【安全】Web渗透测试(全流程)
1 信息收集
1.1 域名、IP、端口
- 域名信息查询:信息可用于后续渗透
- IP信息查询:确认域名对应IP,确认IP是否真实,确认通信是否正常
- 端口信息查询:NMap扫描,确认开放端口
如果不会用Nmap,看这里:NMAP 基础教程(功能介绍,安装,使用)
发现:一共开放两个端口,80为web访问端口,3389为windows远程登陆端口,嘿嘿嘿,试一下
发现:是Windows Server 2003系统,OK,到此为止。
1.2 指纹识别
指纹?其实就是网站的信息。比如通过可以访问的资源,如网站首页,查看源代码:
- 看看是否存在文件遍历的漏洞(如图片路径,再通过../遍历文件)
- 是否使用了存在漏洞的框架(如果没有现成的就自己挖)
2 漏洞扫描
2.1 主机扫描
- Nessus
如果不会用Nessus,看这里:【工具-Nessus】Nessus的安装与使用
经典主机漏扫工具,看看有没有CVE漏洞:
2.2 Web扫描
- AWVS(Acunetix | Website Security Scanner)扫描器
如果不会用AWVS,看这里:【工具-AWVS】AWVS安装与使用
PS:扫描器可能会对网站构成伤害,小心谨慎使用。
3 渗透测试
涉及工具的学习:
DVWA:【工具-BurpSuite】BurpSuite专业版 安装和使用
Burp Suite:【工具-DVWA】DVWA的安装和使用
3.1 弱口令漏洞
- 漏洞描述
目标网站管理入口(或数据库等组件的外部连接)使用了容易被猜测的简单字符口令、或者是默认系统账号口令。
- 渗透测试
- 如果不存在验证码,则直接使用相对应的弱口令字典使用burpsuite 进行爆破
- 如果存在验证码,则看验证码是否存在绕过、以及看验证码是否容易识别
示例:DVWA渗透系列一:Brute Force;DVWA渗透系列六:Insecure CAPTCHA
- 风险评级:高风险
- 安全建议
- 默认口令以及修改口令都应保证复杂度,比如:大小写字母与数字或特殊字符的组合,口令长度不小于8位等
- 定期检查和更换网站管理口令
3.2 文件下载(目录浏览)漏洞
- 漏洞描述
一些网站由于业务需求,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意的文件,可以是源代码文件、敏感文件等。
- 渗透测试
- 查找可能存在文件包含的漏洞点,比如js,css等页面代码路径
- 看看有没有文件上传访问的功能
- 采用../来测试能否夸目录访问文件
示例:DVWA渗透系列四:File Inclusion
- 风险评级:高风险
- 安全建议
- 采用白名单机制限制服务器目录的访问,以及可以访问的文件类型(小心被绕过)
- 过滤【./】等特殊字符
- 采用文件流的访问返回上传文件(如用户头像),不要通过真实的网站路径。
示例:tomcat,默认关闭路径浏览的功能:
<param-name>listings</param-name>
<param-value>false</param-value>
3.3 任意文件上传漏洞
- 漏洞描述
目标网站允许用户向网站直接上传文件,但未对所上传文件的类型和内容进行严格的过滤。
- 渗透测试
- 收集网站信息,判断使用的语言(PHP,ASP,JSP)
- 过滤规则绕过方法:文件上传绕过技巧
- 风险评级:高风险
- 安全建议
- 对上传文件做有效文件类型判断,采用白名单控制的方法,开放只允许上传的文件型式;
- 文件类型判断,应对上传文件的后缀、文件头、图片类的预览图等做检测来判断文件类型,同时注意重命名(Md5加密)上传文件的文件名避免攻击者利用WEB服务的缺陷构造畸形文件名实现攻击目的;
- 禁止上传目录有执行权限;
- 使用随机数改写文件名和文件路径,使得用户不能轻易访问自己上传的文件。
3.4 命令注入漏洞
- 漏洞描述
目标网站未对用户输入的字符进行特殊字符过滤或合法性校验,允许用户输入特殊语句,导致各种调用系统命令的web应用,会被攻击者通过命令拼接、绕过黑名单等方式,在服务端运行恶意的系统命令。
- 渗透测试
示例:DVWA渗透系列二:Command Injection
- 风险评级:高风险
- 安全建议
- 拒绝使用拼接语句的方式进行参数传递;
- 尽量使用白名单的方式(首选方式);
- 过滤危险方法、特殊字符,如:【|】【&】【;】【'】【"】等
3.5 SQL注入漏洞
- 漏洞描述
目标网站未对用户输入的字符进行特殊字符过滤或合法性校验,允许用户输入特殊语句查询后台数据库相关信息
- 渗透测试
- 手动测试,判断是否存在SQL注入,判断是字符型还是数字型,是否需要盲注
- 工具测试,使用sqlmap等工具进行辅助测试
示例:DVWA渗透系列七:SQL Injection;DVWA渗透系列八:SQL Injection(Blind)
- 风险评级:高风险
- 安全建议
- 防范SQL注入攻击的最佳方式就是将查询的逻辑与其数据分隔,如Java的预处理,PHP的PDO
- 拒绝使用拼接SQL的方式
3.6 跨站脚本漏洞
- 漏洞描述
当应用程序的网页中包含不受信任的、未经恰当验证或转义的数据时,或者使用可以创建 HTML或JavaScript 的浏览器 API 更新现有的网页时,就会出现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本,并劫持用户会话、破坏网站或将用户重定向到恶意站点。
三种XSS漏洞:
- 存储型:用户输入的信息被持久化,并能够在页面显示的功能,都可能存在存储型XSS,例如用户留言、个人信息修改等。
- 反射型:URL参数需要在页面显示的功能都可能存在反射型跨站脚本攻击,例如站内搜索、查询功能。
- DOM型:涉及DOM对象的页面程序,包括:document.URL、document.location、document.referrer、window.location等
- 渗透测试
示例:
- 存储型:DVWA渗透系列十二:XSS(Stored)
- 反射型:DVWA渗透系列十一:XSS(Reflect)
- DOM型:DVWA渗透系列十:XSS(DOM)
- 风险评级:高风险
- 安全建议
- 不信任用户提交的任何内容,对用户输入的内容,在后台都需要进行长度检查,并且对【<】【>】【"】【'】【&】等字符做过滤
- 任何内容返回到页面显示之前都必须加以html编码,即将【<】【>】【"】【'】【&】进行转义。
3.7 跨站请求伪造漏洞
- 漏洞描述
CSRF,全称为Cross-Site Request Forgery,跨站请求伪造,是一种网络攻击方式,它可以在用户毫不知情的情况下,以用户的名义伪造请求发送给被攻击站点,从而在未授权的情况下进行权限保护内的操作,如修改密码,转账等。
- 渗透测试
示例:DVWA渗透系列三:CSRF
- 风险评级:中风险(如果相关业务极其重要,则为高风险)
- 安全建议
- 使用一次性令牌:用户登录后产生随机token并赋值给页面中的某个Hidden标签,提交表单时候,同时提交这个Hidden标签并验证,验证后重新产生新的token,并赋值给hidden标签;
- 适当场景添加验证码输入:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串;
- 请求头Referer效验,url请求是否前部匹配Http(s)://ServerHost
- 关键信息输入确认提交信息的用户身份是否合法,比如修改密码一定要提供原密码输入
- 用户自身可以通过在浏览其它站点前登出站点或者在浏览器会话结束后清理浏览器的cookie;
3.8 内部后台地址暴露
- 漏洞描述
一些仅被内部访问的地址,对外部暴露了,如:管理员登陆页面;系统监控页面;API接口描述页面等,这些会导致信息泄露,后台登陆等地址还可能被爆破。
- 渗透测试
- 通过常用的地址进行探测,如login.html,manager.html,api.html等;
- 可以借用burpsuite和常规页面地址字典,进行扫描探测
- 风险评级:中风险
- 安全建议
- 禁止外网访问后台地址;
- 使用非常规路径(如对md5加密)。
3.9 信息泄露漏洞
- 漏洞描述
- 备份信息泄露:目标网站未及时删除编辑器或者人员在编辑文件时,产生的临时文件,或者相关备份信息未及时删除导致信息泄露。
- 测试页面信息泄露:测试界面未及时删除,导致测试界面暴露,被他人访问。
- 源码信息泄露:目标网站文件访问控制设置不当,WEB服务器开启源码下载功能,允许用户访问网站源码。
- 错误信息泄露:目标网站WEB程序和服务器未屏蔽错误信息回显,页面含有CGI处理错误的代码级别的详细信息,例如SQL语句执行错误原因,PHP的错误行数等。
- 接口信息泄露:目标网站接口访问控制不严,导致网站内部敏感信息泄露。
- 渗透测试
备份信息泄露、测试页面信息泄露、源码信息泄露,测试方法:使用字典,爆破相关目录,看是否存在相关敏感文件
错误信息泄露,测试方法:发送畸形的数据报文、非正常的报文进行探测,看是否对错误参数处理妥当。
接口信息泄露漏洞,测试方法:使用爬虫或者扫描器爬取获取接口相关信息,看目标网站对接口权限是否合理
- 风险评级:一般为中风险,如果源码大量泄漏或大量客户敏感信息泄露。
- 安全建议
- 备份信息泄露漏洞:删除相关备份信息,做好权限控制
- 测试页面信息泄露漏洞:删除相关测试界面,做好权限控制
- 源码信息泄露漏洞:做好权限控制
- 错误信息泄露漏洞:将错误信息对用户透明化,在CGI处理错误后可以返回友好的提示语以及返回码。但是不可以提示用户出错的代码级别的详细原因
- 接口信息泄露漏洞:对接口访问权限严格控制
3.10 失效的身份认证
- 漏洞描述
通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌, 或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。
- 渗透测试
- 在登陆前后观察,前端提交信息中,随机变化的数据,总有与当前已登陆用户进行绑定的会话唯一标识,常见如cookie
- 一般现在网站没有那种简单可破解的标识,但是如果是跨站认证,单点登录场景中,可能为了开发方便而简化了身份认证
示例:DVWA渗透系列九:Weak Session IDs
- 风险评级:高风险
- 安全建议
- 使用强身份识别,不使用简单弱加密方式进行身份识别;
- 服务器端使用安全的会话管理器,在登录后生成高度复杂的新随机会话ID。会话ID不能在URL中,可以安全地存储,在登出、闲置超时后使其失效。
3.11 失效的访问控制
- 漏洞描述
未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据,例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。
- 渗透测试
- 登入后,通过burpsuite 抓取相关url 链接,获取到url 链接之后,在另一个浏览器打开相关链接,看能够通过另一个未登入的浏览器直接访问该功能点。
- 使用A用户登陆,然后在另一个浏览器使用B用户登陆,使用B访问A独有的功能,看能否访问。
- 风险评级:高风险
- 安全建议
- 除公有资源外,默认情况下拒绝访问非本人所有的私有资源;
- 对API和控制器的访问进行速率限制,以最大限度地降低自动化攻击工具的危害;
- 当用户注销后,服务器上的Cookie,JWT等令牌应失效;
- 对每一个业务请求,都进行权限校验。
3.12 安全配置错误
- 漏洞描述
应用程序缺少适当的安全加固,或者云服务的权限配置错误。
- 应用程序启用或安装了不必要的功能(例如:不必要的端口、服务、网页、帐户或权限)。
- 默认帐户的密码仍然可用且没有更改。
- 错误处理机制向用户披露堆栈跟踪或其他大量错误信息。
- 对于更新的系统,禁用或不安全地配置最新的安全功能。
- 应用程序服务器、应用程序框架(如:Struts、Spring、ASP.NET)、库文件、数据库等没有进行相关安全配置。
- 渗透测试
- 先对应用指纹等进行信息搜集,然后针对搜集的信息,看相关应用默认配置是否有更改,是否有加固过;端口开放情况,是否开放了多余的端口;
- 风险评级:中风险
- 安全建议
搭建最小化平台,该平台不包含任何不必要的功能、组件、文档和示例。移除或不安装不适用的功能和框架。 在所有环境中按照标准的加固流程进行正确安全配置。
3.13 使用含有已知漏洞的组件
- 漏洞描述
使用了不再支持或者过时的组件。这包括:OS、Web服务器、应用程序服务器、数据库管理系统(DBMS)、应用程序、API和所有的组件、运行环境和库。
- 渗透测试
- 根据前期信息搜集的信息,查看相关组件的版本,看是否使用了不在支持或者过时的组件。一般来说,信息搜集,可通过http返回头、相关错误信息、应用指纹、端口探测(Nmap)等手段搜集。
- Nmap等工具也可以用于获取操作系统版本信息
- 通过CVE,CNVD等平台可以获取当前组件版本是否存在漏洞
- 风险评级:按照存在漏洞的组件的安全风险值判定当前风险。
- 安全建议
- 移除不使用的依赖、不需要的功能、组件、文件和文档;
- 仅从官方渠道安全的获取组件(尽量保证是最新版本),并使用签名机制来降低组件被篡改或加入恶意漏洞的风险;
- 监控那些不再维护或者不发布安全补丁的库和组件。如果不能打补丁,可以考虑部署虚拟补丁来监控、检测或保护。
3.14 业务逻辑漏洞
见:Web应用常见业务逻辑漏洞
爱家人,爱生活,爱设计,爱编程,拥抱精彩人生!
如若内容造成侵权/违法违规/事实不符,请联系编程学习网邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
相关文章
- centos7如何安装w3m
1.安装epel扩展源: yum -y install epel-release 2.更新完成之后,就可安装 yum -y install w3m...
2024/5/8 22:48:43 - Win2008 R2 RemoteApp深度体验之五,远程桌面Web访问
远程桌面Web访问<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />我们在之前的文章中实现了RemoteApp服务器的部署,配置及测试。RemoteApp服务器使用的协议是大家非常熟悉的RDP协议,RDP协议使用的是3389端口。一般情况下在内…...
2024/5/8 14:12:01 - 手动脱壳—dump与重建输入表(转)
文章中用到的demo下载地址: http://download.csdn.net/detail/ccnyou/4540254 附件中包含demo以及文章word原稿 用到工具: Ollydbg LordPE ImportREC 这些工具请自行下载准备Dump原理这里也不多做描述,想要了解google it!常见的dump软件有LordPE,ProcDump,PETools等本文以…...
2024/4/21 11:22:46 - kali2020.1a安装w3af
安装w3af 安装全程建议科学上网 一、 本次安装环境 Linux kali 5.4.0-kali4-amd64 #1 SMP Debian 5.4.19-1kali1 (2020-02-17) x86_64 GNU/Linux二、 安装python包管理环境 apt install python-pip 三、 安装NPM包管理工具 apt install npm libyaml-dev libsqlite3-dev 四、 补…...
2024/4/21 11:22:45 - Ollydbg手动脱壳得几点小结,转自www.pediy.com
标 题:Ollydbg手动脱壳得几点小结 (4千字)发信人: sxssl[BCG]时 间: 2003-5-4 22:21:32详细信息:Ollydbg手动脱壳得几点小结: 引子:2002.5.5是我有生以来最最黑暗的日子,那段时间我正当高三班主任而且5月份已临近高考,学生很需要我,我正带着高三4个班的课,没人能顶替 我…...
2024/4/21 11:22:44 - 远程计算机或设备将不接受连接,IE无法上网
遇到一个奇葩问题,IE浏览器突然不能上网了(连带着OA不能登录),但是其他浏览器可以,QQ什么的也都正常,只有IE是出现:远程计算机或设备将不接受连接 这个问题,网上找了很多答案都没用,什么设置WINS,允许远程访问,取消internet代理统统都试过了。最后的解决办法是:1.win…...
2024/5/8 13:52:13 - CSS W3C 统一验证工具
CSS W3C 统一验证工具 CssStats 是一个在线的 CSS 代码分析工具 网址是: http://www.cssstats.com/ W3C 统一验证工具: http://validator.w3.org/unicorn/ 它可以检测本地文件!! http://tool.chinaz.com/Tools/CssFormat.aspx css 代码压缩...
2024/4/21 11:22:41 - EnCryPtPE 2003.5.18主程序的脱壳
【目 标】:EnCryPtPE 2003.5.18主程序【工 具】:Olydbg1.1(diy版)、LORDPE、ImportREC1.6F【任 务】:脱马甲【操作平台】:Windows Xp sp1【作 者】:loveboom[DFCG][FCG][US]【简要说明】:不打算发布出去,只是当做自己以后参考用而已【详细过程】:设置:忽略全部异常,其它…...
2024/4/29 23:58:53 - Windows Server 2008 RemoteApp(五)---远程桌面Web访问
在一般情况下,我们是通过客户端上的远程桌面连接器连接到远程桌面服务器,使用的端口默认是3389,但企业内部服务器的3389端口往往是不会在防火墙上对外部开放的,这时就要考虑另一种访问方法,通过部署远程桌面Web访问,使客户端可以通过http协议来访问到远程桌面和RemoteApp…...
2024/5/9 0:13:53 - 解决w3wp.exe占用CPU和内存问题
在WINDOWS2003+IIS6下,经常出现w3wp的内存占用不能及时释放,从而导致服务器响应速度很慢。今天研究了一下,可以做以下配置:1、在IIS中对每个网站进行单独的应用程序池配置。即互相之间不影响。2、设置应用程序池的回收时间,默认为1720小时,可以根据情况修改。同时,设置同…...
2024/4/21 11:22:38 - 星外虚拟主机提权拿服务器
星外虚拟主机提权拿服务器 2011-04-24 12:37星外虚拟主机提权拿服务器 本次是对自己的IDC服务器的一次友情检测。 本来服务器就已经拿了N次了。漏洞一直都放在那里。 结果总有人拿到权限就炫耀。至于吗、?我本来就打算去换空间去了。 (还有仇家格我站,技术差我还不说什么…...
2024/4/21 11:22:37 - exe重定位清除,主要让WIN7的动态基址不起作用
若EXE有重定位表,在属性里将重定位已分离勾上,同时将重定位表的数值清零,OK,WIN7再也不用将EXE动态基址了。爽.原文在看雪:标 题: 【原创】【脱壳修复】win7下简单处理重定位表作 者: xhbuming时 间: 2015-04-23,15:14:40链 接: http://bbs.pediy.com/showthread.php?t=1…...
2024/4/21 11:22:37 - 堡垒机银行行业设计方案
1 文档说明 1.1 麒麟开源堡垒机方案概述 随着银行范围和营业网点的不断延伸扩大,各类特色业务系统和基础网络设备随之上线运行,切实有效的保障了各分行业务的稳定性、安全性和灵活性。但与此同时,随着业务系统应用范围越来越广、数据越来越多,所需日常维护的系统和设备也在…...
2024/4/21 11:22:35 - UPX脱壳源码探寻-待发表
对UPX ELF -d逻辑的探寻试验以下内容: 1. 未加壳程序的报错 2. 其他壳程序的报错 3. 归纳壳程序特征 4. 评估壳体关键判断特征的修改对正常运行的影响 5. 测试可用特征在引擎源码中能否修改,是否可使用修改版源码来达到万能脱壳的目的?-d操作材料结果未保护ELF程序普通…...
2024/4/21 11:22:34 - win2003+iis6.0环境下w3wp.exe占用过高的解决方案
前段时间,朋友的服务器出现w3wp.exe进程一直处在80%至90%左右,严重影响其它用户网站的访问效率。顺便说一下,朋友的服务器为Win2003系统,大约有约100左右个网站。出现这样的问题,只有找到对应的网站,并检查是否被挂马。在此记录一下解决这次事件的过程。 因为朋友的服务器…...
2024/4/21 11:22:34 - 3个脱壳相关的重要函数介绍
标 题: 【翻译】3个脱壳相关的重要函数介绍作 者: qduwg时 间: 2006-01-09,22:06链 接: http://bbs.pediy.com/showthread.php?threadid=20230脱壳相关的重要函数介绍【QduWg】翻译声明:本人翻译此类文章,原来是为了自己阅读方便,想到其他人可能也需要,不过E文可能比较难理…...
2024/4/20 17:08:17 - w3wp.exe - 应用程序错误 应用程序发生异常
w3wp.exe - 应用程序错误 应用程序发生异常应用程序发生异常 未知的软件异常 (0xc06d007e),位置为 0x7c815e02 环境是:2003 + sp1 + ie6 + Framework 2.0 + vs 2005 在vs 里面调试没有问题,发布网站以后在iis上运行报错,找不到…...
2024/4/23 12:12:07 - WEB渗透之对于开了3389远程连接不上的总结
对于开了3389,连接不上,有几个方面的原因,我来总结下,哇咔咔,这几天提好几台服务器都TM这样,分析下, 原因1、远程桌面端口被更改。2、对方服务器处于内网。 3、防火墙拦截。4、TCP/IP安全限制。 好了,知道原因了,我们来一个一个思考解决方法(部分引用): 远程桌面端…...
2024/4/25 12:21:28 - 手工脱壳之 FSG压缩壳【IAT反修复】
一、工具及壳介绍 使用工具:Ollydbg,PEID,ImportREC,LoadPE FSG壳 2.0: 二、脱壳 1、追踪 修复IAT表代码 入口处,没有pushad特征,无法使用ESP定律。 查看导入表信息。 推测壳利用LoadLibrary 和 GetProcAddress 修复exe IAT表。 下API断点。 小技巧,Alt + F9 返回用…...
2024/4/20 17:08:13 - Win2008 R2 WEB 服务器安全设置指南之修改3389端口与更新补丁
这篇文章主要介绍了Win2008 R2 WEB 服务器安全设置指南之修改3389端口与更新补丁,需要的朋友可以参考下 3389端口是指windows系统中的远程桌面端口,可以使用它本管理远程计算机,就像操作本地的电脑一样,但是也容易被一些黑客利用,所以对于这个端口我必须要修改,且必须在安…...
2024/5/4 19:19:53
最新文章
- CentOs9编译C指令报错的一种解决方案
今天使用centos9编译c代码时,显示bash: gcc: command not found... 下图是我的报错页面,依据提示信息安装gcc之后依旧显示失败 找到其中一种解决方式,完美解决,供参考 输入以下指令更新软件包列表,这里需要等待几分…...
2024/5/9 0:41:04 - 梯度消失和梯度爆炸的一些处理方法
在这里是记录一下梯度消失或梯度爆炸的一些处理技巧。全当学习总结了如有错误还请留言,在此感激不尽。 权重和梯度的更新公式如下: w w − η ⋅ ∇ w w w - \eta \cdot \nabla w ww−η⋅∇w 个人通俗的理解梯度消失就是网络模型在反向求导的时候出…...
2024/5/7 10:36:02 - JRT高效率开发
得益于前期的基础投入,借助代码生成的加持,本来计划用一周实现质控物维护界面,实际用来四小时左右完成质控物维护主体,效率大大超过预期。 JRT从设计之初就是为了证明Spring打包模式不适合软件服务模式,觉得Spring打包…...
2024/5/8 15:11:39 - CTK插件框架学习-事件监听(04)
CTK插件框架学习-插件注册调用(03)https://mp.csdn.net/mp_blog/creation/editor/136989802 一、主要流程 发送者注册消息事件接收者订阅消息事件接收者相应消息事件 事件监听比插件接口调用耦合性更弱,事件由框架维护,不需要指定发送方和接收方 二、…...
2024/5/6 8:34:00 - 【外汇早评】美通胀数据走低,美元调整
原标题:【外汇早评】美通胀数据走低,美元调整昨日美国方面公布了新一期的核心PCE物价指数数据,同比增长1.6%,低于前值和预期值的1.7%,距离美联储的通胀目标2%继续走低,通胀压力较低,且此前美国一季度GDP初值中的消费部分下滑明显,因此市场对美联储后续更可能降息的政策…...
2024/5/8 6:01:22 - 【原油贵金属周评】原油多头拥挤,价格调整
原标题:【原油贵金属周评】原油多头拥挤,价格调整本周国际劳动节,我们喜迎四天假期,但是整个金融市场确实流动性充沛,大事频发,各个商品波动剧烈。美国方面,在本周四凌晨公布5月份的利率决议和新闻发布会,维持联邦基金利率在2.25%-2.50%不变,符合市场预期。同时美联储…...
2024/5/7 9:45:25 - 【外汇周评】靓丽非农不及疲软通胀影响
原标题:【外汇周评】靓丽非农不及疲软通胀影响在刚结束的周五,美国方面公布了新一期的非农就业数据,大幅好于前值和预期,新增就业重新回到20万以上。具体数据: 美国4月非农就业人口变动 26.3万人,预期 19万人,前值 19.6万人。 美国4月失业率 3.6%,预期 3.8%,前值 3…...
2024/5/4 23:54:56 - 【原油贵金属早评】库存继续增加,油价收跌
原标题:【原油贵金属早评】库存继续增加,油价收跌周三清晨公布美国当周API原油库存数据,上周原油库存增加281万桶至4.692亿桶,增幅超过预期的74.4万桶。且有消息人士称,沙特阿美据悉将于6月向亚洲炼油厂额外出售更多原油,印度炼油商预计将每日获得至多20万桶的额外原油供…...
2024/5/7 14:25:14 - 【外汇早评】日本央行会议纪要不改日元强势
原标题:【外汇早评】日本央行会议纪要不改日元强势近两日日元大幅走强与近期市场风险情绪上升,避险资金回流日元有关,也与前一段时间的美日贸易谈判给日本缓冲期,日本方面对汇率问题也避免继续贬值有关。虽然今日早间日本央行公布的利率会议纪要仍然是支持宽松政策,但这符…...
2024/5/4 23:54:56 - 【原油贵金属早评】欧佩克稳定市场,填补伊朗问题的影响
原标题:【原油贵金属早评】欧佩克稳定市场,填补伊朗问题的影响近日伊朗局势升温,导致市场担忧影响原油供给,油价试图反弹。此时OPEC表态稳定市场。据消息人士透露,沙特6月石油出口料将低于700万桶/日,沙特已经收到石油消费国提出的6月份扩大出口的“适度要求”,沙特将满…...
2024/5/4 23:55:05 - 【外汇早评】美欲与伊朗重谈协议
原标题:【外汇早评】美欲与伊朗重谈协议美国对伊朗的制裁遭到伊朗的抗议,昨日伊朗方面提出将部分退出伊核协议。而此行为又遭到欧洲方面对伊朗的谴责和警告,伊朗外长昨日回应称,欧洲国家履行它们的义务,伊核协议就能保证存续。据传闻伊朗的导弹已经对准了以色列和美国的航…...
2024/5/4 23:54:56 - 【原油贵金属早评】波动率飙升,市场情绪动荡
原标题:【原油贵金属早评】波动率飙升,市场情绪动荡因中美贸易谈判不安情绪影响,金融市场各资产品种出现明显的波动。随着美国与中方开启第十一轮谈判之际,美国按照既定计划向中国2000亿商品征收25%的关税,市场情绪有所平复,已经开始接受这一事实。虽然波动率-恐慌指数VI…...
2024/5/7 11:36:39 - 【原油贵金属周评】伊朗局势升温,黄金多头跃跃欲试
原标题:【原油贵金属周评】伊朗局势升温,黄金多头跃跃欲试美国和伊朗的局势继续升温,市场风险情绪上升,避险黄金有向上突破阻力的迹象。原油方面稍显平稳,近期美国和OPEC加大供给及市场需求回落的影响,伊朗局势并未推升油价走强。近期中美贸易谈判摩擦再度升级,美国对中…...
2024/5/4 23:54:56 - 【原油贵金属早评】市场情绪继续恶化,黄金上破
原标题:【原油贵金属早评】市场情绪继续恶化,黄金上破周初中国针对于美国加征关税的进行的反制措施引发市场情绪的大幅波动,人民币汇率出现大幅的贬值动能,金融市场受到非常明显的冲击。尤其是波动率起来之后,对于股市的表现尤其不安。隔夜美国股市出现明显的下行走势,这…...
2024/5/6 1:40:42 - 【外汇早评】美伊僵持,风险情绪继续升温
原标题:【外汇早评】美伊僵持,风险情绪继续升温昨日沙特两艘油轮再次发生爆炸事件,导致波斯湾局势进一步恶化,市场担忧美伊可能会出现摩擦生火,避险品种获得支撑,黄金和日元大幅走强。美指受中美贸易问题影响而在低位震荡。继5月12日,四艘商船在阿联酋领海附近的阿曼湾、…...
2024/5/4 23:54:56 - 【原油贵金属早评】贸易冲突导致需求低迷,油价弱势
原标题:【原油贵金属早评】贸易冲突导致需求低迷,油价弱势近日虽然伊朗局势升温,中东地区几起油船被袭击事件影响,但油价并未走高,而是出于调整结构中。由于市场预期局势失控的可能性较低,而中美贸易问题导致的全球经济衰退风险更大,需求会持续低迷,因此油价调整压力较…...
2024/5/8 20:48:49 - 氧生福地 玩美北湖(上)——为时光守候两千年
原标题:氧生福地 玩美北湖(上)——为时光守候两千年一次说走就走的旅行,只有一张高铁票的距离~ 所以,湖南郴州,我来了~ 从广州南站出发,一个半小时就到达郴州西站了。在动车上,同时改票的南风兄和我居然被分到了一个车厢,所以一路非常愉快地聊了过来。 挺好,最起…...
2024/5/7 9:26:26 - 氧生福地 玩美北湖(中)——永春梯田里的美与鲜
原标题:氧生福地 玩美北湖(中)——永春梯田里的美与鲜一觉醒来,因为大家太爱“美”照,在柳毅山庄去寻找龙女而错过了早餐时间。近十点,向导坏坏还是带着饥肠辘辘的我们去吃郴州最富有盛名的“鱼头粉”。说这是“十二分推荐”,到郴州必吃的美食之一。 哇塞!那个味美香甜…...
2024/5/4 23:54:56 - 氧生福地 玩美北湖(下)——奔跑吧骚年!
原标题:氧生福地 玩美北湖(下)——奔跑吧骚年!让我们红尘做伴 活得潇潇洒洒 策马奔腾共享人世繁华 对酒当歌唱出心中喜悦 轰轰烈烈把握青春年华 让我们红尘做伴 活得潇潇洒洒 策马奔腾共享人世繁华 对酒当歌唱出心中喜悦 轰轰烈烈把握青春年华 啊……啊……啊 两…...
2024/5/8 19:33:07 - 扒开伪装医用面膜,翻六倍价格宰客,小姐姐注意了!
原标题:扒开伪装医用面膜,翻六倍价格宰客,小姐姐注意了!扒开伪装医用面膜,翻六倍价格宰客!当行业里的某一品项火爆了,就会有很多商家蹭热度,装逼忽悠,最近火爆朋友圈的医用面膜,被沾上了污点,到底怎么回事呢? “比普通面膜安全、效果好!痘痘、痘印、敏感肌都能用…...
2024/5/5 8:13:33 - 「发现」铁皮石斛仙草之神奇功效用于医用面膜
原标题:「发现」铁皮石斛仙草之神奇功效用于医用面膜丽彦妆铁皮石斛医用面膜|石斛多糖无菌修护补水贴19大优势: 1、铁皮石斛:自唐宋以来,一直被列为皇室贡品,铁皮石斛生于海拔1600米的悬崖峭壁之上,繁殖力差,产量极低,所以古代仅供皇室、贵族享用 2、铁皮石斛自古民间…...
2024/5/8 20:38:49 - 丽彦妆\医用面膜\冷敷贴轻奢医学护肤引导者
原标题:丽彦妆\医用面膜\冷敷贴轻奢医学护肤引导者【公司简介】 广州华彬企业隶属香港华彬集团有限公司,专注美业21年,其旗下品牌: 「圣茵美」私密荷尔蒙抗衰,产后修复 「圣仪轩」私密荷尔蒙抗衰,产后修复 「花茵莳」私密荷尔蒙抗衰,产后修复 「丽彦妆」专注医学护…...
2024/5/4 23:54:58 - 广州械字号面膜生产厂家OEM/ODM4项须知!
原标题:广州械字号面膜生产厂家OEM/ODM4项须知!广州械字号面膜生产厂家OEM/ODM流程及注意事项解读: 械字号医用面膜,其实在我国并没有严格的定义,通常我们说的医美面膜指的应该是一种「医用敷料」,也就是说,医用面膜其实算作「医疗器械」的一种,又称「医用冷敷贴」。 …...
2024/5/6 21:42:42 - 械字号医用眼膜缓解用眼过度到底有无作用?
原标题:械字号医用眼膜缓解用眼过度到底有无作用?医用眼膜/械字号眼膜/医用冷敷眼贴 凝胶层为亲水高分子材料,含70%以上的水分。体表皮肤温度传导到本产品的凝胶层,热量被凝胶内水分子吸收,通过水分的蒸发带走大量的热量,可迅速地降低体表皮肤局部温度,减轻局部皮肤的灼…...
2024/5/4 23:54:56 - 配置失败还原请勿关闭计算机,电脑开机屏幕上面显示,配置失败还原更改 请勿关闭计算机 开不了机 这个问题怎么办...
解析如下:1、长按电脑电源键直至关机,然后再按一次电源健重启电脑,按F8健进入安全模式2、安全模式下进入Windows系统桌面后,按住“winR”打开运行窗口,输入“services.msc”打开服务设置3、在服务界面,选中…...
2022/11/19 21:17:18 - 错误使用 reshape要执行 RESHAPE,请勿更改元素数目。
%读入6幅图像(每一幅图像的大小是564*564) f1 imread(WashingtonDC_Band1_564.tif); subplot(3,2,1),imshow(f1); f2 imread(WashingtonDC_Band2_564.tif); subplot(3,2,2),imshow(f2); f3 imread(WashingtonDC_Band3_564.tif); subplot(3,2,3),imsho…...
2022/11/19 21:17:16 - 配置 已完成 请勿关闭计算机,win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机...
win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机”问题的解决方法在win7系统关机时如果有升级系统的或者其他需要会直接进入一个 等待界面,在等待界面中我们需要等待操作结束才能关机,虽然这比较麻烦,但是对系统进行配置和升级…...
2022/11/19 21:17:15 - 台式电脑显示配置100%请勿关闭计算机,“准备配置windows 请勿关闭计算机”的解决方法...
有不少用户在重装Win7系统或更新系统后会遇到“准备配置windows,请勿关闭计算机”的提示,要过很久才能进入系统,有的用户甚至几个小时也无法进入,下面就教大家这个问题的解决方法。第一种方法:我们首先在左下角的“开始…...
2022/11/19 21:17:14 - win7 正在配置 请勿关闭计算机,怎么办Win7开机显示正在配置Windows Update请勿关机...
置信有很多用户都跟小编一样遇到过这样的问题,电脑时发现开机屏幕显现“正在配置Windows Update,请勿关机”(如下图所示),而且还需求等大约5分钟才干进入系统。这是怎样回事呢?一切都是正常操作的,为什么开时机呈现“正…...
2022/11/19 21:17:13 - 准备配置windows 请勿关闭计算机 蓝屏,Win7开机总是出现提示“配置Windows请勿关机”...
Win7系统开机启动时总是出现“配置Windows请勿关机”的提示,没过几秒后电脑自动重启,每次开机都这样无法进入系统,此时碰到这种现象的用户就可以使用以下5种方法解决问题。方法一:开机按下F8,在出现的Windows高级启动选…...
2022/11/19 21:17:12 - 准备windows请勿关闭计算机要多久,windows10系统提示正在准备windows请勿关闭计算机怎么办...
有不少windows10系统用户反映说碰到这样一个情况,就是电脑提示正在准备windows请勿关闭计算机,碰到这样的问题该怎么解决呢,现在小编就给大家分享一下windows10系统提示正在准备windows请勿关闭计算机的具体第一种方法:1、2、依次…...
2022/11/19 21:17:11 - 配置 已完成 请勿关闭计算机,win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机”的解决方法...
今天和大家分享一下win7系统重装了Win7旗舰版系统后,每次关机的时候桌面上都会显示一个“配置Windows Update的界面,提示请勿关闭计算机”,每次停留好几分钟才能正常关机,导致什么情况引起的呢?出现配置Windows Update…...
2022/11/19 21:17:10 - 电脑桌面一直是清理请关闭计算机,windows7一直卡在清理 请勿关闭计算机-win7清理请勿关机,win7配置更新35%不动...
只能是等着,别无他法。说是卡着如果你看硬盘灯应该在读写。如果从 Win 10 无法正常回滚,只能是考虑备份数据后重装系统了。解决来方案一:管理员运行cmd:net stop WuAuServcd %windir%ren SoftwareDistribution SDoldnet start WuA…...
2022/11/19 21:17:09 - 计算机配置更新不起,电脑提示“配置Windows Update请勿关闭计算机”怎么办?
原标题:电脑提示“配置Windows Update请勿关闭计算机”怎么办?win7系统中在开机与关闭的时候总是显示“配置windows update请勿关闭计算机”相信有不少朋友都曾遇到过一次两次还能忍但经常遇到就叫人感到心烦了遇到这种问题怎么办呢?一般的方…...
2022/11/19 21:17:08 - 计算机正在配置无法关机,关机提示 windows7 正在配置windows 请勿关闭计算机 ,然后等了一晚上也没有关掉。现在电脑无法正常关机...
关机提示 windows7 正在配置windows 请勿关闭计算机 ,然后等了一晚上也没有关掉。现在电脑无法正常关机以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!关机提示 windows7 正在配…...
2022/11/19 21:17:05 - 钉钉提示请勿通过开发者调试模式_钉钉请勿通过开发者调试模式是真的吗好不好用...
钉钉请勿通过开发者调试模式是真的吗好不好用 更新时间:2020-04-20 22:24:19 浏览次数:729次 区域: 南阳 > 卧龙 列举网提醒您:为保障您的权益,请不要提前支付任何费用! 虚拟位置外设器!!轨迹模拟&虚拟位置外设神器 专业用于:钉钉,外勤365,红圈通,企业微信和…...
2022/11/19 21:17:05 - 配置失败还原请勿关闭计算机怎么办,win7系统出现“配置windows update失败 还原更改 请勿关闭计算机”,长时间没反应,无法进入系统的解决方案...
前几天班里有位学生电脑(windows 7系统)出问题了,具体表现是开机时一直停留在“配置windows update失败 还原更改 请勿关闭计算机”这个界面,长时间没反应,无法进入系统。这个问题原来帮其他同学也解决过,网上搜了不少资料&#x…...
2022/11/19 21:17:04 - 一个电脑无法关闭计算机你应该怎么办,电脑显示“清理请勿关闭计算机”怎么办?...
本文为你提供了3个有效解决电脑显示“清理请勿关闭计算机”问题的方法,并在最后教给你1种保护系统安全的好方法,一起来看看!电脑出现“清理请勿关闭计算机”在Windows 7(SP1)和Windows Server 2008 R2 SP1中,添加了1个新功能在“磁…...
2022/11/19 21:17:03 - 请勿关闭计算机还原更改要多久,电脑显示:配置windows更新失败,正在还原更改,请勿关闭计算机怎么办...
许多用户在长期不使用电脑的时候,开启电脑发现电脑显示:配置windows更新失败,正在还原更改,请勿关闭计算机。。.这要怎么办呢?下面小编就带着大家一起看看吧!如果能够正常进入系统,建议您暂时移…...
2022/11/19 21:17:02 - 还原更改请勿关闭计算机 要多久,配置windows update失败 还原更改 请勿关闭计算机,电脑开机后一直显示以...
配置windows update失败 还原更改 请勿关闭计算机,电脑开机后一直显示以以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!配置windows update失败 还原更改 请勿关闭计算机&#x…...
2022/11/19 21:17:01 - 电脑配置中请勿关闭计算机怎么办,准备配置windows请勿关闭计算机一直显示怎么办【图解】...
不知道大家有没有遇到过这样的一个问题,就是我们的win7系统在关机的时候,总是喜欢显示“准备配置windows,请勿关机”这样的一个页面,没有什么大碍,但是如果一直等着的话就要两个小时甚至更久都关不了机,非常…...
2022/11/19 21:17:00 - 正在准备配置请勿关闭计算机,正在准备配置windows请勿关闭计算机时间长了解决教程...
当电脑出现正在准备配置windows请勿关闭计算机时,一般是您正对windows进行升级,但是这个要是长时间没有反应,我们不能再傻等下去了。可能是电脑出了别的问题了,来看看教程的说法。正在准备配置windows请勿关闭计算机时间长了方法一…...
2022/11/19 21:16:59 - 配置失败还原请勿关闭计算机,配置Windows Update失败,还原更改请勿关闭计算机...
我们使用电脑的过程中有时会遇到这种情况,当我们打开电脑之后,发现一直停留在一个界面:“配置Windows Update失败,还原更改请勿关闭计算机”,等了许久还是无法进入系统。如果我们遇到此类问题应该如何解决呢࿰…...
2022/11/19 21:16:58 - 如何在iPhone上关闭“请勿打扰”
Apple’s “Do Not Disturb While Driving” is a potentially lifesaving iPhone feature, but it doesn’t always turn on automatically at the appropriate time. For example, you might be a passenger in a moving car, but your iPhone may think you’re the one dri…...
2022/11/19 21:16:57