您现在的位置: 首页 > 网站导航收录 > 百科知识百科知识

如何做好审计？前景如何？

漏洞,代码,审计工作如何做好审计？前景如何？

发布时间：2016-12-08加入收藏来源：互联网点击：

如何做好审计？前景如何？

回答于 2019-09-11 08:43:50

回答于 2019-09-11 08:43:50

我本人是2004年通过注册会计师考试，然后进入会计师事务所做审计工作至今已有16年，对如何做好审计工作，颇有感触。

刚开始进入会计师事务所要从审计助理做起，但是一晃3年多的时间过去了，还只是一个小项目经理。感觉自己还是没有真正入门，时不时还会受到领导批评。我在不停的思考，我为什么进步这么慢？问题究竟出在哪里呢？

后来，我对做过的有意义和有代表性的项目，如这个项目有一定规模，项目现场时间较长等，开始写工作总结。总结在这个项目中遇到了哪些困难，这些困难是怎么造成的，是相关理论知识不扎实，还是没有相关工作经验造成的。久而久之，我发现自己确实有些理论知识存在欠缺，实务经验要一点一点的积累。发现自己的短板后，我在想怎么来弥补呢？把原先学过的注册会计师考试辅导教材从头再看几遍，后来发现不太现实。通过跟领导和其他同事交流，找到了解决理论知识欠缺的方法。

在做项目时遇到不熟悉或不知道的会计问题，就去会计制度和相关财经法律法规中找答案，并且对这些知识反复多看几遍，做到理解并会运用。对于那些在书里找不到的问题，就去百度搜索，查找相关财经杂志或者一些会计网络大咖对类似问题的回答，并反复琢磨。功夫不负有心人，一年之后，我的工作能力得到了较大提高，也得到了领导的认可。正是采用这些方法，我发现自己更加喜欢审计工作了。

要做好审计工作，需要不断学习理论知识，对一些常用的知识要反复看，不厌其烦，并经常思考。慢慢的就会做到应付自如。虽然现在我们国家的注册会计师行业还存在这样那样的问题，但整个世界经济在不断发展，社会离不开审计。目前，我们国家对高层次的会计审计工作者还是非常缺少，所以审计工作前景还是非常不错的。

不知道上述我的审计工作经验对你是否有用，欢迎探讨！

回答于 2019-09-11 08:43:50

近期FarmersWorld出现盗币事件说明了代码审计的重要性

据悉，农场类型链游 Farmers World 昨晚发生130盗币9370事件6165,，传闻金额超过1亿人民币。Farmers World 是当前 WAX 链上最火爆的游戏，而 WAX 是基于 EOS 公链二次开发的，因此同样采取 DPoS 共识，要求用户质押 WAXP 以获取 CPU、NET 和 RAM 资源。11月7日晚9点，一些玩家发现游戏出现“RAM 不足”的提示，补充 WAXP 后仍无法解决。根据官方 Discord 的讨论信息：项目智能合约与 WAX 钱包均未出现漏洞，但用户质押 WAXP 的地址却不是游戏官方的地址，目前最大的可能是游戏“外挂”脚本更改了用户质押地址，导致用户无法获得 RAM 资源。

据GameFi链游工会：今天凌晨农民世界玩家账户出现大面积盗号事件，根据初步了解价值已经超过3亿人民币，超过200件超级装备、涉及1000个玩家账户。根据受害者反应出现被盗情况的账户都是使用了一个B站博主（谁占了XXX）他们提供的脚本，使用这个脚本的账户大面积出现的资产（挖机、电锯、渔船等）NFT被转走的情况，用漏洞制裁脚本是代码入侵惯用手法，尤其是游戏行业外挂居多，在早些年魔兽玩家利用脚本漏洞，小号一个操作击垮工作室，因此代码审计的作用不仅仅是修补漏洞，防御漏洞，更重要是全面的构建优良的安全代码环境，从而最大限度增加被攻击的成本！

为什么会出现这种情况的发生呢？我们都知道游戏最重要的是代码，代码一旦受到入侵就会出现各种各样的问题。从而导致安全事故的发生。这也是血的教训。就好比是游戏的外挂，导致了一些不公平的规则出现。首先我们来了解一下出现这种问题的原理。

首先游戏外挂的原理
外挂现在分为好多种,比如模拟键盘的,鼠标的,修改数据包的,还有修改本地内存的,但好像没有修改服务器内存的哦,呵呵!其实修改服务器也是有办法的,只是技术太高一般人没有办法入手而已!
　修改游戏无非是修改一下本地内存的数据,或者截获api函数等等,这里CHAINLION把所能想到的方法都作一个介绍,希望大家能做出很好的外挂来使游戏厂商更好的完善自己的技术.


我们先用理论大致分析,下来我就讲解一下技术方面的东西,以作引玉之用
2 技术分析部分
） 模拟键盘或鼠标的响应
我们一般使用UINT SendInput(
UINT nInputs,　　 // count of input events
LPINPUT pInputs,　// array of input events
int cbSize　　　　// size of structure
）api函数
第一个参数是说明第二个参数的矩阵的维数的,第二个参数包含了响应事件,这个自己填充就可以,最后是这个结构的大小,非常简单,这是最简单的方法模拟键盘鼠标了,呵呵
注意:这个函数还有个替代函数:
VOID keybd_event(
BYTE bVk,　　　　　　　 // 虚拟键码
BYTE bScan,　　　　　　 // 扫描码
DWORD dwFlags,　　　　　
ULONG_PTR dwExtraInfo　 // 附加键状态
);和
VOID mouse_event(
DWORD dwFlags,　　　　 // motion and click options
DWORD dx,　　　　　　　// horizontal position or change
DWORD dy,　　　　　　　// vertical position or change
DWORD dwData,　　　　　// wheel movement
ULONG_PTR dwExtraInfo　// application-defined information

代码审计顾名思义就是检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者有编码不规范的地方，通过自动化工具或者人工审查的方式，对程序源代码逐条进行检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施和建议。

内容包括

1.前后台分离的运行架构

2.WEB服务的目录权限分类

3.认证会话与应用平台的结合

4.数据库的配置规范

5.SQL语句的编写规范

6WEB服务的权限配置

7.对抗爬虫引擎的处理措施

审核软件时，应对每个关键组件进行单独审核，并与整个程序一起进行审核。 首先搜索高风险漏洞并解决低风险漏洞是个好主意。 高风险和低风险之间的漏洞通常存在，具体取决于具体情况以及所使用的源代码的使用方式。 应用程序渗透测试试图通过在可能的访问点上启动尽可能多的已知攻击技术来尝试降低软件中的漏洞，以试图关闭应用程序。这是一种常见的审计方法，可用于查明是否存在任何特定漏洞，而不是源代码中的漏洞。 一些人声称周期结束的审计方法往往会压倒开发人员，最终会给团队留下一长串已知问题，但实际上并没有多少改进; 在这些情况下，建议采用在线审计方法作为替代方案。

 1/2    1 2 下一页 尾页