安全测试 —— 你了解WEB安全测试吗?

news2024/11/30 10:49:09

在这里插入图片描述

 
 

在这里插入图片描述
😏作者简介:博主是一位测试管理者,同时也是一名对外企业兼职讲师。
📡主页地址:【Austin_zhai】
🙆目的与景愿:旨在于能帮助更多的测试行业人员提升软硬技能,分享行业相关最新信息。
💎声明:博主日常工作较为繁忙,文章会不定期更新,各类行业或职场问题欢迎大家私信,有空必回。

在这里插入图片描述

 
 

阅读目录

  • 1. 起因
  • 2. 开放式Web应用程序安全项目
    • 2.1 什么是OWASP Top 10漏洞?请列出其中至少五个漏洞并解释其原理和影响。
    • 2.2 你如何进行Web应用程序的安全测试?请描述你的测试方法和工具。
    • 2.3 什么是XSS漏洞?请解释其原理,并给出一个例子说明如何利用此漏洞进行攻击。
    • 2.4 什么是SQL注入攻击?请解释其原理,并给出一个例子说明如何利用此漏洞进行攻击。
    • 2.5 你如何评估一个Web应用程序的安全性?请描述你的方法和工具。
    • 2.6 如何保护Web应用程序的数据安全?请列举几个常见的安全措施。
    • 2.7 什么是加密技术?请列举几种常见的加密算法,并解释其原理。
    • 2.8 什么是CSRF漏洞?请解释其原理,并给出一个例子说明如何利用此漏洞进行攻击。
    • 2.9 什么是DDoS攻击?请解释其原理,并给出一些防范措施。
  • 3. 后话

1. 起因

在这里插入图片描述

  之前在知乎上回答了一个朋友的提问,是关于安全测试相关面试题的,在回答之余让我也不禁想起了自己还在做软测执行的日子。趁着兴起,和团队里的安全测试小伙伴交流了一下,写下了这篇文章,也希望能帮助到更多正在安全测试道路上前行的小伙伴。

 
 
 

2. 开放式Web应用程序安全项目

在这里插入图片描述

2.1 什么是OWASP Top 10漏洞?请列出其中至少五个漏洞并解释其原理和影响。

  SQL注入(SQL Injection)- 攻击者利用Web应用程序中的漏洞注入恶意SQL语句,从而执行未经授权的操作,例如删除,更改或访问敏感数据。

  跨站点脚本(Cross-Site Scripting)- 攻击者通过在Web应用程序中注入恶意脚本来窃取用户的身份验证信息,例如用户名和密码。这些攻击可能导致个人身份被盗用,欺诈,钓鱼和恶意软件传播。

  无效身份验证和会话管理(Broken Authentication and Session Management)- 攻击者可以访问未经授权的资源,例如用户帐户,因为Web应用程序在验证和管理会话方面存在缺陷。这些攻击可能导致个人身份被盗用,信息泄露和欺诈。

  暴露的敏感数据(Sensitive Data Exposure)- 攻击者可以窃取Web应用程序中的敏感信息,例如信用卡号码,社会安全号码和个人健康信息。这些攻击可能导致个人身份被盗用,信息泄露和欺诈。

  安全配置错误(Security Misconfiguration)- 攻击者可以利用Web应用程序中存在的安全配置错误,例如未更新的软件和默认凭据,以获得未经授权的访问。这些攻击可能导致信息泄露和欺诈。

  失效的访问控制(Broken Access Control)-攻击者可以利用Web应用程序的弱访问控制,绕过身份验证,授权和会话管理机制,并访问未经授权的资源。这些攻击可能导致信息泄露,欺诈和数据损坏。

  跨站请求伪造(CSRF)-攻击者可以利用Web应用程序中的漏洞,使用户在不知情的情况下执行恶意操作。这些攻击可能导致用户信息泄露,身份盗用和恶意行为。

  使用含有漏洞的组件(Using Components with Known Vulnerabilities)-攻击者可以利用Web应用程序中使用的已知漏洞的第三方组件。这些攻击可能导致信息泄露,欺诈和数据损坏。
不安全的网络通信(Insufficient Transport Layer Protection)-攻击者可以利用Web应用程序的不安全通信机制(例如HTTP)中的漏洞,以窃取用户的身份验证信息或敏感数据。这些攻击可能导致用户信息泄露,身份盗用和恶意行为。

  不安全的加密存储(Insufficient Cryptographic Storage)-攻击者可以利用Web应用程序中存储的敏感数据的不安全加密存储机制中的漏洞,以窃取或更改数据。这些攻击可能导致用户信息泄露,身份盗用和恶意行为。

对于这题测试人员应该协助开发人员在日常的安全测试中进行一系列的对应活动,如:采用最佳实践,如输入验证,输出编码,访问控制和加密,以及定期进行漏洞扫描和渗透测试,以发现和修复漏洞。

 
 

2.2 你如何进行Web应用程序的安全测试?请描述你的测试方法和工具。

  这里就借鉴我们自己团队的日常安全测试流程来举例:

  收集信息:首先,我们会收集Web应用程序的相关信息,包括应用程序的技术架构、数据库类型、所用编程语言、操作系统、开发框架等,以便更好地了解应用程序的特点和潜在漏洞。
评估风险:根据信息收集结果,我们会评估应用程序中可能存在的漏洞和安全风险,并对其进行分类和排序,以确定优先处理的漏洞。

  漏洞扫描:我们会使用自动化工具,如Burp Suite、Nessus、Acunetix等,对Web应用程序进行漏洞扫描,以发现常见的安全漏洞,如SQL注入、跨站脚本、文件包含漏洞等。

  手动测试:我们会结合自动化工具的扫描结果,进行手动测试,以验证漏洞的存在和危害性,并发现自动化工具无法检测到的漏洞,如业务逻辑漏洞等。

  渗透测试:我们会尝试通过各种攻击手段,如暴力破解、社会工程学、网络钓鱼等,来验证应用程序的安全性,发现漏洞和弱点,并提出相应的建议和修复措施。

  报告分析:我们会编写详细的报告,包括漏洞描述、危害性评估、漏洞验证方法、修复建议等,并与开发团队和业务部门进行沟通和协作,以确保漏洞得到及时修复。

  另外不单单是以上说的这些,我们的团队成员还会不断学习和更新自己的知识,了解最新的攻击技术和漏洞,以及最佳的安全实践和工具,以确保对应产品的安全性。

 
 

2.3 什么是XSS漏洞?请解释其原理,并给出一个例子说明如何利用此漏洞进行攻击。

  XSS漏洞(Cross-Site Scripting)是指攻击者通过注入恶意脚本代码到网页中,使得用户在浏览器中加载这些恶意脚本时,从而导致攻击者可以获取用户的敏感信息、劫持用户会话等危害。XSS漏洞是Web应用程序中常见的安全漏洞之一。

  XSS漏洞的原理是,Web应用程序未能对用户输入进行充分的验证和过滤,从而导致攻击者可以注入恶意脚本代码到网页中。这些恶意脚本代码会被浏览器加载并执行,从而使得攻击者可以在用户的浏览器中进行各种恶意操作,如窃取用户的Cookie、密码、银行账号等信息,或者伪造虚假页面诱骗用户进行进一步操作。

这里举个例子:

一个人在攻击者在一个留言板或评论框中输入一些恶意代码,比如:

<script> alert("你的账号已被入侵!"); </script>

  那么当其他用户查看这个留言板或评论时,他们的浏览器会加载并执行这段恶意代码,弹出一个虚假的警告窗口,骗取用户的信任。这个人就可以进一步利用这个漏洞,进行更复杂的攻击,如窃取用户的Cookie或者钓鱼攻击等。

 
 

2.4 什么是SQL注入攻击?请解释其原理,并给出一个例子说明如何利用此漏洞进行攻击。

  SQL注入攻击是指攻击者利用Web应用程序对用户输入的过滤不完全或存在漏洞,将恶意的SQL代码注入到后台数据库中,从而达到窃取、篡改或者删除敏感数据的攻击行为。SQL注入攻击是Web应用程序中比较常见的攻击类型之一。

  SQL注入攻击的原理是,攻击者在Web应用程序的输入框或者其他输入方式中,输入带有恶意SQL语句的字符串。当Web应用程序接收到这些输入并将其直接拼接到SQL查询语句中,而没有对输入数据进行充分的验证和过滤时,攻击者的恶意SQL语句将会被执行。这将使攻击者能够执行任意的SQL查询,如查询、删除或者更新数据库中的数据,或者通过子查询或联合查询等方式访问敏感数据,或者绕过身份验证等安全控制。

同样的,这里我们举个例子:

假设一个Web应用程序包含以下代码,用于执行SQL查询:

username = request.getParameter("username");
password = request.getParameter("password");

sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";

那么攻击者可以在用户名和密码输入框中输入以下恶意字符串:

username: ' or 1=1--
password: '

以上的这串字符就会被拼接成对应SQL进行查询:

SELECT * FROM users WHERE username = '' or 1=1--' AND password = ''

  由于1=1始终为真,因此攻击者注入的恶意SQL语句将会返回数据库中所有用户的数据,而不是只返回攻击者输入的用户名和密码的匹配数据。同时,攻击者使用了–注释符,绕过了后面的AND password = ''子句,从而使得攻击者能够绕过身份验证获取敏感数据。

 
 

2.5 你如何评估一个Web应用程序的安全性?请描述你的方法和工具。

  一般来说作为一名软测工程师,对于WEB应用的安全性会开展以下的一些测试活动:

  第一,会进行手动测试。这意味着将通过使用各种工具和技术,尝试模拟攻击者的行为,以测试Web应用程序的漏洞和安全性。检查Web应用程序的输入点,包括表单、参数和请求头,以查看是否存在潜在的漏洞。还需要检查Web应用程序的输出点,包括响应内容和错误消息,以查看是否存在敏感信息泄露或其他安全问题。

  在手工的基础上使用一些自动化工具来帮助测试人员快速识别Web应用程序的漏洞。这些工具可以检查各种漏洞类型,如SQL注入、跨站脚本攻击等。一些常见的自动化工具包括Burp Suite、Nessus、OpenVAS等。

  除此之外需要参考OWASP Top 10和其他相关的安全标准和最佳实践,以确保涵盖了所有必要的漏洞和问题。关注Web应用程序的认证和授权机制、数据输入和输出验证、安全配置和加密等方面,以确保Web应用程序的安全性。

  在最后,编写测试报告,汇总所有测试结果和发现的漏洞,并提供建议和解决方案来修复这些漏洞和加强Web应用程序的安全性。需要与开发团队和其他相关人员合作,确保漏洞被及时修复和测试,以提高Web应用程序的安全性和可靠性。

 
 

2.6 如何保护Web应用程序的数据安全?请列举几个常见的安全措施。

  数据加密:使用加密技术来保护数据的安全性,例如使用HTTPS协议来加密数据传输,使用加密算法来加密数据存储。

  数据备份:定期备份数据,并将备份数据存储在安全的地方,以便在数据丢失或遭到攻击时可以及时恢复数据。

  访问控制:对敏感数据进行访问控制,只允许授权的用户访问,可以使用身份验证和授权机制,如基于角色的访问控制和单点登录等。

  安全配置:确保Web应用程序的安全配置正确并进行了及时更新,例如禁用不必要的服务和端口,禁用默认账户和密码等。

  强密码策略:采用强密码策略,要求用户使用复杂密码,并定期要求用户更改密码,防止密码泄露和猜测攻击。

  安全编程:编写安全的代码,遵循安全最佳实践和安全标准,例如OWASP Top 10等,减少漏洞和安全问题的出现。

  安全审计:定期对Web应用程序进行安全审计,检查是否存在安全漏洞和安全问题,及时修复和更新系统。

  安全培训:对Web应用程序的用户和管理人员进行安全培训,提高安全意识和知识水平,降低安全风险。

 
 

2.7 什么是加密技术?请列举几种常见的加密算法,并解释其原理。

  加密技术是一种通过对数据进行编码,使得只有授权人员可以解码并访问数据的技术。其目的是为了保护数据的安全性和隐私性。

以下是几种常见的加密算法:

  对称加密算法:对称加密算法采用相同的密钥对数据进行加密和解密。常见的对称加密算法有DES、3DES、AES等。其原理是将明文和密钥进行异或或其他运算得到密文,解密时将密文和密钥进行相同的运算得到明文。

  非对称加密算法:非对称加密算法使用一对公钥和私钥来加密和解密数据。常见的非对称加密算法有RSA、DSA等。其原理是使用公钥加密数据,只有使用对应的私钥才能解密数据。

  哈希算法:哈希算法是一种将任意长度的消息压缩成固定长度的摘要的算法。常见的哈希算法有MD5、SHA-1、SHA-2等。其原理是将明文数据通过哈希算法得到一个固定长度的摘要,不同的数据对应的摘要是不同的,而相同的数据对应的摘要是相同的。

  对称和非对称加密算法结合:常见的实现方式是使用对称加密算法加密数据,再使用非对称加密算法加密对称加密算法所使用的密钥。这样可以避免非对称加密算法的低效率和密钥管理问题。

 
 

2.8 什么是CSRF漏洞?请解释其原理,并给出一个例子说明如何利用此漏洞进行攻击。

  CSRF(Cross-Site Request Forgery)漏洞是一种常见的Web安全漏洞,攻击者可以利用该漏洞对已登录的用户发起恶意请求。攻击者通过诱骗用户点击链接或者访问特定网页,使得用户的浏览器向目标网站发送一些携带用户身份验证信息的请求,从而达到攻击的目的。

  其原理是攻击者通过构造恶意请求,来冒充合法用户的身份,向目标网站发送请求。当用户访问了攻击者构造的恶意网站或点击了恶意链接时,攻击者构造的恶意请求就会被发送到目标网站,而浏览器会携带用户的身份验证信息,如Cookies等,目标网站会认为这些请求是合法的,并执行请求中包含的操作。

这里举一个例子:

比如某个交易网站,在转账时会向后端发送如下请求:

POST /transfer.do HTTP/1.1
Host: example.com
Cookie: sessionid=1234567890
Content-Type: application/x-www-form-urlencoded
Content-Length: 25

to=alice&amount=1000.00

那么攻击者就可以通过构造一个包含类似内容的请求,在用户未察觉的情况下伪装成用户发起转账请求。

POST /transfer.do HTTP/1.1
Host: example.com
Cookie: sessionid=1234567890
Content-Type: application/x-www-form-urlencoded
Content-Length: 25

to=attacker&amount=1000000.00

  由于浏览器会携带用户的Cookie信息,攻击者的请求看起来和合法用户的请求没有区别,因此目标网站会认为这个请求是合法的,并将资金转移到攻击者的账户中。

 
 

2.9 什么是DDoS攻击?请解释其原理,并给出一些防范措施。

  DDoS(Distributed Denial of Service)攻击是指攻击者通过控制大量的机器(如僵尸网络)对目标网站发起大量的请求,从而使目标网站无法正常服务或崩溃。

  其原理是攻击者利用控制的大量机器同时向目标网站发起请求,造成目标网站服务器资源耗尽,无法响应合法用户的请求。攻击者通过控制的大量机器分散请求,使得目标网站难以通过IP地址等信息来识别攻击流量,从而加大了防御的难度。

  限制请求流量:对于目标网站来说,可以限制每个IP地址的请求速率,限制并发连接数等来减轻攻击流量的影响。

  利用负载均衡:通过将请求分散到多台服务器上,可以减轻单台服务器的负载,提高系统的抗压能力。

  使用CDN服务:通过将静态资源缓存到全球各地的节点上,可以将请求流量分散到多个节点上,从而减轻目标服务器的负载压力。

  使用防火墙等安全设备:使用防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等安全设备,对流量进行监控和防御。

  云端防御:使用云安全服务提供商的DDoS防御服务,可以将攻击流量分散到云端进行处理,提高抗击DDoS攻击的能力。

一般来说方法DDoS攻击也比较方便,我们可以从以下几个方面入手:

  增强硬件设备:购买更高配置的硬件设备,比如防火墙、路由器、交换机等,增强其对DDoS攻击的处理能力。

  使用反向代理:使用反向代理服务器来拦截和过滤大量非法请求,只允许合法请求进入到内部服务器,从而有效减轻攻击的压力。

  使用DDoS防护服务:购买DDoS防护服务,将服务器接入到DDoS防护的网络中,实时监测和过滤攻击流量,保障服务器正常运行。

  限制请求速率和频率:设置最大请求速率和频率,超过此限制的请求将被丢弃,防止大量请求占用服务器资源。

  实时监控服务器状态:通过实时监控服务器状态,对异常流量进行及时处理,防止攻击造成更大的损失。

  而且这里值得注意的是,防范的方法不是只选取一种即可,最佳的防范方法还是综合运用多种手段,有效隔绝DDoS攻击的各种进攻方式。

 
 
 

3. 后话

在这里插入图片描述

  好了,以上就是团队中安全测试小伙伴们分享的对应安全基本知识,其实在日常的工作中,我们会接触到的安全测试内容与问题远远不止这些,在安全测试的领域中,只有保持着永远学习的态度才能将产品的安全质量保障活动的水平保持在一个较高的水准。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/991654.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

UG\NX二次开发 已知3x3矩阵分别求XYZ方向 UF_MTX3_x_vec、UF_MTX3_y_vec、UF_MTX3_z_vec

文章作者:里海 来源网站:王牌飞行员_里海_里海NX二次开发3000例,里海BlockUI专栏,C\C++-CSDN博客 简介: UG\NX二次开发 已知3x3矩阵分别求XYZ方向 UF_MTX3_x_vec、UF_MTX3_y_vec、UF_MTX3_z_vec 效果: 代码: #include "me.hpp"void ufusr(char* param,…

我眼中的《视觉测量技术基础》

为什么会写这篇博客&#xff1a; 首先给大家说几点&#xff1a;看我的自我介绍对于学习这本书没有任何帮助&#xff0c;如果你是为了急切的想找一个视觉测量的解决方案那可以跳过自我介绍往下看或者换一篇博客看看&#xff0c;如果你是刚入门想学习计算机视觉的同学&#xff0…

YOLOv8 目标检测及图片裁剪

前言 之前我们已经训练了识别是否佩戴口罩的模型文件&#xff0c;可以有效识别人群是否口罩&#xff0c;本文将会讲解如何将识别到的目标裁剪出来 目标识别 需要指定 save_txtTrue&#xff0c;保存数据标注文件 txt yolo predict modelruns/detect/train26/weights/best.pt…

一文带你快速入门『YOLOv8』

前言 本文是 YOLOv8 入门指南&#xff08;大佬请绕过&#xff09;&#xff0c;将会详细讲解安装&#xff0c;配置&#xff0c;训练&#xff0c;验证&#xff0c;预测等过程 YOLOv8 官网&#xff1a;ultralytics/ultralytics: NEW - YOLOv8 &#x1f680; in PyTorch > ONN…

AjaxJavaScriptcss模仿百度一下模糊查询功能

1、效果 如下图所示&#xff0c;我们在输入大学时&#xff0c;程序会到后端查询名字中包含大学的数据&#xff0c;并展示到前端页面。 用户选择一个大学&#xff0c;该大学值会被赋值到input表单&#xff0c;同时关闭下拉表单&#xff1b; 当页面展示的数据都不符合条件时&…

华为云云耀云服务器L实例评测|基于云服务器的minio部署手册

华为云云耀云服务器L实例评测|基于云服务器的minio部署手册 【软件安装版本】【集群安装&#xff08;是&#xff09;&#xff08;否&#xff09;】 版本 创建人 修改人 创建时间 备注 1.0 jz jz 2023.9.2 minio华为云耀服务器 一. 部署规划与架…

Python程序设计实例 | 条形码图片识别

* 本系列推文案例中&#xff0c;建议Python采用3.10及以上版本&#xff0c;NumPy采用1.22.3及以上版本&#xff0c;Matplotlib采用3.5.1及以上版本&#xff0c;Pandas采用1.4.2及以上版本。Python从3.10这个版本开始&#xff0c;标准发行版本中自带的IDLE交互式环境中输入提示符…

腾讯云和阿里云2核2G服务器租用价格表对比

2核2G云服务器可以选择阿里云服务器或腾讯云服务器&#xff0c;腾讯云轻量2核2G3M带宽服务器95元一年&#xff0c;阿里云轻量2核2G3M带宽优惠价108元一年&#xff0c;不只是轻量应用服务器&#xff0c;阿里云还可以选择ECS云服务器u1&#xff0c;腾讯云也可以选择CVM标准型S5云…

JS中 bind()的用法,call(),apply(),bind()异同点及使用,如何手写一个bind()

✨什么是bind() bind()的MDN地址 bind() 方法创建一个新函数&#xff0c;当调用该新函数时&#xff0c;它会调用原始函数并将其 this 关键字设置为给定的值&#xff0c;同时&#xff0c;还可以传入一系列指定的参数&#xff0c;这些参数会插入到调用新函数时传入的参数的前面。…

项目(智慧教室)第五部分,Zigbee采集控制功能实现

一。IAR工程针对Zigbee的修改 补充&#xff1a;硬件配置 &#xff08;1&#xff09;拨码开关拨到公口处&#xff0c;协调器的连接 &#xff08;2&#xff09;协调器的烧写&#xff08;Zigbee协调器也需要烧写&#xff09; &#xff08;4&#xff09;温湿度模块的烧写 1.寻找Z…

工具 | XShell的学习与使用

工具 | XShell的学习与使用 时间&#xff1a;2023年9月8日09:03:29 文章目录 工具 | XShell的学习与使用1.下载2.安装 1.下载 1.官网XSHELL - NetSarang Website 2.免费版下载&#xff1a;家庭/学校免费 - NetSarang Website (xshell.com) 3.https://cdn.netsarang.net/de06d10…

LabVIEW检测润滑油中的水分和铁颗粒

LabVIEW检测润滑油中的水分和铁颗粒 润滑油广泛应用于现代机械设备&#xff0c;由于工作环境日益恶劣&#xff0c;润滑油经常被水分乳化&#xff0c;加速对机械设备的腐蚀。此外&#xff0c;润滑油还受到机械零件摩擦中产生的Fe颗粒的污染&#xff0c;削弱了其机械润滑效果。润…

mobaXterm使用pycharm

首先去pycharm的官网PyCharm: the Python IDE for Professional Developers by JetBrains 下载pycharm&#xff08;选择linux的community版本即可&#xff09; 下载后的压缩包拖拽到mobaXterm如下位置&#xff1a; 进入压缩包所在的文件夹&#xff08;图中这个位置是root目录&…

docker镜像 容器 仓库

docker镜像 Docker 运行容器前需要本地存在对应的镜像&#xff0c;如果本地不存在该镜像&#xff0c;Docker会从镜像仓库下载该镜像。 获取镜像 Docker Hub 上有大量的高质量的镜像可以用&#xff0c;这里我们就说一下怎么获取这些镜像。 从 Docker 镜像仓库获取镜像的命令…

中科驭数KPU FLEXFLOW®-2100R RDMA加速DPU卡正式发布,下一代数据中心互联的“超级高速公路”

2023服贸会期间&#xff0c;中科驭数重磅推出最新自研的高性能网络“利器”——KPU FLEXFLOW-2100R RDMA加速DPU卡。这款产品的发布标志着中科驭数在高性能计算和数据中心领域的不断创新&#xff0c;旨在面向高速网络、高性能存储搭建起算力集群内部通信的"超级高速公路”…

【前端】在Vue页面中引入其它vue页面 数据传输 相互调用方法等

主页面 home 从页面 headView 需求 在 home.vue 中引用 headView.Vue 方案: home.vue 代码: 只需要在home.vue 想要的地方添加 <headView></headView> <script>//聊天页面 import headView /view/headView.vueexport default {components: {headView},…

978. 最长湍流子数组

978. 最长湍流子数组 原题链接&#xff1a;完成情况&#xff1a;解题思路&#xff08;一&#xff09;&#xff1a;滑动窗口参考代码&#xff1a; 解题思路&#xff08;二&#xff09;&#xff1a;动态递归参考代码&#xff1a; 针对&#xff08;二&#xff09;进行优化&#x…

组件安全以及漏洞复现

组件安全 1. 概述 A9:2017-使⽤含有已知漏洞的组件 A06:2021-Vulnerable and Outdated Components ​ 组件&#xff08;例如&#xff1a;库、框架和其他软件模块&#xff09;拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件被攻击者利用&#xff0c;可能会造成…

【2023年11月第四版教材】第11章《成本管理》(第2部分)

第11章《成本管理》&#xff08;第2部分&#xff09; 4 规划成本管理4.1 成本管理计划★★★ 5 估算成本5.1 估算成本★★★ &#xff08;19上57&#xff09; &#xff08;19下35&#xff09;5.2 数据分析★★★5.4 成本估算★★★ 6 制定预算6.1 成本基准★★★ 7 控制成本7.1…

FOXBORO FBM233 P0926GX电源模块产品特点

FOXBORO FBM233 P0926GX 是一款电源模块&#xff0c;通常用于供电和管理工业自动化和控制系统中的设备和模块。以下是可能与这款电源模块相关的一些产品特点和功能&#xff1a; 电源输出&#xff1a; FBM233 P0926GX 电源模块提供一个或多个电源输出通道&#xff0c;用于为其他…