關(guān)于3月20日的維護(hù)中，增加擂臺專用藥品算是吸引大家眼球的熱點之一了。對于增加擂臺用藥，大家觀點不一，筆者今天在這里不評價其意義如何，僅僅針對這些藥品筆者來帶大家認(rèn)識一下。

圖樣

名稱

介紹

級別

功效

軟件測試報告作為對測試工作和項目情況的總結(jié)，對測試成果的體現(xiàn)，有著很重要的意義。通常來講，我們會在測試過程中，由測試經(jīng)理定期寫工作匯報給上級，在測試結(jié)束后，寫一份包羅萬象的軟件測試報告，然后發(fā)給上級、成員、或者客戶。這是普遍的做法，但經(jīng)過這幾年的總結(jié)，我開始根據(jù)不同的對象，寫不同的報告。

主要是因為不同的對象，關(guān)注不同的事務(wù)。如果一股腦的把所有的內(nèi)容都揉合在一份文檔里，文檔內(nèi)容過長，試問哪個閱讀者有耐心去讀完？曾經(jīng)把文檔的結(jié)構(gòu)做過調(diào)整，按閱讀者進(jìn)行了結(jié)構(gòu)的調(diào)整，但是問題還是來了，一是，遇到挑剔的上層，他們會認(rèn)為你發(fā)的東西還是過于冗余，太多他不關(guān)心的東西，那么你的工作就做的不好。二是，在測試報告中，難免會有一些不適合發(fā)給客戶的內(nèi)容。其他還有很多情況，讓一份包羅萬象的測試報告被萬般挑剔。

總體來說，報告的對象大致分為3類：

項目管理階層、項目組開發(fā)測試人員、客戶或其他的預(yù)期讀者

對于不同的讀者，在不同的階段，側(cè)重點的大概內(nèi)容如下(這里只說開發(fā)結(jié)束后的測試報告部分，也只提一個框架，具體的大家自己根據(jù)公司實際情況去填充。開發(fā)中的各類報告在此省略)：

1項目管理階層

1.什么是ASTM？

ASTM（美國材料與試驗協(xié)會）成立于1898年，現(xiàn)已成為世界最大的自愿一致標(biāo)準(zhǔn)發(fā)展體系之一。

ASTM是一個非贏利機(jī)構(gòu)，它為產(chǎn)品生產(chǎn)者，用戶，最終消費者，以及被涉及到的政府和學(xué)術(shù)界代表在共同關(guān)心的領(lǐng)域提供交流討論的機(jī)會，并為材料，產(chǎn)品，系統(tǒng)及服務(wù)編寫標(biāo)準(zhǔn)。由132個標(biāo)準(zhǔn)編寫委員會進(jìn)行工作，ASTM出版試驗方法，規(guī)范，慣例，指南，分類和術(shù)語等標(biāo)準(zhǔn)。ASTM標(biāo)準(zhǔn)制定工作圍繞著金屬，涂料，塑料，紡織品，石油，建筑，能源，環(huán)境，消費品，醫(yī)療服務(wù)及設(shè)備，計算機(jī)系統(tǒng)，電子和其它領(lǐng)域。ASTM總部沒有技術(shù)研究或測試設(shè)施；這些工作由分布在世界各地的35,000名具有技術(shù)上合格的ASTM成員自愿完成。

每年，10,000多項ASTM標(biāo)準(zhǔn)發(fā)表在ASTM標(biāo)準(zhǔn)年鑒的72卷中。這些標(biāo)準(zhǔn)及相關(guān)信息在全世界范圍銷售。

2.什么是標(biāo)準(zhǔn)？

在ASTM協(xié)會里，標(biāo)準(zhǔn)這一術(shù)語是指在該協(xié)會內(nèi)在自愿協(xié)商一致意見原則下研究和制定的并且符合ASTM協(xié)會工作程序和規(guī)定要求的的一種文件。

端點安全是目前網(wǎng)絡(luò)界非?；鸨脑掝}，思科，微軟分別推出了NAC、NAP，國內(nèi)本土廠商華為3com也推出了EAD計劃，每家網(wǎng)絡(luò)廠商也都有類似的解決方案。各個解決方案雖然叫法不同，但是實現(xiàn)的目的、大體的網(wǎng)絡(luò)架構(gòu)都是非常類似的。此次本報編輯選編的美國網(wǎng)絡(luò)世界一篇測試報告就是關(guān)于端點安全產(chǎn)品測試的，每家測試產(chǎn)品都可以完成上述端點安全功能。在編輯這篇文章的過程中，編輯也查閱了大量的相關(guān)資料，發(fā)現(xiàn)生產(chǎn)此類產(chǎn)品的小公司在美國非常多。在除了思科這樣的網(wǎng)絡(luò)大鱷之外，小廠商的產(chǎn)品往往也有他的獨到之處。

對于公司網(wǎng)絡(luò)的安全一致性審計要求來說，在端點上設(shè)置和強(qiáng)制執(zhí)行安全策略，非常至關(guān)重要。在我們的端點安全產(chǎn)品測試中，這些產(chǎn)品可提供策略強(qiáng)制執(zhí)行功能，每一款產(chǎn)品都可以識別出系統(tǒng)是否符合策略一致性要求并且可以采取行動來補(bǔ)救不符合策略的系統(tǒng)。

我們制定了一系列產(chǎn)品所應(yīng)該提供的策略強(qiáng)制清單，這其中包括產(chǎn)品可以識別出未打補(bǔ)丁的操作系統(tǒng)、是否符合安全策略一致性、對不符合策略要求系統(tǒng)進(jìn)行限制訪問、分析并得出客戶端的報告和對不符合安全策略要求的系統(tǒng)采取補(bǔ)救行動使之和整體安全策略相一致。

我們非常理解沒有一家產(chǎn)品可以全部滿足我們的安全策略要求，我們會盡可能地讓廠商展示他們所有的功能特性。

如果沒有在網(wǎng)絡(luò)中增加安全產(chǎn)品則會引起很大的安全災(zāi)難，我們也檢查了端點安全產(chǎn)品自身的安全架構(gòu)特性。

我們對此領(lǐng)域內(nèi)的13家廠商發(fā)出了測試邀請函，最終CheckPoint、Cisco、Citadel、InfoExpress、Senforce、TrandMicro和Vernier/PatchLinkNetworks同意參加測試。ElementalSecurity，EndForce，McAfee，Sygate，SecureWave和StillSecure則拒絕參加了此次測試。Vernier/PatchLink因為在所有測試項目中有著不錯的表現(xiàn)，所以最終最終贏得了這次測試。例如此產(chǎn)品可阻止網(wǎng)絡(luò)訪問并且自動修補(bǔ)不符合安全策略的系統(tǒng)，它的安全檢測功能最富有彈性。

最近很多朋友都在問我是否能把我那一句話木馬隱藏到HTML或圖片里，其實把一句話木馬插入到PHP文件中就已經(jīng)很隱蔽了，如果說硬是要放到HTML文件或圖片里，就接著往下看這篇的篇測試報告吧。要知道如果光把PHP語句放到圖片里是無論如何也不能執(zhí)行的，因為PHP只解析擴(kuò)展名為php的文件。所以說要能使隱藏在圖片里的PHP語句執(zhí)行。我們就的借助PHP中的調(diào)用函數(shù)：include、require等。

我們還記得前些日子把木馬隱藏到圖片的文章吧。也就是在PHP文件里用include("x.gif")這樣的語句來調(diào)用隱藏在圖片的木馬語句。ASP中語句也類似?？此品浅ｋ[蔽但直接調(diào)用圖片對稍微懂點PHP的人就不難發(fā)現(xiàn)可疑之處。由于URL里用GET方式很難傳遞參數(shù)，這就使得插入木馬的性能得不到發(fā)揮。

Include函數(shù)在PHP中使用的比較頻繁，所以引起的安全問題也實在太多，例如PHPWIND1.36的漏洞就是因為include后面的變量沒做過濾引起的。由此我們就可以構(gòu)造類似的語句來插入到PHP文件中。然后把木馬隱藏到圖片或HTML文件里，可以說隱蔽性就更高了。如在PHPWIND論壇里插入下面的語句：＜‘’?@includeinclud/.$PHPWIND_ROOT;?＞一般管理員是無法看出來的。

有了include函數(shù)來輔助幫忙我們就可以把PHP木馬隱藏到諸如txt、html和圖片文件等很多類型的文件里來了。因為txt、html和圖片文件這三種類型的文件最無論在論壇還是文章系統(tǒng)里是最為常見的了，下面我們就依次來做測試。

首先建立一PHP文件test.php文件內(nèi)容為:

$test=$_GET[''''test''''];