第一篇:商业银行渗透测试解决方案
商业银行渗透测试解决方案
一、渗透测试背景
银行是网络信息技术应用最密集、应用水平最高的行业之一,基于计算机网络的各类银行信息系统已经成为银行产品的开发推广、银行业务的展开、银行日常管理和决策的所依赖的关键组成部分。这种依赖性使得银行面临着由于网络信息系统本身所带来的银行信息技术风险。
银行信息技术风险的主要挑战来自于基础网络信息技术的复杂性和变化,其中面对互联网主要有以下几个方面风险:
基于网络的电子银行,需要有完善的安全体系架构; 面向Internet的银行业务面临着各种各样的互联网威胁;
远程移动用户接入和内部用户接入Internet,都可能引入不同类型的威胁源;
钓鱼网站对于银行网上业务和企业信誉的损害。伴随银行业务的发展,原有的网上银行、门户网站等都进行了不同程度的功能更新和系统投产,同时,行内系统安全要求越来越高,可能受到的恶意攻击包括:信息篡改与重放、信息销毁、信息欺诈与抵赖、非授权访问、网络间谍、“黑客”入侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹等。这些攻击完全能造成信息系统瘫痪、重要信息流失。
二、渗透测试的目标
本项目通过渗透测试的方式,模拟黑客的攻击思路与技术手段,达到以下目标:
从攻击者角度,发现网银系统、信用卡网站、门户网站和中间业务等应用系统及网关入口设备存在的安全隐患;
检测对外提供服务的业务系统(如网银系统、信用卡网站、门户网站等)以及行内重要业务系统的威胁防御能力。
深度挖掘渗透测试范围内应用系统各个层面(应用层、网络层、系统层)的安全漏洞;
检验当前安全控制措施的有效性,针对发现的安全风险及时进行整改,增强系统自身防御能力,提升安全保障体系的整体健壮性。
三、渗透测试原则与风险控制原则 遵循规范 渗透测试通过可控的安全测试技术对限定范围内的应用系统进行渗透测试,同时结合以下业界著名的测试框架组合成最佳实践进行操作:
ISECOM制定的开源安全测试方法OSSTMM-v2.2 开放Web应用安全项目OWASP-v3 风险控制
渗透测试过程最大的风险在于测试过程中对业务产生影响,为此我们在实施渗透测试中采取以下措施来减小风险:
双方确认
进行每一阶段的渗透测试前,必须获得客户方的书面同意和授权。对于任何渗透测试的对象的变更和测试条件的变更也都必须获得双方的同意并达成一致意见,方可执行。
工具选择
为防止造成真正的攻击,在渗透性测试项目中,启明星辰会严格选择测试工具,杜绝因工具选择不当造成的将病毒和木马植入的情况发生。
时间选择 为减轻渗透性测试对用户网络和系统的影响,安排在不影响正常业务运作的时间段进行,具体时间主要限制双方协调和商定的时间范围内。
范围控制
启明星辰承诺不会对授权范围之外的网络设备、主机和系统进行漏洞检测、攻击测试,严格按照渗透测试范围内限定的应用系统进行测试。
策略选择
为防止渗透性测试造成用户网络和系统的服务中断,启明星辰在渗透性测试中不使用含有拒绝服务的测试策略,不使用未经许可的方式进行渗透测试。
操作过程审计
为保证测试过程可审计,启明星辰将在测试过程中开启测试工具的审计日志功能,阶段性测试目标测试结束后,会将审计日志提交用户,以便用户监控测试过程。
项目沟通
启明星辰建议:在项目实施过程中,除了确定不同阶段的测试人员以外,还要确定各阶段的客户方配合人员,建立双方直接沟通的渠道;项目实施过程中需要客户方人员同时在场配合工作,并保持及时、充分、合理的沟通。
系统备份和恢复措施
为避免实际渗透测试过程中可能会发生不可预知的风险,因此在渗透测试前相关管理人员应对系统或关键数据进行备份、确保相关的日志审计功能正常开启,一旦在出现问题时,可以及时的恢复运转。
四、渗透测试工作内容与方法 渗透测试方法
渗透测试完全模拟黑客的入侵思路与技术手段,黑客的攻击入侵需要利用目标网络的安全弱点,渗透测试也是同样的道理。以人工渗透为主,以攻击工具的使用为辅助,这样保证了整个渗透测试过程都在可以控制和调整的范围之内。
渗透测试流程
渗透测试流程严格依照下图执行,采用可控制的、非破坏性质的渗透测试,并在执行过程中把握好每一个步骤的信息输入/输出,控制好风险,确保对光大银行网络不造成破坏性的损害,保证渗透测试前后信息系统的可用性、可靠性保持一致。渗透测试内容
通过可控的安全测试技术对限定范围内的应用系统进行渗透测试,同时结合业界著名的OSSTMM与OWASP测试框架组合成最佳实践进行操作。
第二篇:软件工程-渗透测试
火龙果整理 uml.org.cn
渗透测试技术
目录
1.1渗透测试概念.....................................................................................................................2 1.2渗透测试原理.....................................................................................................................2 1.3渗透测试目标.....................................................................................................................2 1.4渗透测试特点.....................................................................................................................3 1.5渗透测试流程和授权.........................................................................................................4
1.5.1渗透测试流程..........................................................................................................4 1.5.2渗透测试授权..........................................................................................................4 1.6渗透测试方法.....................................................................................................................5
1.6.1测试方法分类..........................................................................................................5 1.6.2信息收集..................................................................................................................5 1.6.3端口扫描..................................................................................................................6 1.6.4权限提升..................................................................................................................6 1.6.5不同网段/Vlan之间的渗透....................................................................................6 1.6.6溢出测试..................................................................................................................6 1.6.7SQL注入攻击..........................................................................................................7 1.6.8检测页面隐藏字段..................................................................................................7 1.6.9跨站攻击..................................................................................................................7 1.6.10WEB应用测试.......................................................................................................7 1.6.11代码审查................................................................................................................8 1.6.12第三方软件误配置................................................................................................8 1.6.13Cookie利用............................................................................................................8 1.6.14后门程序检查........................................................................................................8 1.6.15VOIP测试..............................................................................................................8
火龙果整理 uml.org.cn 1.6.16其他测试................................................................................................................9 1.7常用渗透测试工具.............................................................................................................9
1.7.1应用层工具............................................................................................................10 1.7.2系统层工具............................................................................................................10 1.7.3网络层工具............................................................................................................10 1.7.4其他方法和工具....................................................................................................11 1.8渗透测试风险规避措施...................................................................................................11
1.1渗透测试概念
渗透测试(Penetration Test), 是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节。
web网络渗透测试:主要通过对目标系统信息的全面收集、对系统中网路设备的探测、对服务器系统主机的漏洞扫描、对应用平台及数据库系统的安全性扫描及通过应用系统程序的安全性渗透测试等手段来完成对整个web系统的安全性渗透检测。该渗透测试是一个完整、系统的测试过程,涵盖了网络层面、主机层面、数据层面以及应用服务层面的安全性测试。
1.2渗透测试原理
渗透测试主要依据CVE(Common Vulnerabilities & Exposures公共漏洞和暴露)已经发现的安全漏洞,以及隐患漏洞。模拟入侵者的攻击方法对应用系统、服务器系统和网络设备进行非破坏性质的攻击性测试。
1.3渗透测试目标
渗透测试利用各种安全扫描器对网站及相关服务器等设备进行非破坏性质的模拟入侵者攻击,目的是侵入系统并获取系统信息并将入侵的过程和细节总结编写成测试报告,由此确定存在的安全威胁,并能及时提醒安全管理员完善安全策略,降低安全风险。
人工渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但是存在一定的误报率,不能发现高层次、复杂的安全问题;渗透测试对测试者的专业技能要
火龙果整理 uml.org.cn 求很高(渗透测试报告的价值直接依赖于测试者的专业技能),但是非常准确,可以发现逻辑性更强、更深层次的弱点。
1.4渗透测试特点
入侵者的攻击入侵需要利用目标网络的安全弱点,渗透测试也是同样的道理。测试人员模拟真正的入侵者入侵攻击方法,以人工渗透为主,辅助以攻击工具的使用,以保证整个渗透测试过程都在可以控制和调整的范围之内,同时确保对网络没有造成破坏性的损害。
由于采用可控制的、非破坏性质的渗透测试,因此不会对被评估的客户信息系统造成严重的影响。在渗透测试结束后,客户信息系统将基本保持一致。
火龙果整理 uml.org.cn 1.5渗透测试流程和授权 1.5.1渗透测试流程
1.5.2渗透测试授权
测试授权是进行渗透测试的必要条件。用户应对渗透测试所有细节和风险的知晓、所有过程都在用户的控制下进行。
火龙果整理 uml.org.cn 1.6渗透测试方法 1.6.1测试方法分类
根据渗透目标分类: 主机操作系统渗透:
对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统进行渗透测试。 数据库系统渗透:
对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2等数据库应用系统进行渗透测试。 应用系统渗透:
对渗透目标提供的各种应用,如ASP、CGI、JSP、PHP等组成的www.xiexiebang.com 信息收集的方法包括主机网络扫描、操作类型判别、应用判别、账号扫描、配置判别等等。模拟入侵攻击常用的工具包括Nmap、Nessus、X-Scan等,操作系统中内置的许多工具(例如telnet)也可以成为非常有效的模拟攻击入侵武器。
1.6.3端口扫描
通过对目标地址的TCP/UDP端口扫描,确定其所开放的服务的数量和类型,这是所有渗透测试的基础。通过端口扫描,可以基本确定一个系统的基本信息,结合测试人员的经验可以确定其可能存在,以及被利用的安全弱点,为进行深层次的渗透提供依据。
1.6.4权限提升
通过收集信息和分析,存在两种可能性,其一是目标系统存在重大弱点:测试人员可以直接控制目标系统,然后直接调查目标系统中的弱点分布、原因,形成最终的测试报告;其二是目标系统没有远程重大弱点,但是可以获得远程普通权限,这时测试人员可以通过该普通权限进一步收集目标系统信息。接下来,尽最大努力获取本地权限,收集本地资料信息,寻求本地权限升级的机会。这些不停的信息收集分析、权限升级的结果将构成此次项目整个渗透测试过程的输出。
1.6.5不同网段/Vlan之间的渗透
这种渗透方式是从某内/外部网段,尝试对另一网段/Vlan进行渗透。这类测试通常可能用到的技术包括:对网络设备和无线设备的远程攻击;对防火墙的远程攻击或规则探测、规避尝试。信息的收集和分析伴随着每一个渗透测试步骤,每一个步骤又有三个组成部分:操作、响应和结果分析。
1.6.6溢出测试
当测试人员无法直接利用帐户口令登陆系统时,也会采用系统溢出的方法直接获得系统控制权限,此方法有时会导致系统死机或从新启动,但不会导致系统数据丢失,如出现死机等故障,只要将系统从新启动并开启原有服务即可。一般情况下,如果未授权,将不会进行此项测试!
火龙果整理 uml.org.cn 1.6.7SQL注入攻击
SQL注入常见于应用了SQL 数据库后端的网站服务器,入侵者通过提交某些特殊SQL语句,最终可能获取、篡改、控制网站服务器端数据库中的内容。此类漏洞是入侵者最常用的入侵方式之一。
1.6.8检测页面隐藏字段
网站应用系统常采用隐藏字段存储信息。许多基于网站的电子商务应用程序用隐藏字段来存储商品价格、用户名、密码等敏感内容。恶意用户通过操作隐藏字段内容达到恶意交易和窃取信息等行为,是一种非常危险的漏洞。
1.6.9跨站攻击
入侵者可以借助网站来攻击访问此网站的终端用户,来获得用户口令或使用站点挂马来控制客户端。
1.6.10WEB应用测试
Web脚本及应用测试专门针对Web及数据库服务器进行。根据最新的统计,脚本安全弱点为当前Web系统,尤其是存在动态内容的Web系统比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限,重则将有可能取得系统的控制权限。因此对于含有动态页面的Web、数据库等系统,Web脚本及应用测试将是必不可少的一个环节。在Web脚本及应用测试中,可能需要检查的部份包括:
检查应用系统架构,防止用户绕过系统直接修改数据库; 检查身份认证模块,用以防止非法用户绕过身份认证; 检查数据库接口模块,用以防止用户获取系统权限; 检查文件接口模块,防止用户获取系统文件; 检查其他安全威胁;
火龙果整理 uml.org.cn 1.6.11代码审查
对受测业务系统站点进行安全代码审查的目的是要识别出会导致安全问题和事故的不安全编码技术和漏洞。这项工作虽然可能很耗时,但是必须进行,代码审查测试工作包括如下工作但不仅限于此:
审查代码中的XSS脚本漏洞; 审查代码中的 SQL 注入漏洞; 审查代码中的潜在缓冲区溢出;
审查识别允许恶意用户启动攻击的不良代码技术; 其他软件编写错误及漏洞的寻找及审查。
1.6.12第三方软件误配置
第三方软件的错误设置可能导致入侵者利用该漏洞构造不同类型的入侵攻击。
1.6.13Cookie利用
网站应用系统常使用cookies 机制在客户端主机上保存某些信息,例如用户ID、口令、时戳等。入侵者可能通过篡改cookies 内容,获取用户的账号,导致严重的后果。
1.6.14后门程序检查
系统开发过程中遗留的后门和调试选项可能被入侵者所利用,导致入侵者轻易地从捷径实施攻击。
1.6.15VOIP测试
在对受测网络进行渗透测试时,将会进行VoIP业务的安全测试,所有影响数据网络的攻击都可能会影响到VoIP网络,如病毒、垃圾邮件、非法侵入、DoS、劫持电话、偷听、数据嗅探等,因此,首先会对VoIP网络进行安全测试,接着对VoIP服务器进行测试,这些服务器常常是恶意攻击者的靶子,因为它们是任何一个VoIP网络的心脏。服务器存在的致命弱点包括其操作系统、服务及它所支持的应用软件,可能都会存在安全漏洞。要将黑客对服务
火龙果整理 uml.org.cn 器的攻击降至最小程度,就要对VoIP网络及其服务器、软终端进行全面的安全测试,以查找安全隐患,协助用户技术人员修补这些漏洞。
1.6.16其他测试
在渗透测试中还需要借助暴力破解、网络嗅探等其他方法,目的也是为获取用户名及密码。
1.7常用渗透测试工具
可能使用到的命令和工具包括: 命令:
Google搜索和攻击;
DNS工具:例如:Whois,nslookup, DIG等等;
各种测试命令;
在线网络数据库:Ripe, Afrinic, APNIC, ARIN LACNIC 工具:
主流商业扫描器:ISS Internet Scanner、NEUUS、Core Impact、NSfocus极光扫描器. 黑客常用端口扫描器:如:NMAP、Superscan„ SNMP Sweepers(Solarwinds)„
Website mirror tools(HTTrack, teleport pro)„
无线网络扫描工具(Netstumbler, Kissmet, Wellenreiter, Airsnort) WEB漏扫工具AppScan,wvs, WebInspect, Nstalker、nikto、google hack 溢出工具:Metasploit 破解工具:John the Ripper、THC Hydra、L0phtcrack、Aircrack、Airsnort、Pwdump Sniffer工具:Wireshark、Kismet、Tcpdump、Cain and Abel Ettercap、NetStumbler
火龙果整理 uml.org.cn 1.7.1应用层工具
Acunetix Web Vulnerability Scanner(漏洞扫描工具)
这是一款网络漏洞扫描工具。通过网络爬虫测试网站安全,检测流行的攻击 ,如跨站点脚本、sql 注入等。在被入侵者攻击前扫描购物车、表格、安全区域和其他Web应用程序。
1.7.2系统层工具
SSS6.0扫描器汉化版
Shadow Security Scanner v6.67.58,02月09日发布,俄罗斯安全界非常专业的安全漏洞扫描软件,具有安全扫描,口令检查,操作系统检查等强大功能,支持在线升级。
ISS漏洞扫描器
ISS(国际互联网安全系统公司)是在信息安全领域中专门致力于反黑客攻击的专业公司。目前它的主要产品有四大系列:Real Secure(实时入侵监测器)、Internet Scanner(互联网扫描器)、System Scanner(系统扫描器)、Database Scanner(数据库扫描器)。其中Real Secure和Internet Scanner是其拳头产品,Database Scanner是其独有的专用数据库防黑安全产品。
nmap端口扫描工具
nmap是目前为止最广为使用的国外端口扫描工具之一。它可以很容易的安装到Windows和unix操作系统中,包括mac os x(通过configure、make、make install等命令)然后对主机和网络设备进行端口扫描,以寻找目标主机的漏洞。
1.7.3网络层工具
SolarWinds Engineer’s Edition 是一套非常全面的网络工具库,包括了网络恢复、错误监控、性能监控和管理工具等。除了包含Professional PLUS Edition中所有的工具外,Engineer’s Edition还增加了新的Swich Port Mapper工具,它可以switch上自动执行Layer 2和Layer 3恢复。此工程师版包含了Solarwinds MIB浏览器和网络性能监控器(Network Performance Monitor),以及其他附加网络管理工具。
火龙果整理 uml.org.cn 1.7.4其他方法和工具
Whois命令——是一种Internet目录服务,whois提供了在Internet上一台主机或者某个域的所有者信息,如管理员的姓名、地址、电话号码等,这些信息通常保存在Internlc的数据库内。一旦得到了Whois记录,从查询的结果还可以得知primary和secondary域名服务器的信息。
Nslookup——一种DNS的排错工具,可以使用nslookup命令把你的主机伪装成secondaryDNS服务器,如果成功便可以要求从主DNS服务器进行区域传送,如果传送成功,可以获得大量有用的信息。
Traceroute——用于路由追踪,判断从你的主机到目标主机经过了哪些路由器、跳计数、响应时间、路由器通断情况等,大多数的操作系统自带了自己版本的traceroute程序。
端口扫描程序——专用的对网络端口进行扫描的工具,定义好IP地址范围和端口后就可以开始扫描。
网络侦查和服务器侦查程序——通过该种程序可以侦查出网络上已经开启的端口。如PingPro的工作是是通过监控远程工程调用服务。
以及测试人员自行编译的渗透测试工具等等。
1.8渗透测试风险规避措施
渗透测试过程中可能对业务产生影响,可以采取以下措施来减小风险: 在渗透测试中不使用含有拒绝服务的测试策略。 渗透测试时间尽量安排在业务量不大的时段或者晚上。
在渗透测试过程中如果出现被评估系统没有响应的情况,应当立即停止测试工作,与用户相关人员一起分析情况,在确定原因后,并待正确恢复系统,采取必要的预防措施(比如调整测试策略等)之后,才可以继续进行。
测试人员会与用户网站系统和安全管理人员保持良好沟通。随时协商解决出现的各种难题。
测试方自控:由渗透测试方对本次测透测试过程中的三方面数据进行完整记录:操作、响应、分析,最终形成完整有效的渗透测试报告提交给用户。
火龙果整理 uml.org.cn
一、基于网站的渗透
1、名称:Acunetix Web Vulnerability Scanner 6(有收费和免费两种版本)
功能:网站漏洞扫描器。
平台:Windows
2、名称:IBM Rational AppScan 7.8
功能:网站漏洞扫描器。
平台:Windows
3、名称:Jsky
功能:网站漏洞扫描器。
平台:Windows
4、名称:DTools
功能:阿D的多功能入侵工具,带扫描、植马等。
平台:Windows
5、名称:wepoff
功能:网站漏洞扫描器。
平台:Linux / Unix
6、名称:Domain3.6
功能:网站旁注工具。
平台:Windows
7、名称:casi
功能:PHP+MYSQL注射工具。
平台:Windows
8、名称:HP WebInspect 7.7
功能:网站漏洞扫描器。
平台:Windows
9、名称:php_bug_scanner
功能:PHP程序漏洞扫描器。
平台:Windows
10、名称:多线程网站后台扫描工具
功能:扫描网站后台管理登陆地址。
平台:Windows
11、名称:NStalker
功能:网站爬虫。
平台:Windows
12、名称:挖掘鸡 v6.5
功能:挖掘搜索引擎关键字。
平台:Windows
13、名称:cookie注入工具
功能:cookies注入辅助工具。
平台:Windows
火龙果整理 uml.org.cn
14、名称:httpup
功能:通用HTTP上传程序。
平台:Windows
二、基于系统的渗透
1、名称:nmap
功能:系统端口扫描器。
平台:Windows
2、名称:Nessus
功能:系统漏洞扫描器。
平台:Windows
3、名称:X-Scan
功能:系统漏洞扫描器。
平台:Windows
4、名称:SuperScan
功能:系统端口扫描器。
平台:Windows
5、名称:SSS
功能:SSS扫描器。
平台:Windows
6、名称:NetCat
功能:瑞士军刀。
平台:Windows
7、名称:Apache Tomcat Crack
功能:Tomcat弱口令扫描器。
平台:Windows
8、名称:iisputscanner 功能:中间件扫描器。平台:Windows
9、名称:Metasploit framework
功能:渗透辅助工具。
平台:Windows
10、名称:Encoder 功能:编码转换。平台:Windows
11、名称:awstats 功能:日志分析工具。平台:Windows
12、名称:logclear 功能:日志清除工具。平台:Windows
13、名称:黑刀超级字典生成器
功能:密码生成。
火龙果整理 uml.org.cn平台:Windows
14、名称:溯雪
功能:破解网站、邮箱、BBS登陆密码。平台:Windows
15、名称:MD5crack 功能:MD5密码破解工具包。平台:Windows
16、名称:webbench 功能:压力测试工具,可用于DDOS。平台:Linux/Unix
17、名称:netstumbler 功能:无线网络攻击工具。平台:Windows
18、名称:wifizoo 功能:无线网络攻击工具。平台:Linux/Unix
19、名称:arpsniffer 功能:局域网嗅探抓包。平台:Windows 20、名称:ethereal 功能:局域网嗅探抓包。平台:Windows
21、名称:SnifferPro 功能:局域网嗅探抓包。平台:Windows
22、名称:WinSock Expert 功能:网站上传抓包。平台:Windows
23、名称:logclear 功能:日志清除工具。平台:Windows
24、名称:ByShell、DG远控、PcShare、TeamViewer 功能:远程控制工具。平台:Windows
三、基于数据库的渗透
1、名称:DSQLTools
功能:啊D 的SQL注入工具。
平台:Windows
2、名称:nbsi3.0
功能:MSSQL注入工具。
火龙果整理 uml.org.cn
平台:Windows
3、名称:mysqlweak
功能:Mysql数据库弱口令扫描器。
平台:Windows
4、名称:pangolin
功能:数据库注入工具。
平台:Windows
5、名称:db2utils
功能:DB2漏洞利用工具。
平台:Linux / Unix
6、名称:oscanner
功能:Oracle扫描工具。
平台:Windows
7、名称:oracle_checkpwd_big
功能:Oracle弱口令猜解工具。
平台:Windows
第三篇:渗透测试总结(范文)
XSS、SQL注入、文件上传、弱口令、备份信息泄露 XSS 分析漏洞成因
构造payload NetCat监听端口
nc.exe-lnvp 8888 利用cookie登录 获取权限
弱口令
Burpsuit拦截数据包 Intruder模块 标记密码 加载字典 开始爆破 查看返回值
SQL注入
抓包 Decoder as url 保存post请求 Sqlmap.py
sqlmap.py-r C:Joomla.txt-p filter[category_id] SQLmap OS-shell
sqlmap.exe-r C:Joomla.txt-p filter[category_id]--os-shell 获取交互式shell
第四篇:ICT测试常见异常解决方案
ICT测试常见异常解决方案
一、当测试员把ICT治具装好后,发现测试不良连续2 PCS以上应首先检查:
1、ICT程式是否选用正确,确认是否有升版,ECN,重工单,暂代料等;
2、排线是否插正确,对号入座;
3、所测试PCB板是否曾经过功能测试而没放电的板子,如没放电则烧坏ICT开关板;
4、ICT压床是否完全压到位,检查ICT气压是否在4—6Pa之间。
二、零件不良:
1、查看所有不良零件测试的高低点的位置是否有许多相同的,相同:A、则寻找相应有排插是否良好后再重新插好;
B、寻找相对应的探针是否有异物、氧化、变形、断针等。如有则清理好及更换新探针。不同:A、小电容&热敏电阻受温度影响,其测试值偏低,应加强冷确方法;
B、个别零件测试不稳定,及时通知ICT工程师进行调试。
三、短路不良:
1、ICT治具护板上以及各探针之间是否有锡渣,铜丝等。应及时清理好;
2、ICT治具底部针套是否有被压断(出现开路不良)压弯倒一起(出现短路不良);
3、若是相邻两点短路不良,检查针点是否变形或靠在一起,见意换成小尖针。
四、开路不良:
1、算出相应针点的排插序号(用开路针点号除以32,有小数点都进1位,如100/32=3。125 就是第四号排线。)重新插好。多次插拔仍开路,则用ICT探针笔测试其排插是否为良品,如不良排线进行更换;
2、检查其针点表面是否有异物,探针是否完全陷下去,已失去弹性等,应及时更换探针。
PS:如果以上问题没有能够及时解决,请尽快找ICT工程师进行处理。测试员不能擅自改动ICT测试程式。
第五篇:商业银行内部审计课后测试
多选题
1.内部审计机构在编制审计计划之前,需要了解哪些情况()√
A B C D 组织的战略目标、目标及业务活动重点
相关业务活动的复杂性及其近期变化
相关内部控制的有效性和风险管理水平
相关人员的能力及其岗位的近期变动
正确答案: A B C D
2.审计证据的类型包括()√
A B C D E F 书面证据
实物证据
视听证据
电子证据
口头证据
环境证据
正确答案: A B C D E F
3.撰写审计报告的时候,核心内容应该尽量包括()√
A B C D E 具体问题
原因分析
风险影响
审计建议
处罚意见
正确答案: A B C D E 4.审计抽样,需要具备()√
A B 相关性
全面性 C D 充分性
经济性
正确答案: A C D
5.通过培养审计部门的“营销意识”,可以()√
A B C D 促进审计部门更加重视审计价值的创造
促进审计部门以全局的角度看待审计工作
促进审计部门改进沟通的方式和效果
提升审计部门在组织中的地位
正确答案: A B C D
6.我们可以通过采取以下哪些措施来培养审计部门的营销意识()√
A B C D 以价值驱动审计业务
深入了解管理者的需求
学会对审计产品进行“包装”
树立审计部门的“品牌”
正确答案: A B C D
7.审计报告中,应当包括()√
A B C D E F 审计概况
审计依据
审计发现
审计结论
审计意见
审计建议
正确答案: A B C D E F
8.内部审计人员通过执行分析程序,可以()√ A B C D 确认业务活动信息的合理性
发现差异
分析潜在的差异和漏洞
发现不合法和不合规行为的线索
正确答案: A B C D 3.审计证据应当具备()×
A
B
C
D 相关性
可靠性
充分性
合理性
正确答案: A B C 6.内部审计具有()×
A
B
C D 独立性
客观性
主观性
合理性
正确答案: A B
判断题
9.财务审计阶段的审计目标主要是查错防弊。√
正确
错误 正确答案: 正确
10.内审人员应该对审计中发现的问题采取纠正措施。√
正确
错误
正确答案: 错误 单选题
1.内部审计机构应当在实施审计()前,向被审计单位送达审计通知书。√
A B C D 四日
三日
二日
一日
正确答案: B 多选题
2.内部审计机构在编制审计计划之前,需要了解哪些情况()×
A B C D 组织的战略目标、目标及业务活动重点
相关业务活动的复杂性及其近期变化
相关内部控制的有效性和风险管理水平
相关人员的能力及其岗位的近期变动
正确答案: A B C D
3.审计证据的类型包括()√
A B C D E F 书面证据
实物证据
视听证据
电子证据
口头证据
环境证据
正确答案: A B C D E F
4.撰写审计报告的时候,核心内容应该尽量包括()√ A B C D E 具体问题
原因分析
风险影响
审计建议
处罚意见
正确答案: A B C D E 5.审计抽样,需要具备()√
A B C D 相关性
全面性
充分性
经济性
正确答案: A C D
6.我们可以通过采取以下哪些措施来培养审计部门的营销意识()√
A B C D 以价值驱动审计业务
深入了解管理者的需求
学会对审计产品进行“包装”
树立审计部门的“品牌”
正确答案: A B C D
7.审计报告中,应当包括()√
A B C D E 审计概况
审计依据
审计发现
审计结论
审计意见 F 审计建议
正确答案: A B C D E F 判断题
8.财务审计阶段的审计目标主要是查错防弊。√
正确
错误 正确答案: 正确
9.审计结果的沟通,必须采取书面方式。√
正确 错误
正确答案: 错误
10.内部审计机构应当在审计报告提交之后进行审计结果的沟通。√
正确 错误
正确答案: 错误
点击咨询 