如何发现网络设备中潜在的安全漏洞和缺陷

对于我们普通人来说，当然是下载安装个安全软件进行系统化的扫描和查杀。但是对于白帽子来说就有别的办法了：
1、用开源工具收集信息
登录Whoiscom网站查找企业的域名，检索结果将会显示出你的网络系统所使用的DNS服务器。然后再使用一些软件工具，如:nslookup，来进一步挖掘DNS服务器的详细信息。
接下来，需要将目标转向于企业的公众Web站点和你能找到的匿名FTP服务器。注意，你现在需要关注的信息主要是:域名、这些域名的IP地址、入侵检测系统的所有信息、用户名、电话号码、电子邮件地址、物理位置、已发布的安全策略、业务合作伙伴的资料、以及新并购企业的信息。
在上述搜索 *** 作中，一定要特别注意这些网站上已显示的和没有显示的信息。最好，把这些网页存入你的电脑中，然后用记事本程序打开，查看网页的源代码。一般而言，查看网页的源代码可以大量的信息，这也就是某些站点有意对浏览者屏蔽源代码的原因。在源代码文件中，你也许能够了解到网站开发者建站的方式：他们所使用的软 件类型及软件版本、网站以及网页的架构，有时候甚至能够发现一些网站管理员的个人资料。
2、 从外部审视网络。
上述信息收集可以开始审视你的网络了。可以运用路径追踪命令来查看你的网络拓扑结构图和访问控制的相关设置。你会获得大量交换机的特征信息，用来旁路访问控制设备。
注意，命令的反馈结果会因为所使用 *** 作系统的不同而有所差别。UNIX *** 作系统使用UDP，也可以选择使用ICMP;而Windows *** 作系统默认用ICMP来响应请求(Ping)。
也可以用开源工具管理大量ping sweep、执行TCP/UDP协议扫描、 *** 作系统探测。这样做的目的就是要了解，在那些外部访问者的眼中，你的网络系统的运行状况和一些基本的面 貌、特征。因此，你需要检验你的网络系统，哪些端口和服务对外部访问者是开放的或可用的，外部访问者是否可以了解到你所使用的 *** 作系统和一些程序，极其版本信息。简言 之，就是要了解到你的网络系统究竟对那些外部访问者开放了哪些端口或服务，泄露了哪些站点的基本信息。
希望可以帮到你，谢谢！

不制定公务出差管理制度存在以下漏洞：
1 缺乏标准化管理：没有公务出差管理制度，容易导致各部门、各岗位之间在出差安排、经费使用等方面缺乏必要的标准化管理，结果就是各行其事，不同标准混杂，容易造成混乱和浪费，严重时可能涉及腐败问题。
2 费用控制困难：没有明确的公务出差管理制度，费用控制会显得更加困难，这意味着可能会存在大量的资金浪费和滥用批文，而且员工也很难判断是否需要出差以及预算合理性，给企业造成经济损失。
3 难以确保安全：没有明确的公务出差管理制度，企业可能无法有效地掌握员工的出差计划和行程安排，也难以为员工提供必要的保障措施，包括安全防范措施、紧急应急预案等，从而难以确保员工的人身安全和财产安全。
因此，制定清晰明确的公务出差管理制度对于规范企业的行为和管理，保证企业的发展和员工的安全非常重要。

服务器解析漏洞总结
1、Apache1x 2x解析漏洞
Apache服务器解析文件时，从后向前遍历后缀名，直到遇到第一个可以被识别的后缀名，则按该种后缀方式进行文件解析。
这样造成一个危害是：如果应用限制了php等敏感后缀，我们可以通过上传xphpjpg这种未被拦截的后缀的木马上传，访问时，Apache会因为无法识别jgp，而向前寻找，找到php，按照php文件进行正常解析。木马被执行。
2、IIS60解析漏洞
（1）如果目录名包含asp asa cer这种字样，则该目录下所有文件都被当做asp来进行解析
（2）如果文件名中包含asp;、asa;、cer;这种字样，也会被优先按照asp来进行解析
3、Nginx
（1）0837以下的版本，可以上传一个不被过滤后缀名的木马，如：shelljpg，可以通过请求shelljpgphp来进行正常解析
（2）0841 – 156间的版本，可以上传一个不被过滤后缀名的木马，如：shelljpg，可以通过请求shelljpg%20php来进行解析
4、PHP CGI文件解析漏洞
（1）Nginx小于083以下的版本，且当默认php配置文件cgifix_pathinfo=1时，可以上传一个不被过滤后缀名的木马，如：shelljpg，通过请求shellphhp/shelljpg，可以使得shelljpg被当做php来解析
（2）IIS70/75之间的版本，如果存在多个Content-Disposition，则IIS会取第一个作为接受参数，同时，如果waf只取第二个进行检测的话，则有可能被绕过过滤。

我们公司之前也是这样的啊，面对堆积如山的文件，根本不会每个都细看，只能粗粗看后就签字，造成了很多问题。不过我们公司自从使用了上海博聂科公司推出的用友OA协同软件之后，这些问题就都有了很大的改善了，所有的签字都直接在网络解决，也不用纠结回不来签不了字的状况了，强烈推荐公司使用！最近还看了他们新推出的手机移动应用，直接在手机或者Ipad上安装客户端，就能签字审批了，我已经安排下面人去沟通了。真是不错，信息化时代，办公也得够潮够有派才行啊……

---