作中了解骇客破解系统的方法,我一面翻该组织的FAQ,一面尝试错误,让我一路攻到level10,其中学习到的手法包括了使用者权限设定,寻找特定权限的档案,利用系统分隔符来欺骗系统,溢位攻击等等,然而在前进level11时,因为该漏洞必须自韩国本地进行破解,因此只好作罢,没能进一步继续。不过这个经验对于后来翻译Hackerslab的文件有的`不少的助益!
2.HackersLab教材翻译经过这段暖身后,我们正式接下Hackerslab文件翻译的工作,我负责的是Sniff(监听)与网页安全两份教材。在以太网络上,只要是同一个lan上的机器,都能收到在lan上传送的封包,系统核心会进行比对,如果该封包是属于自己的就继续处理,如果不是就忽略掉,而sniffing原理就是改变最后的步骤,将所有经过的封包,不管是否属于自己,全部抓进来记录。Sniffing的正面意义应该是用于处理观察网络流量状况,一旦网络出现异常时,可以藉由Sniffing来观察有哪些异常封包,帮助排除异常状况。至于窃取传送中的使用者账号跟密码,则是cracker的行为,这并非Sniffing的本意。对于区网内要如何避免被Sniff,最简单是在该区网内使用switch hub。
跟hub不同的是,hub会将接收到的封包向所有连接的host传送出去,但switch本身具有MAC路由表的功能,可以记得哪一个MAC地址要从哪一个连接埠送出去,因此不会让不相关的host收到该封包,大大减少了被Sniff撷取封包的机会。另外一种作法是对于传送的封包均作加密处理,这样就算被他人撷取到封包,对方也很难将封包解密而还原成原本的样字加以解读。常见的加密方式例如: SSL(Secure Socket Layer)、PGP (Pretty Good Privacy)、SSH (Secure Shell)、VPN (Virtual Private Network)等等。Sniff完最重要的工作是分析抓到的封包,因此这里对于各种通讯协议的封包意义大致讲解过一遍,例如该封包的来源与目的地,长度,数据内容,CRC检查码等等。另外一个章节是有关网页安全,包含了浏览器跟服务器两部分,这里大多是讲述理论性质的部分。首先是有关网页服务器,对于crack的问题,最重要的还是管理者(administrator)的认知问题,只要对系统的安全性随时保持警觉,绝对能防止crack事件的发生。目前有关网络上的服务应用虽然对于ftp或e-mail,都有许多独立的应用程序可以利用(如cute-ftp或outlook),但现在一般上网的使用者,仍有许多的机会直接使用网页来对ftp做存取跟收发e-mail,此外还有许许多多功能,也都被整合在网页浏览中,当网页服务器要兼任的服务越多,也就提供了更多让cracker入侵的机会,这是发展网页功能的同时必须付出的代价,因此,身为一个网页服务器的管理员,有责任负起保护自己服务器使用者的权益,对于安全性一定要随时保持高度的警觉性。尤其随着电子商务的发展,网页扮演的角色越来越吃重,在往夜间传递使用者信息的机会越来越多,更增加了安全性的顾虑,然而使用者多半对于这方面安全性问题不够警觉(甚至不了解严重性),只要有cracker使用一些恶意或欺骗的applet或scripts,就有可能将使用者的信息窃取到手,也可以自远程将使用者的计算机加以控制甚至令其当机,使用者对于浏览网页时的安全比必须要比过去更加留意。常见的网页攻击模式包括:溢位攻击(buffer overflow) :顾名思义, 就是利用 buffer overflow 的原理达成目的的......比如, 一个数组只有 100 bytes, 但我喂给它 200 bytes 的数据,于是这个数组装不下这些数据, 造成了 overflow......为什么 overflow 会有 security hole 呢?首先, overflow 发生时, 多出来的数据会盖到其它变量上,相信这一点大家早就知道了。问题是, 为什么数据盖到其它变量上时, 顶多使程序执行错误,会严重到出现 security 的问题吗? 这时, 好玩的事情就发生了.......当我们呼叫一个 function 时, 以汇编语言的观点,会将 return address 堆入 stack 中。如果这个 function 宣告了一些 local 变量,那进入这个 function 之后, 会在 stack 中再空出一块区域给这些 local 变量,当要从这个 function return 回去时, 就把这些在 stack 中的 local 变数清掉。现在好了, buffer overflow security hole 就是在这里发生了......
如果有某个 function 宣告了一个 local array, 如: int func() { int i, j, k; char buf[16]; struct abc *x, *y, *z; . . .}这样就很明显了, 如果在这个 function 内有了 bug, 忘记去控制数据喂给 buf 的长度,当数据喂长一点, 就可以盖到这个function 的 return address指到自己所喂进去的 code 上 这时, function 执行完毕, 要 return 时, 它就不会 return 到原来呼叫它的地方, 而会 “return” 到我所喂进去的那些 code,这么一来入侵者就可以为所欲为了! Denial of Service ( DoS ,阻断服务攻击) :所谓阻断服务攻击,是攻击者利用受害者的操作系统、网络应用程序(服务)或网络通讯协议的漏洞来攻击受害者,促使目标主机的系统或服务发生瘫痪的情况,可能造成系统资源耗尽、引响正常联机品质、网络频宽被占满、网络应用程序(服务)停止运作、系统当机等情形,使正当的使用者无法正常使用该主机所提供的服务。另一种情况是系统管理者为了测试目的尝试对自己主机展开攻击,测试操作系统或是网络应用程序(服务)中是否含有可能被攻击的漏洞存在。像立骇科技(HackersLab)的入侵测试(Penetration Test)、卫道科技的网络安全漏空扫瞄仪(NAI CyberCop Scanner)都可针对企业内的操作系统、网络甚至数据库做健康检查,其它DoS的攻击都是不合法的,而且动机通常出自恶意。Distributed Denial of Service(DDoS,分布式阻断服务攻击):所谓分布式阻断服务攻击,是运用在于受害者的系统资源、网络频宽条件都比攻击者来的好,如果攻击者想一对一的攻击被害者,可能会失败甚至导致自己的系统或网络瘫痪,所以采取一对多的攻击方式,攻击者先在一些防备较弱的主机中种植攻击程序。随后攻击者对各主机中的的攻击程序发出攻击命令,要求对目标主机发出庞大数量且多种的封包,庞大的数据量会瘫痪目标主机而使得无法正常提供服务。
DDoS不但可以提高成功率,还可以缩短攻击的时间及减少被发现的机会。※以目前骇客的行径而言,大多比较倾向于使用威力强大的DDoS攻击,尤其是针对规模大的网站时。 CGI : 一种让网页执行外部程序的一种接口,正因为如此,只要权限或设定有问题,或程序编写有问题,很容易成为cracker入侵系统的快捷方式。自动目录列表 : 取得网页跟目录下的档案列表将使得cracker清楚知道该网站结构,很容易便能发觉后门所在甚至下载有问题的程序代码回去破解分析,对于入侵更为容易使用者认证的攻击 : 利用一账号文件跟密码字典文件的配合,强制通过网页认证的一种手法。
NessusNessus官方网站,目前最新释出的版本为1.0.8,是一种用来侦测网络服务器或工作站的网络漏洞的工具。这套侦测系统是Client-Server的方式运作,服务器端包括了使用者账号的管理以及各种漏洞测试的Plug-ins,而Client则利用服务器端所提供的各种Plug-ins来测试工作站或服务器并产生报告,报告的格式包括了HTML、XML、NSR(Nessus本身的存档格式) 、TXT、TEX(LaTex格式)。其Plug-ins自有一套语法叫做NASL(Nessus Attack Scripts Language),可以自订对特定的连接埠进行封包测试,藉以判断是否为漏洞(早期使用C语言来作为Plug-ins的语法,但以被淘汰) 一、安装安装的方式分为Server跟Client两部分。首先Server必须安装在UNIX环境下,(已试过FreeBSD : ports安装 跟Linux : rpm安装)这部分没有什么问题,装下去就对了,接下来必须安装Plug-ins(若是不装Plug-ins,Nessus什么也不会测),Plug-ins可以选择一个一个下载后拷到指定目录即可,不过正确的作法应该是使用CVS的方式来维护更新Plug-ins的版本。
CVS系统又分作CURRENT跟STABLE两种,STABLE版本但讲究稳定,许多新释出的Plug-ins并没有包括在里面,而CURRENT虽然有最新的Plug-ins,但测试不见得稳定正确,有可能将你的受测工作站或服务器损害,因此要使用那个版本请自行斟酌。安装方式如下:1. 设定环境变量$ export CVSROOT=":pserver:[email protected]:/usr/local/cvs"2. 登入CVS系统 密码为 “ anon” ,只有第一次登入会需要密码,以后会自动记载你系统的某一个地方$ cvs login3-1. 如果要抓取Nessus程序STABLE版本$ cvs -z3 checkout -rNESSUS_1_0 nessus-libraries $ cvs -z3 checkout -rNESSUS_1_0 libnasl $ cvs -z3 checkout -rNESSUS_1_0 nessus-core $ cvs -z3 checkout -rNESSUS_1_0 nessus-plugins 3-2. 如果要抓取Nessus程序CURRENT版本$ cvs -z3 checkout nessus-libraries $ cvs -z3 checkout libnasl $ cvs -z3 checkout nessus-core $ cvs -z3 checkout nessus-plugins4. 以后要检查更新部分时只要打$ cvs -z3 -P nessus-libraries $ cvs -z3 -P libnasl $ cvs -z3 -P nessus-core $ cvs -z3 -P nessus-plugins完成!!Nessus是一套强大的漏洞测试工具,但是对于他产生的报告不够完整是它的一大致命伤,目前他所采行的方法是把漏洞报告及修补漏洞的方法写死在Plug-ins里,但并不是每一个Plug-ins撰写者都有写上修补方式这部分的说明,因此我们的目的是写一个Report Reader来读取Nessus所产生的报告并自动补上漏洞相关的网址(报告格式为HTML或XML),补强的方式是连结CERT的搜寻器来产生,目前遇到的问题在于我们要选择哪一种语法来写这支Report Reader的程序(VB除外),也使我们的研究主题由Nessus暂时转到了程序语言的部分,因此Nessus暂时在此打住4.Scripts Language 截至目前为止,我们尝试过的语言Tcl、Perl、Python都是属于Scripting Languages,他们跟C或JAVA这种system programming languages有很大的差异。SL 会有一组派得上用场的组件 (component) ,用别的语言写成。SL 不会从头开始,而是结合已经写好的组件。比方说,Tcl 跟 Visual Basic 可以用来管理使用者接口组件,而 Unix shell script 可以把组件当作 "filter" ,来组成一条 "生产线" ,制造所要的信息。 SL 可以用来扩展已经存在组件的功能,而很少用来发展复杂的数据结构、算法。这些东西应该由组件提供。因此,SL 常被称为 "黏接语言" 或者 "系统整合语言"。为了简化组合组件的工作,SL通常没有型态。所有东西看起来,用起来都一样,也可以交换着用。比方说,在Tcl 或 VB 中,同一个变量既能存字符串,又能存整数。而程序代码跟数据可以互通,因此能够在线产生新程序。由此可以看到SL 对于文字数据的处理蛮擅长的。V像这样无型态的语言更容易结合组件。因为它并不对 "东西该如何使用" 做任何限制。
组件会怎么用,搞不好连原先的设计者都不清楚。换句话说,组件的使用是有弹性的,不同状况下有不同用法。对于Scripts Language有点概念以后,我们决定选取Perl跟Python两方面进行,以Tk模块作图形化接口,正在钻研当中,目前以Perl/Tk较有进度(简清岱主打)(因为有花钱买书…没钱:~~ ),Python相关书籍也将入手,目前找到的文件教学,主要都以数学运算的应用为例子(Python的数学函式支持很丰富,一进Python的console下就可以当成一台超强的计算器来用了),近程阶段目标是写出图形化的小算盘出来。
目前语言学习部分到此为止 三、自我评估及心得感想 对于这学期的实习成果,自己感觉并不是很满意,因为一开始的Hackerslab最近产生新的问题,必须要整份重弄,令人感到有点恐惧。再者,由Nessus延伸出来的Scripts Language学习,也是没有突破性的进度,最近即将面对的新挑战---PDA程序设计比赛,更因为各种原因而迟迟没犯法开始进行进一步的讨论与动作,整体来说,给自己打50的不及格分数… 感想方面,真的觉得专业实习压力比课业还来得大,尤其是每个礼拜都会有的meeting,看到大家每次meeting都跟上衣次比有所进步的样子,就更感到压力,总觉得自己还要在多学习才不会被别人赶过去。 四、对系上的建议 以往听学长姐的经验,对于专业实习期望颇高,总觉得能因为专业实习对于自己的实力大大提升,但是这一届校内专业实习的人数超越以往,
而就我所认识的校内实习同学们,大多数都是虚晃一学期,因此建议对校内实习的人数能有所限制,另外,对于郭姐对实习相关的讯息一而再再而三的提醒表示感谢!