国际贸易促进委员会 实习报告.doc

-范文最新推荐- 国际贸易促进委员会 实习报告 实习报告 大学的最后一个暑假，我去了中国国际贸易促进委员会广州市分会实习，时间是从XX年7月11号到XX年7月30号结束。中国国际贸易促进委员会是由中国经济贸易界有代表性的人士、企业和团体组成的全国民间对外经贸组织，成立于1952年。中国国际贸易促进委员会简称中国贸促会，英文名称为：China Council for the Promotion of International Trade,英文缩写为CCPIT。中国贸促会的宗旨是：遵循中华人民共和国的法律和政府的政策，开展促进对外贸易、利用外资、引进外国先进技术及各种形式的中外经济技术合作等活动，促进中国同世界各国、各地区之间的贸易和经济关系的发展，增进中国同世界各国人民以及经贸之间的了解与友谊。广州贸促会按照中国国际贸易促进委员会章程的要求，紧密围绕广州经济发展和对外经济贸易工作的中心任务，形成了以会员、贸促系统及海外商协会为依托的资源优势，为实现市委、市政府提出的外向带动战略目标，积极开展对外联络、举办展览、组织出访、培训、出证认证和会员服务等贸促活动，充分发挥桥梁和纽带作用，当好政府外经贸工作的参谋助手，促进进出口贸易和招商引资，促进中外经济技术合作与交流，开展同世界各国，各地区的经贸交往。在中国国际贸易促进委员会广州市分会实习当中，我的工作路线是这样：7月11到7月14在办公室里整理资料，之后的四天里我连续参加了贸促会举办或者承办的经贸洽谈会的工作，然后就进入了正式的分配到各个部门的工作，我分配到交流中心，主要负责联系贸促会会员的工作。刚开始进入贸促会实习，由于负责我们实习分配工作的黄主任出差了，因此，我的工作比较轻松，还没有进入实际性的工作，主要是整理一下广州贸促会会员的资料，帮忙校验和查正，虽然工作比较简单，但我还是没有怠慢，不迟到，不早退，认真完成交代的任务，并利用这段时间，积极的了解一下贸促会的工作、各部门的具体任务，主动的和贸促会的工作人员打招呼，和他们建立了一定的关系，为后面的实习工作的顺利进行，打下了基础。整理资料的工作完成以后，我很有幸的遇上了广州贸促会举办的贸易洽谈会，第一个就是在花园酒店举行的第二届美国制造业代理商来华采购洽谈会，在这里，我有幸能够接触到全国各地的商家以及美国商业界代表，并亲身体会到了商贸洽谈的经过，了解到了举办一场洽谈会所需要投入的巨大的人力物力，以及统筹安排，就算一个小小的步骤也不能疏忽，大大的丰富了我的见识，开阔了我的视野，紧接着，我又参加了中澳工商界夜游珠江经贸交流活动，担任珠江夜游的助理翻译工作，经过初中、高中、以及大学的英语磨练，已经具有一定的交际能力，因此，这正是锻炼我的口语能力的大好机会，在游珠江的过程中，我积极主动的同外国的商人交谈，虽然只是简单的对话，但对于我来说已经是很难得的了。最后，是天津市来广州的招商会，在这里，我了解到了天津的发展状况，增加了我的知识。经过一系列的洽谈会以后，我被分配到了广州贸促会的交流中心部门，算是有了正式的工作了，交流中心的工作主要是联系国内的商家到国外去参展，增加出口的机会，而我的任务是协助交流中心的工作人员联系国内符合条件的厂商到印度尼西亚参展，每天都负责打电话给厂商向他们说明这个展览会的有关信息，尽力说服他们去参加并传真有关资料给他们，工作看似简单，其中却包含着许多的技术、技巧和道理，例如，如何将所要说明的信息通过电话简洁、准确、清晰的的表达出来，如何去引起厂商对这个展览会的兴趣并接受我们的资料等等，这都需要有一定的技巧，这也是我们市场营销所应该具有。实习期间，我利用此次难得的机会，努力工作，严格要求自己，准时上下班，虚心向贸促会的工作人员请教，认真学习，填补自己的不足，利用空余时间学习一些课本内容以外的相关知识，掌握了一些基本的技能，学会了人与人之间的沟通、为人处事和一些书本上学不到的专业知识等多方面的东西。从而进一步巩固自己所学到的知识，为以后真正走上工作岗位打下基础。    在短暂的实习过程中，我深深的感觉到自己所学知识的匮乏，感觉到自己的实际动手能力的差，在开始的一段时间里，对一些工作感到无从下手，茫然不知所措，虽然很认真的工作，但还是不能完成交代的任务，这让我感到非常的难过。在学校总以为自己学的不错，总是自以为是的觉的自己已经是大学生了，已经掌握了足够的知识，甚至有时候对自己的一些课程只是应付式的对待，六十分万岁的思想，但在实习过程中，真正的接触到实际的时候，才发现自己知道的是多么少，后悔自己为什么平时不认真的学习，这时才真正领悟到学无止境的含义，才认清自己在社会中所处的位置。才明白到了学习到的理论知识和实际运用还有一定的距离。面对自己知识的浅薄、阅历的欠缺、没有工作经验……我只有认真的学习知识来提高自己，充实自己。因为我清楚的看到，面对差距，我已经没有别的选择。 在实习的过程中，我深深的体会到策划的重要以及组织的严密，在第二届美国制造业代理商来华采购洽谈会还没有开始的时候，我了解到了，这个洽谈会从半年前就已经开始着手进行了，从联系国外的厂商和国内的厂商，到场地的选者、国内外厂商的食宿、人员的安排等一系列的问题，都有了很详细的策划和组织，每一步都有明确的安排，在洽谈会开始的时候，尽管有数十位的外国厂商和两百多的国内厂商参加，但工作却有条不絮的进行，没有显示出一点的混乱，这对于我来说是想都不能想象的，这对我以后的营销策划工作有很深刻的指导作用。通过这次实习，使我加深了对时间的理解，人们常说时间就是金钱，时间就是生命，但对我来说就不是这样，在我的脑海里存在的是，我除了时间就什么都没有，在实习的过程中我清楚的认识到时间的宝贵，贸促会的员工每天都紧张的工作着，特别是在组织洽谈会的时候，每一步都是非常的紧凑，所有的员工都要出动，这一步过去了，下一步就紧接着进行，似乎是多停留一分钟都不行，在洽谈会当中更是这样，每一批的厂商都有规定的时间和外国的厂商洽谈，就只有那么的半个钟左右，你必须争分夺秒的进行，如果你怠慢，错过了同你有潜力合作的厂商洽谈，你就可能失去了一个贸易合作伙伴，你损失的可能是几十万甚至可能是几百万，在这里真真正正的体现出时间就是金钱。这时刻的影响我必须认真的对待时间，抓住每一分钟，认真的学习更多的文化知识。在其他方面也使我受益菲浅，在交流中心工作期间，每天的工作都是打电话给国内的厂商，其中不免有许多厂商会把你拒绝于门外，经常会遇到一些啼笑皆非的回答，如：你好，这里是什么警察局又或者是我们的公司已经倒闭了我们没有产品，更有一些厂商态度非常的恶劣，使你的心理非常的难受，因此，你必须要有良好的心理承受能力，要耐心的听他们说，不能向他们发脾气，这些基本的技能也是我们市场营销者所必须具有的，对我以后的工作有一定的指导作用。    我觉得广州贸促会的优点很多，但在一些细小的方面还是出现了一些偏差。，以下是我对广州贸促会的一些建议：由于贸促会属于半政府的机构，因此，浪费是比较严重的，在实习期间，经常看到一大堆还没有使用过的纸张，就因为拿来了新的，就把它绞碎丢掉，有时候会觉得非常不解，不仅仅是这一方面，还有其它的也是这样，因此，建议贸促会能够制定一些措施，来纠正这些现象，还有在工作期间，我发现很多的员工都在玩游戏，这大大降低了工作的效率，建议能够制定一些处罚的规定，还有就是存在着有一定的虚假现象，在会员目录里面，有很多都是不存在的，但是由于这是上一任留下来的，如果你把它删了，就可能会得罪别人，也会因为现在的会员少了，证明你的工作做的没有上任那么好，也可能会受到一定的惩罚，因此，我建议贸促会能够有一些措施来纠正这方面的错误。总之，我个人认为，这次实习对于我是非常有意义的，对我个人的影响比较大，对我的成长更有莫大的帮助。使我在踏上社会之前更早的、更深入的认识社会。                                          广东工业大学                                        经济管理学院                                          市场营销（1）班                                          xxxxxxxxxx                                          XX年8月23日 关于三银龙公司的实践报告    为了响应学校的号召参加社会实践活动，随便也让自己的暑期生活变的丰富起来。所以决定利用我在学校学到的办公信息化知识到公司进行实习。我在北京三银龙科贸有限公司得到了7月份到8月份一个月的实习时间。现将此次实践活动的有关情况报告如下：在公司管理人员安排下，实习期间，我协助公司一名员工承担了以下工作：管理和维护公司主页，收发，制作各种文件资料，资料排版，打印文件等。通过这次的社会实践，我总结出以下几点比较深刻的体会：    第一点：真诚   你可以伪装你的面孔你的心，但绝不可以忽略真诚的力量。   第一天去公司实习，心里不可避免的有些疑惑和紧张：不知道要怎么去和那些比自己年龄大而且陌生的同事们相处和沟通，不知道公司分配给自己的任务能不能完成好？。就这么我带这种种疑问踏进了公司，只见有几张陌生的脸孔向我走过来。我丢下先前的紧张微笑着主动和他们打招呼。从那天起，我养成了一个习惯，每天早上见到同事们都要微笑的说声：早，那是我心底真诚的问候。我总觉得，经常有一些细微的东西容易被我们忽略，比如轻轻的一声问候，但它却表达了对同事对朋友的尊重关心，也让他人感觉到被重视与被关心。仅仅几天的时间，我就已经和同事们打成一片，能够很好的跟他们交流沟通学习，我想，应该是我的真诚，换得了同事们的信任。     第二点：沟通   要想在短暂的实习时间内，尽可能的多学会一些东西，这就需要能够跟同事们有很好的沟通，加深彼此的了解，刚到公司，同事们并不了解你的工作学习能力，不清楚你会做那些工作，不清楚你想了解的知识，所以跟同事们很好的沟通是很必要的。同时我觉得这也是我们将来走上社会的一把不可缺少的钥匙。通过沟通，同事们对我便有了大体上的了解，并能有针对性的教一些我所没有掌握的知识。 第三点：细心负责细心负责是做好每一件事情所必备的基本素质，基本的专业素养是前提。   实习期间，我承担了公司文件制作，排版打印，收发工作，这些工作与我所学习的专业发展方向是极其吻合的。公司的文件制作，排版打印属于一种变化很大的工作，常常即将按要求完成工作时，上头突然说资料有变，要从新制作，这样很容易打消人的积极性，但你必须要马上找回原先饱满的工作状态继续开始工作。收发时也是，你要保证你发的准确性，不能发错。又要保证在规定时间时发出，有时在这份还没发完，别的地方就传过来文件，会打断你的工作进度，而且你必须还要把对方传来的文件及时地送到上头手上。   所以说要想做好这些事情，不细心负责是很容易出现漏洞的。    第四点：主动出击   当你可以选择的时候，就一定要把主动权掌握在自己手中。   在公司的时候，我会主动地帮同事们做一些力所能及的事情，并且会积极地利用一些适当的时间，向同事们请教问题，闲暇的时候会和同事们坐在一起谈论生活学习以及未来的工作，通过这些让我和同事们走的更近了，在工作当中，同事们还耐心的教会了我一些平时在学校课本上学习不到的知识，通过知识的不断补充我的工作水平有了很大的提高。记得有一次公司里有一份紧急的文件需要加紧赶制，而且必须在客户坐飞机前送到他手中。为了让自己得到一次锻炼的机会，也为了让同事们对我这段时间的工作水平有一个新的认识。于是我就主动接下这个任务，并且在客户登上飞机前及时赶到了机场将文件送到客户手中。当我完成任务的那一瞬间我的心里感觉有一种说不出来的高兴和兴奋，正是因为我的主动，才让我能够学到更多的知识，并得到了同事们的认可。   第五点： 讲究条理如果你不想让自己在紧急的时候出现手忙脚乱的状况，就要养成讲究条理性的好习惯。   做什么事情都要有条理，这是同事给我的忠告   在公司，日常的文件材料很多，这就需要很有条理的去整理，以免用的时候毫无头绪的去找，不仅耽搁了时间，浪费了精力，还误了事情。在公司里，主任的桌子上总是收拾得井井有条。这一点对我感触很深，同时让我联想到在一本书上看到这么一个故事，一位在美国电视领域颇有成就的美籍华人当部门经理时，总裁惊讶于他每天都能把如山的信件处理完毕，而其他经理桌上总是乱糟糟堆满信件。他说，虽然每天信件很多，但我都按紧急性和重要性排序，再逐一处理。总裁于是把这种做法推广到全公司，整个公司的运作变得有序，效率也提高了。所以说：养成讲究条理的好习惯，能让我们在工作中受益匪浅。   我的实习生活虽然时间很短，但是给我的印象却是深刻的。学校的生涯和面向社会的工作是两个截然不同的部分，在这期间通过自身的努力和同事的帮助，使我获益颇丰，也让我懂得了很多道理。相信在毕业的道路上，我会以实习生活为前提，做的更加出色，更加完美。好了，以上就是我的一点体会。虽然短暂的实习生活结束了，但 我相信：大学因实习而完整，而大学生活却因实习而精彩。Go To Top！                        田龙哲                      XX年8月30日 专业实习报告871279 朱育民一、工作内容这学期跟李锡捷老师实习，参加的工作项目是信息安全组，因为平时较其它三位组员多接触UNIX-Like的环境，因此成为本组组长并协助联络事情。我们期初一开始便有正式的case接手，是一个韩国的骇客教育机构Hackerslab委托翻译他们的一份骇客教材。对于这方面，我们四人虽然很有兴趣，但是相关的技术背景都还嫌不够，因此做起来并不是很轻松，最常遇到的问题就是专业名词的查询与翻译，常常会有不知如何是好的窘境发生，幸好系上的学长大多能提供我们一些查询的方向，大部分的问题到最后还是能顺利完成，这样初期的翻译工作大约持续了一个多月后暂时结束。对外的case完成后，我们继续朝着信息安全相关的方向研究，主要是针对两个程序进行改进工作，一个为测试系统漏洞的Nessus，一个为侦测入侵系统Snort，至此小组里再以两人一组细分为Nessus组跟Snort组，各自进行测试工作。我所分配的是Nessus组，这是一种可以用来测试服务器有哪些网络漏洞的程序，由于采用Plug-ins的方式安装，因此可以随时安插新漏洞的测试Plug-ins，加上Nessus总部的CVS机制，只要你的Nessus系统有定期CVS更新，就能保持最新的完整漏洞测试。在业界杂志的评比里Nessus的评价甚至超越许多商用软件(Nessus是免费的)，但是他有个小缺点，就是有关漏洞测试报告的部分作的并不是十分完整，每支漏洞的测试回报完整与否，取决于Plug-ins作者是否有在写作Plug-ins加上完整的叙述与解决方案，问题是大部分的Plug-ins都只有程序代码，并没有对叙述及解决方式作批注说明，因此即使在使用Nessus测出系统的安全漏洞后，使用者必须在到网络上搜寻解决方法，这样作实在不是很便利，因此老师希望我们能对于Nessus的测试回报部分作改良，写出一个报告阅读程序，结合庞大的信息安全信息，让使用者能在检测出漏洞的同时，直接取得相关的信息和解决方案，便利系统管理者在改善本身系统安全的时效性。二、学习1.Free Hackers Zone这学期最早接触的学习环境，应该要算Hackerslab提供的一个骇客练习用工作站Free Hacker Zone。这是一台用Linux架起来的工作站，里面分将使用者分作level0到level14，每取得下依个等级的使用者权限，都有一个相对应的系统漏洞需要去破解，训练使用者在实作中了解骇客破解系统的方法，我一面翻该组织的FAQ，一面尝试错误，让我一路攻到level10，其中学习到的手法包括了使用者权限设定，寻找特定权限的档案，利用系统分隔符来欺骗系统，溢位攻击等等，然而在前进level11时，因为该漏洞必须自韩国本地进行破解，因此只好作罢，没能进一步继续。不过这个经验对于后来翻译Hackerslab的文件有的不少的助益!2.HackersLab教材翻译经过这段暖身后，我们正式接下Hackerslab文件翻译的工作，我负责的是Sniff(监听)与网页安全两份教材。在以太网络上，只要是同一个lan上的机器，都能收到在lan上传送的封包，系统核心会进行比对，如果该封包是属于自己的就继续处理，如果不是就忽略掉，而sniffing原理就是改变最后的步骤，将所有经过的封包，不管是否属于自己，全部抓进来记录。Sniffing的正面意义应该是用于处理观察网络流量状况，一旦网络出现异常时，可以藉由Sniffing来观察有哪些异常封包，帮助排除异常状况。至于窃取传送中的使用者账号跟密码，则是cracker的行为，这并非Sniffing的本意。对于区网内要如何避免被Sniff，最简单是在该区网内使用switch hub。跟hub不同的是，hub会将接收到的封包向所有连接的host传送出去，但switch本身具有MAC路由表的功能，可以记得哪一个MAC地址要从哪一个连接埠送出去，因此不会让不相关的host收到该封包，大大减少了被Sniff撷取封包的机会。另外一种作法是对于传送的封包均作加密处理，这样就算被他人撷取到封包，对方也很难将封包解密而还原成原本的样字加以解读。常见的加密方式例如: SSL(Secure Socket Layer)、PGP (Pretty Good Privacy)、SSH (Secure Shell)、VPN (Virtual Private Network)等等。Sniff完最重要的工作是分析抓到的封包，因此这里对于各种通讯协议的封包意义大致讲解过一遍，例如该封包的来源与目的地，长度，数据内容，CRC检查码等等。另外一个章节是有关网页安全，包含了浏览器跟服务器两部分，这里大多是讲述理论性质的部分。首先是有关网页服务器，对于crack的问题，最重要的还是管理者(administrator)的认知问题，只要对系统的安全性随时保持警觉，绝对能防止crack事件的发生。目前有关网络上的服务应用虽然对于ftp或e-mail，都有许多独立的应用程序可以利用(如cute-ftp或outlook)，但现在一般上网的使用者，仍有许多的机会直接使用网页来对ftp做存取跟收发e-mail，此外还有许许多多功能，也都被整合在网页浏览中，当网页服务器要兼任的服务越多，也就提供了更多让cracker入侵的机会，这是发展网页功能的同时必须付出的代价，因此，身为一个网页服务器的管理员，有责任负起保护自己服务器使用者的权益，对于安全性一定要随时保持高度的警觉性。尤其随着电子商务的发展，网页扮演的角色越来越吃重，在往夜间传递使用者信息的机会越来越多，更增加了安全性的顾虑，然而使用者多半对于这方面安全性问题不够警觉(甚至不了解严重性)，只要有cracker使用一些恶意或欺骗的applet或scripts，就有可能将使用者的信息窃取到手，也可以自远程将使用者的计算机加以控制甚至令其当机，使用者对于浏览网页时的安全比必须要比过去更加留意。常见的网页攻击模式包括：溢位攻击(buffer overflow) :顾名思义, 就是利用 buffer overflow 的原理达成目的的.比如, 一个数组只有 100 bytes, 但我喂给它 200 bytes 的数据,于是这个数组装不下这些数据, 造成了 overflow.为什么 overflow 会有 security hole 呢?首先, overflow 发生时, 多出来的数据会盖到其它变量上,相信这一点大家早就知道了。问题是, 为什么数据盖到其它变量上时, 顶多使程序执行错误,会严重到出现 security 的问题吗? 这时, 好玩的事情就发生了.当我们呼叫一个 function 时, 以汇编语言的观点,会将 return address 堆入 stack 中。如果这个 function 宣告了一些 local 变量,那进入这个 function 之后, 会在 stack 中再空出一块区域给这些 local 变量,当要从这个 function return 回去时, 就把这些在 stack 中的 local 变数清掉。现在好了, buffer overflow security hole 就是在这里发生了.如果有某个 function 宣告了一个 local array, 如: int func() int i, j, k; char buf16; struct abc *x, *y, *z; . . .这样就很明显了, 如果在这个 function 内有了 bug, 忘记去控制数据喂给 buf 的长度,当数据喂长一点, 就可以盖到这个function 的 return address指到自己所喂进去的 code 上 这时, function 执行完毕, 要 return 时, 它就不会 return 到原来呼叫它的地方, 而会 “return” 到我所喂进去的那些 code，这么一来入侵者就可以为所欲为了! Denial of Service ( DoS ，阻断服务攻击) :所谓阻断服务攻击，是攻击者利用受害者的操作系统、网络应用程序(服务)或网络通讯协议的漏洞来攻击受害者，促使目标主机的系统或服务发生瘫痪的情况，可能造成系统资源耗尽、引响正常联机品质、网络频宽被占满、网络应用程序(服务)停止运作、系统当机等情形，使正当的使用者无法正常使用该主机所提供的服务。另一种情况是系统管理者为了测试目的尝试对自己主机展开攻击，测试操作系统或是网络应用程序(服务)中是否含有可能被攻击的漏洞存在。像立骇科技(HackersLab)的入侵测试(Penetration Test)、卫道科技的网络安全漏空扫瞄仪(NAI CyberCop Scanner)都可针对企业内的操作系统、网络甚至数据库做健康检查，其它DoS的攻击都是不合法的，而且动机通常出自恶意。Distributed Denial of Service(DDoS，分布式阻断服务攻击):所谓分布式阻断服务攻击，是运用在于受害者的系统资源、网络频宽条件都比攻击者来的好，如果攻击者想一对一的攻击被害者，可能会失败甚至导致自己的系统或网络瘫痪，所以采取一对多的攻击方式，攻击者先在一些防备较弱的主机中种植攻击程序。随后攻击者对各主机中的的攻击程序发出攻击命令，要求对目标主机发出庞大数量且多种的封包，庞大的数据量会瘫痪目标主机而使得无法正常提供服务。DDoS不但可以提高成功率，还可以缩短攻击的时间及减少被发现的机会。以目前骇客的行径而言，大多比较倾向于使用威力强大的DDoS攻击，尤其是针对规模大的网站时。 CGI : 一种让网页执行外部程序的一种接口，正因为如此，只要权限或设定有问题，或程序编写有问题，很容易成为cracker入侵系统的快捷方式。自动目录列表 : 取得网页跟目录下的档案列表将使得cracker清楚知道该网站结构，很容易便能发觉后门所在甚至下载有问题的程序代码回去破解分析，对于入侵更为容易使用者认证的攻击 : 利用一账号文件跟密码字典文件的配合，强制通过网页认证的一种手法。3. NessusNessus官方网站，目前最新释出的版本为1.0.8，是一种用来侦测网络服务器或工作站的网络漏洞的工具。这套侦测系统是Client-Server的方式运作，服务器端包括了使用者账号的管理以及各种漏洞测试的Plug-ins，而Client则利用服务器端所提供的各种Plug-ins来测试工作站或服务器并产生报告，报告的格式包括了HTML、XML、NSR(Nessus本身的存档格式) 、TXT、TEX(LaTex格式)。其Plug-ins自有一套语法叫做NASL(Nessus Attack Scripts Language)，可以自订对特定的连接埠进行封包测试，藉以判断是否为漏洞(早期使用C语言来作为Plug-ins的语法，但以被淘汰) 一、安装安装的方式分为Server跟Client两部分。首先Server必须安装在UNIX环境下，(已试过FreeBSD : ports安装 跟Linux : rpm安装)这部分没有什么问题，装下去就对了，接下来必须安装Plug-ins(若是不装Plug-ins，Nessus什么也不会测)，Plug-ins可以选择一个一个下载后拷到指定目录即可，不过正确的作法应该是使用CVS的方式来维护更新Plug-ins的版本。CVS系统又分作CURRENT跟STABLE两种，STABLE版本但讲究稳定，许多新释出的Plug-ins并没有包括在里面，而CURRENT虽然有最新的Plug-ins，但测试不见得稳定正确，有可能将你的受测工作站或服务器损害，因此要使用那个版本请自行斟酌。安装方式如下:1. 设定环境变量$ export CVSROOT=“:pserver:anonymouscvs.nessus.org:/usr/local/cvs”2. 登入CVS系统 密码为 “ anon” ，只有第一次登入会需要密码，以后会自动记载你系统的某一个地方$ cvs login3-1. 如果要抓取Nessus程序STABLE版本$ cvs -z3 checkout -rNESSUS_1_0 nessus-libraries $ cvs -z3 checkout -rNESSUS_1_0 libnasl $ cvs -z3 checkout -rNESSUS_1_0 nessus-core $ cvs -z3 checkout -rNESSUS_1_0 nessus-plugins 3-2. 如果要抓取Nessus程序CURRENT版本$ cvs -z3 checkout nessus-libraries $ cvs -z3 checkout libnasl $ cvs -z3 checkout nessus-core $ cvs -z3 checkout nessus-plugins4. 以后要检查更新部分时只要打$ cvs -z3 update -P nessus-libraries $ cvs -z3 update -P libnasl $ cvs -z3 update -P nessus-core $ cvs -z3 update -P nessus-plugins完成!Nessus是一套强大的漏洞测试工具，但是对于他产生的报告不够完整是它的一大致命伤，目前他所采行的方法是把漏洞报告及修补漏洞的方法写死在Plug-ins里，但并不是每一个Plug-ins撰写者都有写上修补方式这部分的说明，因此我们的目的是写一个Report Reader来读取Nessus所产生的报告并自动补上漏洞相关的网址(报告格式为HTML或XML)，补强的方式是连结CERT的搜寻器来产生，目前遇到的问题在于我们要选择哪一种语法来写这支Report Reader的程序(VB除外)，也使我们的研究主题由Nessus暂时转到了程序语言的部分，因此Nessus暂时在此打住4.Scripts Language 截至目前为止，我们尝试过的语言Tcl、Perl、Python都是属于Scripting Languages，他们跟C或JAVA这种system programming languages有很大的差异。SL 会有一组派得上用场的组件 (component) ，用别的语言写成。SL 不会从头开始，而是结合已经写好的组件。比方说，Tcl 跟 Visual Basic 可以用来管理使用者接口组件，而 Unix shell script 可以把组件当作 “filter” ，来组成一条 “生产线” ，制造所要的信息。 SL 可以用来扩展已经存在组件的功能，而很少用来发展复杂的数据结构、算法。这些东西应该由组件提供。因此，SL 常被称为 “黏接语言” 或者 “系统整合语言”。为了简化组合组件的工作，SL通常没有型态。所有东西看起来，用起来都一样，也可以交换着用。比方说，在Tcl 或 VB 中，同一个变量既能存字符串，又能存整数。而程序代码跟数据可以互通，因此能够在线产生新程序。由此可以看到SL 对于文字数据的处理蛮擅长的。V像这样无型态的语言更容易结合组件。因为它并不对 “东西该如何使用” 做任何限制。组件会怎么用，搞不好连原先的设计者都不清楚。换句话说，组件的使用是有弹性的，不同状况下有不同用法。对于Scripts Language有点概念以后，我们决定选取Perl跟Python两方面进行，以Tk模块作图形化接口，正在钻研当中，目前以Perl/Tk较有进度(简清岱主打)(因为有花钱买书没钱: )，Python相关书籍也将入手，目前找到的文件教学，主要都以数学运算的应用为例子(Python的数学函式支持很丰富，一进Python的console下就可以当成一台超强的计算器来用了)，近程阶段目标是写出图形化的小算盘出来。目前语言学习部分到此为止 三、自我评估及心得感想 对于这学期的实习成果，自己感觉并不是很满意，因为一开始的Hackerslab最近产生新的问题，必须要整份重弄，令人感到有点恐惧。再者，由Nessus延伸出来的Scripts Language学习，也是没有突破性的进度，最近即将面对的新挑战-PDA程序设计比赛，更因为各种原因而迟迟没犯法开始进行进一步的讨论与动作，整体来说，给自己打50的不及格分数 感想方面，真的觉得专业实习压力比课业还来得大，尤其是每个礼拜都会有的meeting，看到大家每次meeting都跟上衣次比有所进步的样子，就更感到压力，总觉得自己还要在多学习才不会被别人赶过去。 四、对系上的建议 以往听学长姐的经验，对于专业实习期望颇高，总觉得能因为专业实习对于自己的实力大大提升，但是这一届校内专业实习的人数超越以往，而就我所认识的校内实习同学们，大多数都是虚晃一学期，因此建议对校内实习的人数能有所限制，另外，对于郭姐对实习相关的讯息一而再再而三的提醒表示感谢! 19 / 20