​网络安全的攻防战争​

news2024/11/22 12:03:19

当前,来自Web的各种攻击已经成为全球安全领域最大的挑战,并且有愈演愈烈之势。目前的难点在于,很多Web威胁的思路已经有别于传统,隐蔽、牟利、产业化已经成为了此类威胁的特点。对广大企业用户来讲,Web威胁令人无法忽视,而相关防御技术的应用与保护也同样充满挑战。

  Web服务的隐忧

  所谓Web服务,是指由企业发布的完成其特别商务需求的在线应用服务,其他公司或 应用软件能够通过Internet来访问并使用这项应用服务。Web服务采用基本的Internet协议,松散地连接网络上的服务节点,并将服务过程定义在Web应用程序中,利用标准的存取协议(XML)为客户端节点提供服务。

  Web服务主要解决基于分布在网络上不同服务器或终端之间的业务集成,面对海量的外部信息资源和应用资源提供一种中间的服务,使得所有用户可以得到方便的信息共享和应用共享。Web服务平台已经在电子商务、企业信息化中得到广泛的应用,很多企业都将应用架设在Web平台上,并不断完善和提高其功能和性能,为客户提供更为方便、快捷的服务支持。

  启明星辰总工程师万卿在接受本报独家采访时透露,当前Web服务的迅速发展引起了黑客们的强烈关注,他们已将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web服务的攻击上。但是,很多企业对此并没有做好足够的准备,也没有给予足够的重视。

  根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,2/3的 Web 站点都相当脆弱,易受攻击。可以说,绝大多数企业将大量的投资花费在网络和服务器的安全上,忽略了保证 Web服务本身的安全,才给了黑客可乘之机。

  而趋势科技2008年一季度病毒报告显示,今年一季度Web威胁感染数量增长了1.5倍,可以预见,今年又将是Web威胁大肆爆发的一年。 Web威胁所具备的渗透性和利益驱动性,已经成为当前网络中增长最快的风险因素。网络罪犯已经逐渐将Web作为从事恶意活动的新途径,Web安全威胁已经成为对企业来说最为猛烈的攻击之一。

  不难看出,所有从Web服务引起和针对于Web服务的各种恶意活动构成了Web安全威胁。据深信服高级产品经理邱德文介绍,Web威胁的主要形式包括两种:一种是从Web服务器发起,针对于广大互联网用户的Web威胁;另外一种的攻击对象就是Web服务,由在互联网上活动的黑客发起,针对于企业、政府的网站攻击和破坏行为。

  浪潮信息安全技术总监孙大军表示,针对于广大互联网用户而言,Web威胁的危害是很大的,破坏性也是比较强的,各种各样的木马、网络钓鱼、僵尸网络对用户正常使用互联网的造成了非常大的影响。目前国内的大型企业、政府部门已经意识到了Web安全的重要性,从领导到员工也普遍比较重视。然而,广大中小企业和个别网站还没有意识到Web安全的重要性。

  Web威胁随着互联网应用的发展而不断地发展。特别是在网上办公、网上银行等多种互联网应用的开展以后,恶意攻击者们看到了有利可图,导致各种Web攻击方式层出不穷,形式也不断翻新。

  对于不同规模的企业而言,威胁程度显然是不同的,因为不同规模的企业受到Web攻击和受到的影响所产生的损失是不同的,这也是导致不同规模的企业对Web威胁重视程度不同的原因之一。

  防御的僵局

  目前企业用户对于Web威胁的重视程度也越来越高,大部分企业都会选择部署软硬件安全产品,以抵御Web威胁。趋势科技产品营销经理徐学龙认为,仅仅依靠单一安全产品已不能保证整个网络的安全、稳定运行。应对目前新型的Web威胁,利用架设在网关处的安全产品,在威胁进入企业网络之前就将其拦截在企业大门之外是更加有效的方法。在此基础上,还需要将被动防御转化为快速响应、主动出击的主动式安全专家服务,才可以最快的速度帮助企业客户有效管理安全事件并减少业务损失。

  根据IDC年初公布的报告,全球Web安全市场将会在2012年前达到65亿美元的规模。事实上,这一市场容量已经超过了UTM所预期的40亿美元的规模。与此对应的是,根据Gartner在第二季度公布的统计数字,全球Web安全产品的使用程度相当低,仅有10%的企业部署了专门的Web安全网关。

  对此万卿的看法是,传统上企业为了保障信息系统安全,通常会使用不同的技术,主要包括:访问控制技术、防病毒技术、加密技术等等。但是即便有防病毒保护、防火墙和VPN,企业仍然不得不允许一部分的通信经过防火墙。毕竟 Web服务的目的是为用户提供服务,保护措施可以关闭不必要暴露的端口,但是Web应用必须的 80 和 443 端口是一定要开放的。可以顺利通过的这部分通信,可能是善意的,也可能是恶意的,很难辨别。

  须要指出的是,Web应用是由软件构成的,那么它一定会包含缺陷(Bug),这些Bug 就可以被恶意的用户利用,他们通过执行各种恶意的操作,或者偷窃、或者操控、或者破坏 Web 应用数据、甚至利用Web系统作为攻击跳板,破坏企业的整个信息系统。

  Web业务平台的不安全性主要是由Web平台的特点,即开放性所致,企业需要利用Web业务平台为用户提供服务就必须接受这个特点。对此孙大军的看法是,只要访问可以顺利通过企业的防火墙,Web业务就可以毫无保留地呈现在用户面前。因此,只有加强Web业务服务器自身的安全,才是真正的Web服务安全解决之道。

  另外,徐学龙表示,全球爆发大规模疫情的时代已经宣告结束,今后 Web威胁的数量将持续成长,并且越来越显现出逐利性,以窃取企业、个人用户的私密信息牟利为目的。新一代的Web威胁具备混合型、定向攻击和区域性爆发等特点,员工对互联网的依赖性使得公司网络比以往更加容易受到攻击。正因为如此,普通的浏览网页都变成了一件带有极大安全风险的事情。Web威胁可以在用户完全没有察觉的情况下进入网络,从而对公司数据资产、行业信誉和关键业务构成极大威胁。

  由于Web威胁的发展越来越表现逐利性,而攻击的越是大型企业,黑客们所能够获得的收益也就越大。因此,越是大型的企业,他们遭遇Web威胁的程度也就越严重,很多知名的大型企业往往成为黑客零日攻击和目标定点攻击的主要威胁目标。由于采用定向攻击的手法,这些病毒并不会大规模传播,普通病毒数据库也很难收集到它们的病毒样本。因此,这些定向攻击的病毒也就很难被防病毒软件侦测并查杀。

  只有依靠提供量身定做的客制化病毒码,才能走在新病毒的前面,快速有效地进行病毒查杀,将未知威胁带来的危害降至最小。像趋势科技推出的针对未知威胁的主动式服务TMHD,可为企业量身打造客制化病毒码,满足不同企业的差异化网络安全需求。

  新技术威胁

  根据世界上权威的Web安全与数据库安全研究组织OWASP提供的报告,目前对Web业务系统威胁最严重的两种攻击方式是SQL注入攻击和跨站脚本攻击。

  SQL注入攻击

  SQL注入的攻击原理是利用程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,导致入侵者可以通过恶意SQL命令的执行,获得数据读取和修改的权限。攻击者成功进行SQL注入后,会拥有整个系统的最高权限,可以修改页面、数据,在网页中添加恶意代码,危害极大。

  SQL注入攻击的变种极多,有经验的攻击者会手动调整攻击参数,致使攻击数据的变种不胜枚举,这导致传统的特征匹配检测方法仅能识别相当少的攻击。

  另外,此类攻击的实现过程非常简单。目前互联网上流行众多的SQL注入攻击工具,攻击者借助这些工具可很快对目标Web系统实施攻击和破坏。

  令人担忧的是,由于Web编程语言自身的缺陷,以及具有安全编程能力的开发人员少之又少,大多数Web业务系统均具有被SQL注入攻击的可能。而攻击者一旦注入成功,可以控制整个Web业务系统,包括对数据做任意的修改。

  跨站脚本(XSS)攻击

  不同于SQL注入以Web服务器为目标的攻击方式,跨站脚本攻击则是将目标指向了Web业务系统所提供服务的客户端。

  跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时,恶意代码会被执行或者以通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。

  根据以往跨站脚本攻击的安全事件及产生的后果来看,跨站脚本攻击可导致的后果非常严重,影响面也十分之广,主要包括了:

  第一,盗取各类用户账号,如机器登录账号、用户网银账号、各类管理员账号等。

  第二,控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力。

  第三,盗窃企业重要的具有商业价值的资料。

  第四,非法转账。

  第五,强制发送电子邮件。

  第六,网站挂马。

  第七,控制受害者机器向其他网站发起攻击。

  跨站脚本攻击不仅威胁程度更大、威胁波及面更广,同时攻击过程也更加复杂多变,与SQL注入攻击检测类似,传统上基于攻击特征匹配的防御技术难以奏效。

  关注Web站点

  Web应用的发展,对网站产生越来越重要的作用,而越来越多的网站在此过程中也因为存在安全隐患而成为Web安全重灾区。在黑客的眼里,网站并非是一个提供互联网服务和信息交流的平台,而是可以成为被低成本利用获取利益的一个途径。

  根据启明星辰发布的2008年Web安全统计报告,显示中国大陆网站遭入侵导致网页被篡改成倍增长。截至到今年二季度,仅网页篡改数量已经是2004年的30倍,达到61228起,这还不包含未被官方披露的数字。Web安全问题几乎成为网站不能承受之重,追溯起来诱因很多。

  第一,大多数网站设计,只考虑正常用户稳定使用。

  一个网站设计者更多地考虑满足用户应用,如何实现业务。很少考虑网站应用开发过程中所存在的漏洞,这些漏洞在不关注安全代码设计的人员眼里几乎不可见。大多数网站设计开发者,网站维护人员对网站攻防技术的了解甚少。在正常使用过程中,即便存在安全漏洞,正常的使用者也不会察觉。但在黑客对漏洞敏锐的发现和充分的利用下,网站存在的这些漏洞就被挖掘出来了,且成为黑客们直接或间接获取利益的机会。

  第二,网站防御措施过于落后

  大多数传统的基于特征识别的入侵防御技术或内容过滤技术,对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不唯一的网站攻击,基于特征匹配技术防御攻击,不能精确阻断攻击。

  大量黑客通过构建任意表达式来绕过防御设备固化的特征库。比如:and 1=1和and 2=2是一类数据库语句,但可以人为地任意构造数字构成同类语句的不同特征。而and、=等这些标识在Web提交数据库应用中又是普遍存在的表达符号,不能作为攻击的唯一特征。因此,这就很难基于特征标识来构建一个精确阻断SQL注入攻击的防御系统。这也导致目前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。基于应用层构建的攻击,防火墙更是束手无策。

  第三,黑客入侵后未被及时发现。

  一些黑客在获取网站的控制权限之后并不暴露自己,而是利用所控制网站产生直接利益。

  网页挂马就是一种利用网站,将浏览网站的人种植其木马的一种非常隐蔽且直接获取利益的主要方式之一。访问网站而被种植木马的人通常并不知情,导致一些用户的机密信息被窃取。网站成了黑客散布木马的一个渠道。网站本身虽然能够提供正常服务,但访问网站的人却遭受着木马程序的危害。

  第四,发现安全问题不能彻底解决。

  网站技术发展较快、安全问题日益突出,但由于关注重点不同,绝大多数的网站开发与设计公司对网站安全代码设计方面了解甚少。 即使发现网站安全存在问题和漏洞,其修补方式也只是停留在页面修复,很难针对网站具体的漏洞原理对源代码进行改造。这些也是为什么有些网站虽然安装了网页防篡改、网站恢复软件后仍然遭受攻击的原因。

  碰撞与变迁

  鉴于上述对Web业务系统常见攻击的分析,对Web业务系统的保护已经刻不容缓。安全学术界和产业界的研究机构和各大厂商也纷纷拿出了识别和防御的措施及技术方案,力求为Web业务系统提供深层的安全防御。

  但遗憾的是,由于Web威胁的迅猛发展,仅借助硬件、操作系统、服务、应用程序提供商提供没有漏洞的系统,显然是不够的。因此,需要在网络边界和服务器前增加安全控制设备,或者在服务器系统上部署软件来防御各种攻击。

  据孙大军介绍,目前防御Web威胁的主要挑战在于各种新的攻击方式不断出现,而传统的针对Web威胁的防御方式主要是从代码分析入手,导致随着各种攻击方式的不断翻新,防御方式也要被动地跟着更新,无法从根本上解决问题。

  据悉,针对SQL 注入攻击和跨站脚本攻击,在传统的安全产业界,主要的识别和防御方法有基于特征的关键字匹配技术和基于异常检测技术。基于特征的关键字匹配技术是目前的主流方法,一些主流的IPS产品都采用这种检测技术。但由于其技术的局限性和机械性,使得这类IPS产品会形成漏报和误报。

  而应用于像Web防火墙这类产品中的基于异常检测技术,能够发现一些异常情况。但其缺陷也显而易见,比如需要一定的学习期才能投入使用,而且一但业务模型发生变化,就需要重新学习,更为重要的是,异常未必就是攻击。

  在学术界,针对SQL注入,同样有两个重要的研究方向,即基于正常行为模型的AMNESIA和基于数字签名技术的SQL Rand 方法。这两种方法的主要弱点是需要能够获得应用程序的源代码和修改源码。同时需要改变原有业务系统的部署,方案相当复杂。

  传统的产业界和学术界解决方案的不足,还主要存在于对SQL 注入攻击和跨站脚本攻击的误报、漏报,以及部署复杂的问题。可见,解决Web业务安全的关键在于检测和部署。

  对此,万卿的看法是,目前更加有效的防御手段可以采用融合基于原理和基于特征的柔性化检测机制来解决Web攻击的防御问题。比如基于攻击手法VXID的检测算法,可以在很大程度上解决上述难题。

  据悉,VXID算法是一种将规则分析(建立虚拟机检测规则的过程)和异常分析(符合Web攻击模型的,就是Web攻击)相结合的技术。其核心内容是首先收集、分析各种可能的Web攻击方法(包括SQL注入特征和XSS攻击特征),并提取出相应的有针对性的攻击机理。之后为这些攻击方法建立相应的检测模型(VXID算法误用检测模型)。根据这些虚拟机检测来自URL、Cookie、POST-Form中的各参数域值是否符合SQL注入模型,检测提交的脚本代码是否符合XSS攻击模型,如果符合则表示发生了Web攻击。

  采用此类算法的好处是,避免了单纯特征匹配方法的大量漏报和误报。换句话说,这种技术不会因为将关键字定义得过于严格而出现误报,也不会因为仅能定义有限多个特征而使得变种攻击可以轻易绕过。另外,此种技术不需要在业务系统的代码上做任何修改,实现难度较低。

  另外,徐学龙介绍说,在面对不断自我更新、快速动态变化的Web威胁时,一些企业往往显得很被动。传统解决方案往往是当病毒入侵企业并造成明显程度的损害后,IT人员才知道问题的发生,随后才展开问题的调查、对策研究、获取厂商支持、解决方案测试和部署等工作。由于发现病毒到清除病毒的周期较长,使得企业在此期间面临很大的风险。此外,由于企业IT人员所能掌握的技术有限,对有些安全威胁了解不够,使得他们在面对这些Web攻击时往往显得束手无策。这些问题的存在,使很多企业虽然部署了软硬件网络安全解决方案,却无法最大限度地发挥它们的功能,IT维护成本也居高不下,给企业带来很大的风险和负担。

  从这个意义上说,用户急需一套具备动态、主动防御Web威胁的技术,其中Web信誉服务(WRS)技术成为了一个热点。借助Web信誉服务,一旦嵌有恶意程序的网站刚刚出现,安全厂商就可以通过独特的防护技术保护用户的访问不受侵害,有效拦截出现在每个区域的Web威胁。

  一般来说,WRS技术为每个URL提供一个信誉分值,这个信誉分值基于该网站的存在时间长短、地理位置变化和历史情况等诸多因素计算而来。通过信誉分值的比对,就可以知道某个URL潜在的风险级别。当用户访问具有潜在风险的网站时,就可以及时获得系统提醒或阻止,Web信誉服务可以帮助用户快速地确认目标网站的安全性。

  编看编想

  Web安全与人员意识

  在很多情况下,Web安全防御常常都会牵扯到人员的意识问题。举例来看,有很多企业的网管对网站的价值认识仅仅是一台服务器或者是网站的建设成本,为了这个服务器而增加超出其成本的安全防护措施则认为是得不偿失。

  而实际上,当网站遭受攻击之后,带来的直接和间接的损失往往不能用一台服务器或者是网站建设成本来衡量。因为很多信息资产在遭受攻击之后会造成无形价值的流失。不幸的是,当前很多用户单位的网站负责人员,只有在Web站点遭受攻击,且造成的损失远超过网站本身价值之后才开始意识到这一点。

  另外,由于各种用户的应用环境千差万别,所以用户在进行Web安全防御的时候,更多地应该考虑因地制宜。适合于自己的安全方案才是最好的方案。

  具体的建议有两点:

  一是应该尽量从系统开始规划的时候就考虑Web威胁问题;

  二是尽量从根本入手,避免头痛医头、脚痛医脚,而是针对于Web威胁,尽量从保护相关进程免受攻击入手。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1550033.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Matlab|【免费】面向多微网网络结构规划的大规模二进制矩阵优化算法

目录 1 主要内容 节点故障网络拓扑变化示意 约束条件 目标函数 3 结果一览 4 下载链接 1 主要内容 当前电力系统中微电网逐步成为发展的主力军,微网中包括分布式电源和负荷,单一的微电网是和外部电源进行连接,即保证用电的效益性&#…

手机短信验证码自动转发到服务器

今天写一个自动化处理程序,需要验证码登录,怎么样把手机收到的短信自动转发到服务器接口呢? 利用ios手机快捷指令的功能 打开快捷指令点击中间自动化点击右上角号选择信息信息包含选取,输入验证码选择立即执行点击下一步按下图配…

SpringBoot集成WebSocket实现简单的多人聊天室

上代码—gitee下载地址: https://gitee.com/bestwater/Spring-websocket.git下载代码,连上数据库执行SQL,就可以运行,最终效果

17、GateWay和Sentinel继承实现服务限流

注:本篇文章主要参考周阳老师讲解的cloud进行整理的! 1、需求说明 cloudalibaba-sentinel-gateway9528 保护 cloudalibaba-provider-payment9001 2、启动nacos服务器8848 startup.cmd -m standalone 3、启动sentinel服务器8080 java -jar sentinel-dash…

PPT没保存怎么恢复?3个方法(更新版)!

“我刚做完一个PPT,正准备保存的时候电脑没电自动关机了,打开电脑后才发现我的PPT没保存。这可怎么办?还有机会恢复吗?” 在日常办公和学习中,PowerPoint是制作演示文稿的重要工具。我们会在各种场景下使用它。但有时候…

【办公类-21-11】 20240327三级育婴师 多个二级文件夹的docx合并成docx有页码,转PDF

背景展示:有页码的操作题 背景需求: 实操课终于全部结束了,把考试内容(docx)都写好了 【办公类-21-10】三级育婴师 视频转文字docx(等线小五单倍行距),批量改成“宋体小四、1.5倍行…

汇编语言学习记录 01

目录 VScode配置调试环境 Debug的主要命令 简单写个Hello World VScode配置调试环境 没有IDE真的蛮难受的 安装插件TASM/MASM 右键扩展设置,选择Assembler:MASM 右键调试即可开始 Debug的主要命令 R-查看和修改寄存器 D-查看内存单元 E-修改内…

Remote Desktop Manager for Mac:远程桌面管理软件

Remote Desktop Manager for Mac,是远程桌面管理的理想之选。它集成了多种远程连接技术,无论是SSH、RDP还是VNC,都能轻松应对,让您随时随地安全访问远程服务器和工作站。 软件下载:Remote Desktop Manager for Mac下载…

Linux虚拟机环境搭建spark

Linux环境搭建Spark分为两个版本,分别是Scala版本和Python版本。 一、 安装Pyspark 本环境以 Python 环境为例。 1、下载spark 下载网址:https://archive.apache.org/dist/spark 下载安装包:根据自己环境选择合适版本,本环境…

【JSON2WEB】11 基于 Amis 角色功能权限设置页面

【JSON2WEB】01 WEB管理信息系统架构设计 【JSON2WEB】02 JSON2WEB初步UI设计 【JSON2WEB】03 go的模板包html/template的使用 【JSON2WEB】04 amis低代码前端框架介绍 【JSON2WEB】05 前端开发三件套 HTML CSS JavaScript 速成 【JSON2WEB】06 JSON2WEB前端框架搭建 【J…

【氮化镓】p-GaN栅极退化的温度和结构相关性

论文总结: 本文献深入研究了带有p-GaN栅极的正常关断型(normally-off)高电子迁移率晶体管(GaN-HEMTs)在恒定电压应力下的时序退化行为。通过直流特性分析和温度依赖性分析,研究了故障时间(TTF)与应力温度和器件几何结构的依赖性。结果显示,p…

4毛5起的国产32位单片机 PY32F002A系列,多种封装可以选择

PY32F002A系列单片机可以说是现在市面上非常火的一款32位单片机了,超低的价格,不错的性能,让很多开发者都选择了它。主频最大24M,有着20Kbytes flash 和 3Kbytes SRAM,很多小产品也是足够用了。PY32F002A的SOP8封装的价…

SQLite中的动态内存分配(五)

返回:SQLite—系列文章目录 上一篇:SQLite中的原子提交(四) 下一篇:SQLite使用的临时文件(二) ​概述 SQLite使用动态内存分配来获得 用于存储各种对象的内存 (例如&#xff1a…

Nacos的搭建和使用——SpringCloud Alibaba

1. 概要说明 在使用Nacos之前,请在你的虚拟机中下载好Nacos,再进行连接本机使用 port:8848 本机访问地址:http://{虚拟机ip}:8848/nacos/ 访问账号密码:nacos/nacos 2. Nacos的作用 2.1 服务发现中心 微服务将自身注册至Nacos&am…

uniapp怎么使用接口返回的iconfont图标

uniapp怎么使用接口返回的iconfont图标 首先在你的项目中添加该图标&#xff0c;名称要对应 实际应用 item.ICONFONT_NAME“tools”; item.ICONFONT_COLOR“FA5151”; <view class"iconfont" :class"icon-item.ICONFONT_NAME" :color"item.ICON…

浅谈电商网络爬虫技术

摘 要 目前网络上存在着海量的数据资料&#xff0c;将这些数据爬取保存下来&#xff0c;并进行进一步操作&#xff0c;即可挖掘出数据的潜在价值。如今的互联网存在的缺陷是用户很难获得有用的数据资料&#xff0c;虽然传统的搜索引擎可以为用户返回大量信息&#xff0c;但是…

MySQL数据库(MySQL主从搭建|Django中实现MySQL读写分离|Django中使用MySQL连接池)

文章目录 一、MySQL主从搭建1.MySQL主从的目的&#xff1f;2.MySQL主从原理3.搭建步骤 二、Django中实现MySQL读写分离1.使用sqlite实现读写分离2.MySQL实现读写分离 三、Django中使用连接池1.使用池的目的2.Django中使用MySQL连接池 一、MySQL主从搭建 1.MySQL主从的目的&…

【vue3学习笔记(一)】vue3简介;使用vue-cli创建工程;使用vite创建工程;分析工程结构;安装开发者工具

尚硅谷Vue2.0Vue3.0全套教程丨vuejs从入门到精通 对应课程136-140节 课程 P136节 《vue3简介》笔记 课程 P137节 《使用vue-cli创建工程》笔记 官方文档&#xff1a; https://cli.vuejs.org/zh/guide/creating-a-project.html#vue-create官方文档地址 查看vue-cli版本&#x…

zotero+word优化管理参考文献

写论文&#xff0c;整理参考文献&#xff0c;管理参考文献很麻烦&#xff0c;参考文献格式罗列很麻烦&#xff0c;论文需要修改时&#xff0c;重新调整参考文献顺序很麻烦。 zoteroword可以很好的帮助解决这个问题。 Step1 zotero软件安装 默认word你已经安装好了 step2 安…

HWOD:九键输入法的转换

一、知识点 A的ASCII码是65&#xff0c;Z的ASCII码是90 a的ASCII码是97&#xff0c;z的ASCII码是122 从z到a的反循环&#xff0c;用26求余数 二、题目 1、描述 九键手机键盘上的数字与字母的对应&#xff1a; 1--1&#xff0c; abc--2, def--3, ghi--4, jkl--5, mno--6, …