您现在的位置: 首页 > 网站导航收录 > 百科知识百科知识
如何做好审计?前景如何?
漏洞,代码,审计工作如何做好审计?前景如何?
发布时间:2016-12-08加入收藏来源:互联网点击:
高风险漏洞
由于使用以下原因,可能存在一些常见的高风险漏洞
非边界检查函数(例如,strcpy,sprintf,vsprintf和sscanf)可能导致缓冲区溢出漏
可能干扰后续边界检查的缓冲区的指针操作,例如:if((bytesread = net_read(buf,len))> 0)buf + = bytesread;
调用像execve(),执行管道,system()和类似的东西,尤其是在使用非静态参数调用时
输入验证,例如(在SQL中):statement:=“SELECT * FROM users WHERE name ='”+ userName +“';”是一个SQL注入漏洞的示例
文件包含功能,例如(在PHP中):include($ page。'。php');是远程文件包含漏洞的示
对于可能与恶意代码链接的库,返回对内部可变数据结构(记录,数组)的引用。恶意代码可能会尝试修改结构或保留引用以观察将来的更改。
低风险漏洞
以下是审计代码时应该找到的低风险漏洞列表,但不会产生高风险情况。
客户端代码漏洞不影响服务器端(例如,跨站点脚本)
用户名枚举
目录遍历(在Web应用程序中)
回答于 2019-09-11 08:43:50
永不停止学习,学习最直接的产物是证书。
有证不一定高能!但至少保障不低能,是下限的背书
资本市场有三本高含金量的证书:注册会计师、保荐代表人、国家统一法律职业资格考试
这三考之外的鱼龙混杂,不一一评说。
任取一证,高低呼一声牛逼,当然各大中介机构里持一证的多如牛毛,任取两证,妥妥配得上一句大神。。。
除此之外,还有什么更接地气的学习方式呢。
其一:琢磨往年的底稿抑或今年其他项目的底稿:大胆提述求,备好优盘,找个项目组面善的小哥哥小姐姐借套底稿,多半都是会同意的。
其二,浏览监管爸爸的网站。何谓监管爸爸:财政部、银保监会、证监会、中注协、深交所、上交所。随便打开浏览器,搜索关键词即可。具体能浏览啥子:处罚书、招股说明书、问询函、上市公司年度报告等。
其三,逛会计视野论坛,有大神陈版主解答各类实务问题。我是通过青藤数据网站进入的,免费的审计平台,还能查各种审计相关数据。
其四,看券商研报,审计需要把行业-业务-财务逻辑线有机串联起来。券商研报是了解行业的好路子,可能就是有点费钱,当然白嫖的研报也不少数,比如萝卜投研APP。
下一篇:返回列表
相关链接 |
||
网友回复(共有 0 条回复) |