渗透测试 考试-渗透测试试题

hacker|
142

化学题目:测得泪水的凝固点为-0.52,求泪水的渗透浓度及37℃时的渗透压力。(求大神回复)

△T=Kf x m

0.52 =1.86m

m= 0.28 mol/kg

因为 泪水所含无机盐。忽略少量无机盐溶解时对溶剂体积改变。

即,水溶剂的kg重量=水溶剂的体积 L=水溶液的体积。 那么,

m= 0.28 mol/kg = 0.28 mol/L = M

代入渗透压方程 Pi=MRT=0.28xRx310 (R:气体常数)

渗透测试有哪些

渗透测试分为两种基本类型,白盒测试和黑盒测试。

1、白盒测试

也被称为白帽测试,是指渗透测试者在拥有客户组织所有知识的情况下所进行的测试。

使用白盒测试,需要和客户组织一起工作,来识别出潜在的安全风险。

白盒测试的最大好处是测试者将拥有所有的内部知识,并可以在不需要害怕被阻断的情况下任意地实施破坏。

而白盒测试最大的问题在于无法有效地测试客户组织的应急响应程序,也无法判断出他们的安全防护计划对检测特定攻击的效率。

白盒测试适用于时间比较紧急,或是特定的渗透测试环境,如情报收集并不在范围之内的测试场景。

2、黑盒测试

模拟一个对客户组织一无所知的攻击者所进行的渗透攻击。

经过授权的黑盒测试是设计成为模拟攻击者的入侵行为,并在不了解客户组织大部分信息和知识的情况下实施的。

黑盒测试可以用来测试内部安全团队检测和应对一次攻击的能力。

黑盒测试比较费时,同时对技术要求比较高。在安全业界的渗透测试眼中,黑盒测试能更逼真地模拟了一次真正的攻击过程。

黑盒测试依靠测试人员的能力探测获取目标系统的信息,作为一次黑盒测试的渗透测试者,通常不需要找出目标系统的所有安全漏洞,而只需要尝试找出并利用可以获取目标系统访问权代价最小的攻击路径,并保证不被检测到。

渗透测试的步骤有哪些

渗透测试怎么做,一共分为八个步骤,具体操作如下:

步骤一:明确目标

1、确定范围:规划测试目标的范围,以至于不会出现越界的情况。

2、确定规则:明确说明渗透测试的程度、时间等。

3、确定需求:渗透测试的方向是web应用的漏洞?业务逻辑漏洞?人员权限管理漏洞?还是其他,以免出现越界测试。

步骤二:信息收集

1、基础信息:IP、网段、域名、端口

2、系统信息:操作系统版本

3、应用信息:各端口的应用,例如web应用、邮件应用等等

4、版本信息:所有探测到的东西的版本

5、人员信息:域名注册人员信息,web应用中网站发帖人的id、管理员姓名等

6、防护信息:试着看能否探测到防护的设备,像有没有CDN、waf等

步骤三:漏洞探索

利用上一步中列出的各种系统、应用等等,使用响应的漏洞

方法:

1、漏扫、awvs、IBM appscan等

2、结合漏洞去exploit-db等位置找利用

3、在网上寻找验证poc

步骤四:漏洞验证

将上述中发现有可能可以成功利用的全部漏洞都验证一遍,结合实际情况搭建模拟环境进行实验,成功后再引用于目标。

自动化验证:结合自动化扫描工具提供的结果

手工验证:根据公开的资源进行手工验证

试验验证:自己搭建模拟环境进行验证

登录猜解:可以尝试一下登录口的账号密码的发现

业务逻辑漏洞:如发现业务逻辑漏洞,进行验证

步骤五:信息分析

为下一步实施渗透做准备

1、精准打击:准备好上一步探测到的漏洞的exp,用来精准打击

2、绕过防御机制:是否有防火墙等设备,如何绕过

3、定制攻击路径:最佳工具路径,根据薄弱入口,高内网权限位置,最终目标

4、绕过检测机制:是否有检测机制,流量监控,杀毒软件 ,恶意代码检测等(免杀)

5、攻击代码:经过试验得来的代码,包括不限于XSS代码,SQL注入语句等

步骤六:获取所需

1、实施攻击,根据前几步的结果,进行攻击

2、获取内部信息:基础设施(网络连接,vpn,路由,拓扑等)

3、进一步渗透:内网入侵,敏感目标

4、持续性存在:一般我们对客户做渗透不需要,但真实的环境中,我们会做rookit、后门,添加管理账号。驻扎手法。

5、清理痕迹:清理相关日志(访问,操作),上传文件等

步骤七:信息整理

1、整理渗透工具:整理渗透过程中用到的代码,poc、exp等

2、整理收集信息:整理渗透过程中收集到的一切信息

3、整理漏洞信息:整理渗透过程中遇到的各种漏洞,各种脆弱的位置信息

(为了形成报告,形成测试结果使用)

步骤八:形成报告

1、按需整理:按照之前第一步跟客户确定好的范围和需求来整理资料,并将资料形成报告

2、补充介绍:要对漏洞成因、验证过程和带来的危害进行分析

3、修补建议:当然要对所有产生的问题提出合理高效安全的解决办法

一个完整的渗透测试流程,分为那几块,每一块有哪些内容

包含以下几个流程:

信息收集

第一步做的就是信息收集,根据网站URL可以查出一系列关于该网站的信息。通过URL我们可以查到该网站的IP、该网站操作系统、脚本语言、在该服务器上是否还有其他网站等等一些列的信息。

漏洞探测

当我们收集到了足够多的信息之后,我们就要开始对网站进行漏洞探测了。探测网站是否存在一些常见的Web漏洞,比如:SQL注入 。

漏洞利用

探测到了该网站存在漏洞之后,就要对该漏洞进行利用了。不同的漏洞有不同的利用工具,很多时候,通过一个漏洞我们很难拿到网站的webshell,我们往往需要结合几个漏洞来拿webshell。

内网渗透

当我们能跟内网主机进行通信后,我们就要开始进行内网渗透了。可以先使用nmap对内网主机进行扫描,探测在线的主机,并且探测其使用的操作系统、开放的端口等信息。

内网中也有可能存在供内网使用的内网服务器,可以进一步渗透拿下其权限。

痕迹清除

达到了目的之后,有时候只是为了黑入网站挂黑页,炫耀一下;或者在网站留下一个后门,作为肉鸡,没事的时候上去溜达溜达;亦或者挂入挖矿木马。

撰写渗透测试保告

在完成了渗透测试之后,就需要对这次渗透测试撰写渗透测试报告了。明确的写出哪里存在漏洞,以及漏洞修补的方法。以便于网站管理员根据我们的渗透测试报告修补这些漏洞和风险,防止被黑客攻击。

渗透无损检验证书几年验证

(2) 最长重新颁证周期为:

(a) I、II级:3年;

(b) III级:5年;

(3) III级人员或质保总监可随时对无损检测人员重新考核并决定他们的签证是延期还是撤消。

(4)所有无损检测人员,中断其相应的检测工作6月以上,须重新考核发证。

--------------------------------------------------------------------------

《无损检测人员的资格鉴定和证书颁发实施细则》

1 适用范围

1.1 众所周知,无损检测(NDT)的应用效果依赖于无损检测人员资格鉴定和证书颁发的准则,无损检测人员应对指定从事的无损检测方法的应用、验证、监控或评价具有相应的技术理论知识。

1.2 本实施细则提供了制定资格鉴定和证书颁发程序的准则。

2 无损检测方法

2.1 按本细则进行无损检测人员的资格鉴定和颁发证书,适用于下列各种方法:

(1) 射线照相检测 (RT)

(2) 磁粉检测(MT)

(3) 超声检测(UT)

(4) 液体渗透检测(PT)

3 资格等级

3.1 资格鉴定分为三个基本等级。

3.2 正在申请资格和领取证书过程中的无损检测人员应为学员看待。学员只能与有证人员一起工作,不得单独进行任何检测、解释、评定检测结果和报告检测结果。

3.3资格鉴定的三个基本等级如下:

(1) I级 —— 经鉴定的I级无损检测人员应能按照指导文件正确地进行特定的校准、检测以及对合格与否做出评定,并记录结果。I级人员应接受有证的II级或III级人员必要的指导和监督。

(2) II级 —— 经鉴定的II级无损检测人员应能调整和校准仪器,根据采用的法规、标准和技术条件,解释和评定检测结果。II级人员应十分熟悉其所获资格的检测的的适用范围和局限性,同时应负责在职人员的培训工作并对受训者及I级人员进行指导。II级人员应能制定指导文件、组织检测工作和写出检测结果报告。

(3) III级 —— III级人员应能确定检测方法和操作程序;解释法规、标准、技术条件以及操作程序;设计特殊用途的试验方法、技术要求及操作程序。III级人员应负责与其资格相应的和指定的无损检测工作,并能依据现有的法规、标准和技术条件解释和评定检测结果。III级人员对所用的材料、制造方法和产品工艺应有足够的实际知识,以便能确定检测方法并能在没有其他标准可利用时协助制定验收标准。III级人员对其他无损检测 方法应有一定的了解,并胜任对申请I、II级资格证书的无损检测人员的培训和考核工作。

4 对申请人的文化程度,受训情况和经历的要求

4.1 取证人员应具有相应的文化程度,训练和经历,以保证能了解所申请项目的检测原理和操作方法。以前的证书文件可作为相应级别的资格凭证。

4.2 在制定实施细则之前,有证件证明申请人获得的训练和(或)经验相当于I、II和(或)III的要求时,则认为已符合4.3 节的标准。

4.3 申请人符合下述无损检测人员等级标准之一者,应考虑发给相应级别的资格证书。

(1) I、II级无损检测人员。

表4.3按不同文化程度和经历制订培训的课时要求,供制定I、II级取证人员资格鉴定实施细则时参考。

(2) III级无损检测人员

(a) 最低具有四年制理工大学毕业的文化程度,并有不少于一年的该无损检测方法的II级人员的工作经历。或者:

(b) 至少具有二年制理工大学或技术学校毕业的文化程度,并有不少于二年的该无损检测方法的II级人员的工作经历。或者:

(c) 至少具有四年该无损检测方法的II级人员的工作经历。

考核鉴定时,上述III级人员要求可部分地由II级人员或至少相当于本细则第2节列出的其它方法的II级人员的实际工作经验所取代。

5 培训大纲

5.1 培训人员应经过足够的组织培训,使其熟悉所申请等级的具体检测方法的检测原理和实践,并能熟练地进行实际操作和产品的检测。

5.2 培训大纲应包括充分的考核内容,以保证取证人员掌握所学的内容。

5.3 I、II、III级人员培训大纲及可用作技术资料的参考文献参见SNT-TC-IA,TC-1,TC-2,TC-3,TC-4。

6考核

6.1 考核管理与考核评分

(1) 按6.3至6.8规定,由一名III级人员负责I、II级或其他III级人员的考试管理与评分。考试的管理与评分由已有III级资格人员负责并应予纪录。III级人员的管理考试按6.8条规定,可由公司总经理指定的代表负责。

(2) I、II级人员的综合分,取基础标准规范考试,实践考试的分数平均分;III级人员的综合分,取基础考试、专业考试与标准规范考试平均分。

(3) 资格鉴定与标准考试,综合分80%且各单项考试不低于70%为通过。

(4) 由外部机构进行考试,且只以合格与否评定,则可以80%分予以通过。

6.2 视力检查

(1) 受检者应保证至少有一只眼睛的自然或近距离较正视力在距离标准的Jaeger检测表不小于12寸(30.5厘米)情况下能认出的Jaeger数字“2”或相同类型和尺寸的字母。此项检查每年一次。

(2) 受检者应能辨别和区分检测方法中所用颜色的差异。此项检查应资格鉴定前进行,并每三年一次。

6.3 一般考核(笔试、适用于I、II级)

(1) 一般考核应着重于所用检测方法的基本原理。

(2) 在准备考核时,III级人员应根据实施细则的要求选择和确定有关检测方法的合适的考题。

(3) 例题可参照SNT-TC-IA试题集A、B、C、D。

(4) 试题不得少于如下规定。

检验方法 试题数量(I级) 试题数量(II级)

PT 30 30

MT 30 30

RT 40 40

UT 40 40

6.4 特殊考核(笔试,适用于I、II级)

(1) 特殊考核着重于在特定任务中可能会碰到的关于仪器、操作程序和检测和等方面的问题,其要求按实施细则的规定。

(2) 特殊考核还应包括相应的无损检测工序所使用的技术条件,法规以及验收标准。

(3) 试题不得少于如下规定:

检验方法 试题数量(I级) 试题数量(II级)

PT 20 15

MT 20 15

RT 20 20

UT 20 20

6.5 实际操作考核(适用于I、II 级)

(1) 受检者应能熟练地使用必需的检测仪器、记录及分析检测结果,并达到考核要求。

(2) 受检者至少应检测一个选定的试样并分析检测结果。

(3) 试样种类、含有检查部位的检测工艺以及考核结果均有文字记录。

(4) I级人员实际操作考核应能熟练的对经III级人员认定的一个或几个试样进行检测,以及评定检测结果。实际操作考核中至少应有十个需要理解的检测参数及相应检测工艺要求的检测点。

(5) II级人员实际操作考核应能熟练的对经III级人员认定的一个或几个试样选择合适的无损检测方法并进行检测,以及评定检测结果。实际操作考核中至少应有十个需要理解的检测参数及相应检测工艺要求的检测点。

6.6 试题可以从下列题册中选取,这些习题只能作为例题,而不能完全照搬为试题。

检测方法 书号

RT A

UT B

MT C

PT D

6.7 所有I、II和III级人员的考试,除提供必要的资料,如图例、表格、技术条件、工艺规程及法规外,笔试时不得翻看其他参考资料(闭卷)考核I、II级人员的所有考题应由负责考核的III级人员审定。

6.8 III级无损检测人员

(1) 基础考核(应考核的检测方法多于一种时,也只考核一次)

(a) 有关理解SNT-TC-IA文件的试题15题。

(b) 有关使用的材料、制造方法和产品工艺的试题20题。

(c) 从公布的其他相应的无损检测方法II级试题中选择或另拟类似的试题20题。

(d) 详细要求应符合SNT-TC-IA基础考试的规定。

(2) 方法考核(逐项进行)

(a) 从该种无损检测方法III级试题中选择或另拟类似的有关基本原理和法则的试题30题。以及

(b) 选择或另拟类似的有关该种检测方法的应用以及制定技术要求的检测工艺的试题15题。以及

(c) 关于解释与该种检测方法有关的法规、标准及技术条件能力的试题20题。

(3) 特殊考核(逐项进行)

(a) 由南方阀门厂的产品和使用的检测方法以及本实施细则提出的有关技术条件、仪器、技术要求和检测工艺的试题20题。

(b) 如果受检者具有有效的无损检测III级证书或有工作经历的书面证明,其中包括根据法规、标准和技术条件编写的无损检测工艺以及对检测结果的评价,则规定的特殊考核可以免去。

(4) 具有有效证书的III级人员应通过6.8(1)和6.8(2)规定的各项检测的的考试。

6.9 补考

考试不合格者必须在30天后,或出具已经接受规定的补充训练的证明才能进行补考。

7 证书的颁发

7.1 各级无损检测人员的证书由III级人员和质保总监负责颁发。

7.2 无损检测人员的证书应根据实施细则第4、5、6节中的程序大纲规定的资格证明颁发。

7.3 检测人员的证书和培训记录应由技术档案室保存。

7.4 重新颁证

(1) 各个等级的无损检测人员均应定期地按下述条件之一重新签证:

(a) 连续工作良好的证明;

(b) 由III级无损检测人员决定,对6节规定的部分内容进行重新考核。

(2) 最长重新颁证周期为:

(a) I、II级:3年;

(b) III级:5年;

(3) III级人员或质保总监可随时对无损检测人员重新考核并决定他们的签证是延期还是撤消。

(4)所有无损检测人员,中断其相应的检测工作6月以上,须重新考核发证。

8 证书的终止

8.1 雇用关系终止时,证书即行失效。

表4.3 初次培训时间与人员经历要求

方法 等级 初次培训(小时) 工作经历(月)

高中毕业或有相等学历者 二年制理工科大学或技术学校毕业者

MT I

II 12

8 8

4 1

3

PT I

II 4

8 4

4 1

2

RT I

II 39

40 29

35 3

9

UT I

II 40

40 30

40 3

9

注:(1) 申请II级证书的人员应具有I级或相当于I级人员的工作经历。如不具备I级人员的经历而直接参加II级人员的资格鉴定,则对工作经历和培训时间的要求为对I级和II级人员要求的总和。

(2) 经历符合下列条件者可同时申请两种以上方法的资格证书:

(a) 申请资格证书的每种检测方法的工龄,不少于本人总工龄的25%。

(b) 按实施细则规定,其它经历(工龄)亦应与无损检测专业有关。

(3) 各项检测方法培训要点参照SNT-TC-IA TC-1,TC-2,TC-3,TC-4。

液体渗透检验规程

1 适用范围

1.1 本规程适用于探测非多孔性金属或其它材料表面开口缺陷。

1.2 本规程参照ASME第V卷和美国API6D-94规范制定。

2 人员资格

所有渗透检验人员均应按QCP01进行资格签定。

3 用作渗透检验材料型号

溶剂型渗透材料可用作检验,其硫含量残余物称重不超过1%,氯加氟含量残余物称重不超过1%。

渗透检验材料由HD-RS渗透剂、HD-BX清洗剂、HD¬-EV显像剂组成。

4 预处理

4.1 表面准备

一般来说,保持零件的焊接、滚轧、铸造或锻造后的状态,就可得到满意的结果。如果表面的高低不平有可能遮蔽某些不能允许的缺陷,则可以要求打磨、切削加工或其它的方法制备表面。

4.2 准备后的干燥

清洗后,需检验的表面应采用正常蒸发或适当的强制热空气或冷空气进行干燥。干燥的最少时间间隔应能保证在施加渗透剂之前使清洗溶剂全部蒸发掉。

4.3 检验温度

(1) 渗透剂和被检查的零件的表面温度在整个检查阶段中既不应低于60oF (16℃)也不应高于125 oF (52℃)。

(2) 如果检验不在这一温度限制范围内进行,其检验方法应予鉴定。鉴定方法参照ASME第V卷第六章T-653,用于“非标准温度时的方法”。

5 渗透检验

5.1 施加渗透剂

施加渗透剂可以采用浸渍、涂刷或喷涂等任何适当的方法。

5.2 渗透剂应在被检表面湿润保存至少10分钟或者通过验证作为特殊使用。

5.3 多余渗透剂的清除应先用布或湿纸揩去多余的溶剂清洗型渗透剂,要反复擦揩,直至绝大部分剩余的渗透剂被除去。再用溶剂润湿的布或吸湿纸轻擦揩表面,以除去残留的渗透剂痕迹。为了尽量避免将缺陷中的渗透剂清除掉,要注意防止使用过多的溶剂。施加渗透剂后用溶剂冲洗再显象是不允许的。

5.4 清除多余渗透剂后的干燥,可以用正常蒸发、吸干、擦以及强制通风等方法使表面干燥。

5.5 显像:施加显像剂应在清除多余的渗透剂之后尽快进行,涂敷厚度不够时可能不能吸出不连续性中的渗透剂,相反,涂敷厚度过大时也可能掩盖显示。

5.6 在7至30分钟内,应当作出最终判断。如果渗出过程并不改变检验的结果,允许有更长的判断时间。判断合格后,应用溶剂、抹布擦去残留渗透剂和显像剂。

5.7 着色渗透剂的显示迹像,可用自然白光,也可用人工白光进行检查。检查场所的光亮度不低于32.5ft烛光(350lx).

6 显示评定

6.1 显示是机械缺陷的证据,但只有尺寸大于1/16in的显示才计为缺陷。

6.2 线性显示是指长度大于宽度三倍的显示。

6.3 圆形显示是指长度等于或小于宽度三倍的圆形或椭圆形显示。

6.4 任何有问题或可疑的显示应重新检验,确定它们是否计为缺陷。

7 验收标准

7.1 所有被检验的表面不应有:

(1) 计为缺陷的线性显示。

(2) 大于3/16in计为缺陷的圆形显示。

(3) 在同一直线上有4个或更多相距等于或小于1/16in(边缘至边缘) 计为缺陷的圆形显示。

(4) 缺陷的显示可以大于引起显示的缺陷,然而,显示的尺寸是验收评定的基础。

7.2 返修复验应采用相同规程并采用相同标准验收。

8 报告

检验结果由I级人员填写渗透检验报告,II级人员审核。

磁粉检验规程

1. 适用范围

1.1 本规程适用于焊缝、金属材料的磁轭式磁粉检验。

1.2 本规程参照API 6D-94和ASME规范第VIII卷第一册和第V卷有关要求制定。

2. 人员资格

所有从事磁粉检验的人员均应按QCP06WP进行资格鉴定。

MT3 磁化方法与磁化电流

3.1磁轭法

(1) 应用

此方法只适用于探测零件表面上开口的缺陷

(2) 磁化方法

使用直流或交流的电磁磁轭,或永久磁轭。

(3) 磁轭的提升能力

(a) 磁轭的磁化力应至少每年或在磁轭损伤后校验一次。如果磁轭已一年或一年以上没有使用过,第一次使用前应校验磁化提升力。

(b) 当使用磁轭的磁化最大间距时,每个直流或永久磁铁磁轭至少应有40Ib的提升力。

(c) 加载的每一个称重应有标定,并在第一次使用前标上公称称量。如果材料损耗,则应再次称重校验

4. 磁化设备

4.1 所用设备应在最大间距时其直流或永久磁轭须具有至少40lb(18.1kg)的提升力。

4.2可使用A-4型磁粉探伤 仪。

5. 表面准备

5.1 一般来说焊接、滚轧、铸造后的表面已能获得良好的结果。但若表面凹凸不平以致能遮盖不连续性显示时,则应通过磨削或机械加工来制备表面。

5.2 在磁粉检验之前,被检验的表面及所有邻近至少1in (25.4mm)的区域内是干燥的,并且没有任何污垢、油脂、纤维屑、锈皮、焊剂和焊接飞溅、油或其它能妨碍检验的外来物。

5.3 可以使用去污剂、有机溶剂、除锈液、去漆剂、蒸汽除油、喷砂或超声波清洗等方法达到清洗的目的。

5.4 如果零件检查区域残留有涂覆盖层,必需证明整个存在最厚涂覆盖层的地方能够探伤显示。

6. 检验介质

6.1 检验介质使用湿粉。

6.2 所用湿粉,其颜色应与被检验表面有适当衬度。

6.3 磁悬液与零件表面湿度不应超过135oF(57℃)。

7. 检验方法

检验采用连续法,即在施加检验介质和去除多余检验介质的同时,保持所施加的磁化电流。

8. 检验

8.1 磁化方向

各区域至少应分别进行两次检验,第二次检验时的磁力线方向应与第一次检验所用的方向近似垂直。第二次的检验可使用不同的磁化方法。

8.2 检验的覆盖

所有的检验应在所要求的灵敏度下有足够的覆盖以保证100% 检验。

9. 退磁

当零件的残留磁性会干扰下道工序或使用时,检验后零件应及时作退磁处理。

9.1 退磁方法

(1) 从交流电线圈中撤出

最快和最课间的方法是将零件通过一个有高电流强度的交流电线圈,然后把零件缓慢地从线圈磁场中撤出。交流磁轭可以用于局部的退磁,即先把磁极放在表面,然后围绕此局部区域移动,在它仍然有电流的情况下缓慢地撤出交流磁轭。

(2) 交流电递减

使零件退磁的另一个替代方法是把零件置于磁场中同时逐渐地减少它的强度至所要求的程度。

(3) 直流电变换方向

被退磁的零件置于逐次变换方向并降低到所要求程度的直流电磁化磁场中。

10. 磁痕评定

10.1 只有尺寸大于1/6in的磁痕才计为缺陷。

(1) 线性磁痕是指长度大于宽度三倍的磁痕。

(2) 圆形磁痕是指长度等于或小于宽度三倍的椭圆形磁痕。

10.2 焊缝表面包括焊缝两侧各1/2in.(12.3mm)范围。

10.3 任何有问题或可疑的磁痕应重新检验,确定它是否是需考虑的。

11. 验收标准

所有被检验的表面不应有:

11.1 任何裂纹或线性磁痕。

11.2 在同一直线上有4个或更多个相等于或小于1/6in( 边缘至边缘)算做缺陷的圆形磁痕。

11.3 缺陷的磁痕可能大于引起磁痕的缺陷,然而,磁痕的尺寸是验收评定的基础。

11.4 返修复验应采用相同规程,并采用相同规程验收。

12. 报告

检验应符合本规程,检验结果由I级人员纪录在MT检验报告中,由II级人员审核。

0条大神的评论

发表评论