OWASP前十大漏洞
OWASP前十大漏洞
十大漏洞原因危害攻击方法
1 跨站脚本
(XSS,Cross Site
Scripting)
CGI程序没有对用
户提交的变量中的
HTML代码进行过
滤或转换;对提交的
数据没有经过适当
的验证或转译
黑客可以利用浏览器
中的恶意脚本获得用
户的数据,破坏网站,
插入有害内容,以及展
开钓鱼式攻击和恶意
攻击。
攻击者注入非法的标
签与脚本最终都要在
客户端执行,攻击的过
程实际上都在客户端
的浏览器上发生的。
能在客户端进行跨站
的不仅仅是HTML标签
与JavaScript脚本,
还包含一些其它的客
户端应用,比如Flash
里的ActionScript脚
本也能辅助发起XSS
攻击
2 注入漏洞(Injection
Flaw)
字符过滤不严紧所
造成的
攻击者可利用注入漏
洞诱使Web应用执行
未预见的命令或数据
库查询,从而对数据库
信息进行窃取、篡改、
删除等
攻击者把一些包含指
令的数据发送给解释
器,解释器会把收到的
数据转换成指令执行。
3 恶意脚本执行
(Malicious File
Excution)
Web应用程序引入
来自外部的恶意文
件并执行文件内容
攻击者可利用恶意文
件执行漏洞进行攻击
取得Web服务器控制
权,进行不法利益或获
取经济利益
攻击者在具有引入功
能程序的参数中修改
参数内容,Web服务器
便会引入恶意程序内
容从而受到恶意文件
执行漏洞攻击
4 不安全的直接对象
参照物(Insecure
Direct Object
Reference)
当网站地址或者其
他参数包含了文件、
目录、数据库记录或
者关键字等参照物
对象时就可能发生
这种攻击
可能在网络接口中暴
露出用户的账号或是
重要文件
攻击者可以通过猜想
或者搜索另一个有效
关键字的方式攻击这
些参数
5 跨站指令伪造
(CSRF,Cross-Site
Request Forgery)
它们是根据会话
cookie或者“自动记
忆”功能来授权指令
的
攻击者能让受害用户
修改的任何数据,或者
是执行允许使用的任
何功能
已登入Web应用程序
的合法使用者执行到
恶意的HTTP指令,但
Web应用程序却当成
合法需求处理,使得恶
意指令被正常执行
6 信息泄露和错误处
理不当(Information
Leakage and
Improper Error
Handing)
有些系统没有统一
的异常处理页面,用
户访问出现错误时
会展现给用户调试
错误,甚至SQL脚
本错误
可能将用户的隐私信
息、软件的配置或者其
他内部资料泄露出去
WEb应用程序的执行
错误信息包含敏感资
料,黑客利用这些信息
可以知道一些重要资
料
7 不安全的认证和会
话管理(Broken
Authentication and
Session
Management)
Web应用程序中自
行撰写的身份验证
相关功能有缺陷
可能导致部分甚至全
部账户遭受攻击。一旦
攻击成功,攻击者能执
行合法用户的任何操
作。因此特权账户会造
成更大的破坏
攻击者破坏密码、密
钥、会话令牌或利用实
施漏洞冒充其他用户
身份
8 不安全的加密存储
设备(Insecure
Cryptographic
Storage)
Web应用程序员没
有对敏感资料使用
加密、使用较弱的加
密演算法或将密钥
储存于容易被取得
之处
攻击者能够取得或是
篡改机密的或是私有
的信息;通过这些秘密
的窃取从而进行进一
步的攻击;造成企业形
象破损,用户满意度下
降,甚至会有法律诉讼
等
由于没有对重要文件
加密或是很好加密的
话,黑客就利用抓包工
具获得重要文件,便可
直接或是简单的解密
就可查看文件
9 不安全的通信
(Insecure
Communucation)
传输敏感性资料时
并未使用HTTPS或
其他加密方式
攻击者能够取得或是
篡改机密的或是私有
的信息;通过这些秘密
的窃取从而进行进一
步的攻击;造成企业形
象破损,用户满意度下
降,甚至会有法律诉讼
等
攻击者通过一些黑客
工具截取数据包,从而
获得用户信息
10 未对网站地址的访
问进行限制(Failure
to Restrict URL
Access)
某些网页因没权限
控制,使得攻击者可
透过网址直接存取;
对未授权的网页内容
做修改、删除等操作
攻击者能够很容易的
伪造请求直接访问未
被授权的页面
主要参考:
1. https://www.360docs.net/doc/4c14801321.html,/p-274952440.html
2.
https://https://www.360docs.net/doc/4c14801321.html,/index.php/Taiwan#.E5.8D.81.E5.A4.A7Web.E8.B3.87.E5.AE.89.E6.BC.8
F.E6.B4.9E.E5.88.97.E8.A1.A8
3. https://www.360docs.net/doc/4c14801321.html,/s/blog_5610604c0100p36q.html
SKYJIL YGAO
2012.07.02
企业内部控制的经典案例
企业内部控制的经典案例 --巨人集团的兴衰 一、公司背景 巨人集团曾经是我国民营企业的佼佼者,一度在市场上叱咤风云,该企业以闪电般的速度崛起后,又以流星般的速度迅速在市场上沉落了。1989年8月,史玉柱用先打广告后付款的方式,将其研制的M-6401桌面排版印刷系统软件推向市场,赚进了经商生涯中的第一桶金,奠定了巨人集团创业的基石。1991年4月,珠海巨人新技术公司成立;1993年7月,巨人集团下属全资子公司38个,成为中国第二大民营高科技企业;1994年年初,号称中国第一高楼的巨人大厦一期工程动土,同年史玉柱当选为“中国改革风云人物”;但1997年年初,巨人大厦在只完成了相当于三层楼高的首层大堂后停工,各方债主纷纷上门,老“巨人”的资金链断裂,负债2.5亿元的史玉柱黯然离开,巨人集团破产。 二、老“巨人”的衰弱----内部控制的紊乱 (一)内部环境 巨人集团有董事会,但形同虚设。史玉柱手下的几位副总都没有股份,在集团讨论重决策时,他们很少坚持自己的意见,他们也无权干预史玉柱的错误决策。因此,在巨人集团的高层没有一种权力制约,巨人集团实行的是“一个人说了算的机制。另一方面,权利都集中在史玉柱一人手中,因此,监事会实质上也无法起到任何监督和制衡的作用。集团的快速扩张,资产规模的快速膨胀,也是的内部的管理变
得浮躁而混乱。同时,巨人集团从几个人发展到上千人,人员素质、组织结构以及企业文化都在不断磨合;由于缺乏规范的基础性内部控制,各类违规、违纪、违法案件,诸如截留、坐支、挪用公款、搞虚假广告等问题屡见不鲜;最终酿成了资金断流、经营难以为继的局面,甚至在危急时刻,“巨不肥”带来的利润还被一些人私分,如此可见,巨人集团的内部环境存在着多大的漏洞。 (二)风险评估 由于缺乏必要的财务危机意识和预警机制,老“巨人”的债务结构始终处在一种不合理的状态。。在巨人营销最辉煌的时期,每月市场回款可达3 000万~5 000万元。以如此高额的营业额和流动额,完全可以陆续申请流动资金贷款,并逐渐转化为在建项目的分段抵押贷款。但史玉柱一向以零负债为荣,以不求银行为傲。一味指望用保健品的利润积累来盖大厦,这成了巨人突发财务危机的致命伤。到1996年下半年,资金紧张时,由于缺乏与银行的信贷联系,加上正赶上国家宏观调控政策的影响,巨人陷入了全面的金融危机。 企业积极管理和应对风险的关键,在于评估风险、量化风险,针对风险根源和计量采取不同的风险管理策略。巨人集团每一次遇到危机时,都没有对企业面临的内外风险进行评估,没有看清楚纯粹风险损失有多大,如何把握机会风险,而仅仅是跟进社会上的热点行业,盲目涉足多元化经营,而导致现金流缺乏,同时缺乏危机意识,最终未能控制好财务风险和经营风险。巨人集团向保健品和房地产行业多元化发展的目标,与巨人集团的管理能力、资金能力和技术能力产
(完整word版)内控十大漏洞口诀
内控十大漏洞口诀 1、出纳领取对账单,调节余额她来编; 2、领导同志一支笔,事无巨细啥都批; 3、销售业务控制好,没他企业很苦恼; 4、文本制度不可少,流程图表更重要; 5、救火制度频颁布,各自为政把令出; 6、临时休假或出差,无规无律乱安排; 7、笔试面试乃基础,背景调查易疏忽; 8、关键岗位强轮换,带薪休假执行难; 9、成本压缩太过分,内部控制无人问; 10 说一套来做一套,制度如同放空炮。 “出纳管钱又对账,资金挪用不设防 休假出差人手忙,临时安排祸要闯 流水不腐是古训,轮换交接为良方 招人考试加面相,背景不查要遭殃 企业资源个人化,明星法师来当家 控制全靠一支笔,“两院院士”不稀奇 救火制度频频出,东一榔头西一棒 文本制度不可少,流程图表更重要 效率成本挂嘴上,风险存亡放两旁 说一套来做一套,制度如同放空炮” 内部控制是企业为控制经营风险、实现经营目标而制定的各项政策与程序。内部控制能够帮助企业达到其目标,同时将风险降低至合理范围内,保证企业资产安全,有效防范各种舞弊活动。内部控制的权威人士Adrian Cadbury爵士曾经说过“公司的败绩都是由内部控制失败引起的”,这一点从众多的企业失败案例都得到了验证。从我国的现实情况来看,企业内部控制普遍比较薄弱,有关挪用、侵占或诈骗企业财产的新闻亦屡见不鲜,企业资产和股东权利得不到应有保护,甚至给企业造成灾难性损失导致经营陷入困境。2004年,中航油巨亏、四川长虹对APEX公司超过38亿元的坏账、创维黄宏生被香港廉政公署拘捕等诸多案例,给我国很多企业敲响了内部控制的警钟。 笔者结合众多内控失败案例和内控咨询工作的经验,归纳了我国企业内部控制常见的十大问题,希望管理人员引以为戒,有则改之,无则加勉。 一、出纳领取银行对账单、编制银行存款余额调节表。 之所以把这个问题列在十大问题之首,是因为它非常普遍且后果严重,但遗憾的是,直到今天,仍有很多单位根本没有意识到这一问题,或虽然意识到了却不以为然,低估了其可能造成的严重后果。不相容职务分离是内部控制的一个基本原理,通常需要分离的不相容职务包括授权与执行、执行与审核、执行与记录、保管与记录,所谓“管钱不管账,管账不管钱”就是不相容职务分离原理的一个典型运用。货币资金是最容易出现舞弊的一项资产,如果由出纳来负责领取银行对账单、编制银行存款余额调节表,出纳就有可能挪用或侵占公司货币资金,并通过伪造对账单或在余额调节表上做手脚来掩盖自己的舞弊行为。国家自然科学基金委会计卞中从1995年到2003年的八年期间里,利用掌管国家基础科学研究的专项资金下
最新-2019年十大信息泄露事件公布 精品
2019年十大信息泄露事件公布 篇一:2019年湖南省省考公告发布时间湖南省省考公告内容详情2019年2019年湖南公务员考试公告将会于2019年3月上旬发布,报名时间:3月下旬进行报名,笔试时间:4月下旬,具体地址在湖南人事考试网上发布,2019年湖南公务员考试公告是2019年3月10日公布。 湖南公务员考试网将会第一时间整理2019年湖南公务员考试公告,公告公布时间,公告解读,报名时间,笔试时间,考试大纲,专业目录,笔试分数线。 望考生多加关注!参考:2019年湖南公务员考试时间相关信息(一)笔试科目笔试公共科目为《行政职业能力测验》和《申论》两科。 考试范围详见《湖南省2019年公务员录用考试大纲》。 报考法官助理、检察官助理职位的,还需考法律专业知识科目,报考法院书记员职位的,还需考职业技能测试科目。 2019年湖南公务员考试报名入口(含选调生、法检、烟草)2019湖南公务员考试报名时间:3月22日900至3月28日17002019湖南公务员报名确认时间:4月1日900至4月5日17002019湖南公务员报名缴费时间:4月1日900至4月5日17002019湖南公务员准考打印时间:4月18日900至4月22日17002019湖南省考公共科目和专业知识笔试时间:4月23日-24日2019湖南公务员考试成绩查询时间:5月下旬2019湖南公务员考试资格审查和体能测试时间:6月上旬2019湖南公务员考试面试时间:6月中旬中公申论范文精选:打击“精准诈骗”保障信息安全当公众还沉浸在山东临沂女生徐某因学费被骗离世的惋惜中时,快递企业顺丰公司被曝有“内鬼”通过泄露客户信息获取非法利益,最终受到法律制裁的案件再次将公众推入信息安全的担忧之中。 伴随一系列信息泄露案件的披露,某些掌握公民信息的机构使得公民的信息经过内外勾结的非法渠道,为诈骗分子牟利打开方便之门,也促使原有大水漫灌、广种薄收的传统诈骗方式日渐向针对性极强的“精准诈骗”转变,给公民的财产安全造了成极大的损失。 唯有有效打击此类“精准诈骗”,才能保障信息安全,营造良好的社会信息安全环境。 频发的信息泄露事件威胁公共安全,损害群众利益的同时,亦给政府执政管
内部控制制度的十大漏洞
内部控制的十大漏洞 内部控制是企业为控制经营风险、实现经营目标而制定的各项政策与程序。内部控制能够帮助企业达到其目标,同时将风险降低至合理范围内,保证企业资产安全,有效防范各种舞弊活动。从我国的现实情况来看,企业内部控制普遍比较薄弱,有关挪用、侵占或诈骗企业财产的新闻亦屡见不鲜,企业资产和股东权利得不到应有保护,甚至给企业造成灾难性损失导致经营陷入困境。 企业内部控制常见的十大问题。 1、出纳领取银行对账单并编制余额调节表: 之所以把这个问题列在十大问题之首,是因为它非常普遍且后果严重,但遗憾的是,直到今天,仍有很多单位根本没有意识到这一问题,或虽然意识到了却不以为然,低估了其可能造成的严重后果。 不相容职务分离是内部控制的一个基本原理,通常需要分离的不相容职务包括授权与执行、执行与审核、执行与记录、保管与记录,所谓“管钱不管账,管账不管钱”就是不相容职务分离原理的一个典型运用。货币资金是最容易出现舞弊的一项资产,如果由出纳来负责领取银行对账单、编制银行存款余额调节表,出纳就有可能挪用或侵占公司货币资金,并通过伪造对账单或在余额调节表上做手脚来掩盖自己的舞弊行为。 80%以上的企业存在出纳领取银行对账单、编制余额调节表的现象,究其原因,主要从工作方便角度出发,由于出纳经常跑银行,办理各种收付款,于是便“顺理成章”地领取银行对账单、编制余额调节表。殊不知这种习惯做法存在巨大
风险隐患,其实要防范这种风险并不难,只要改由出纳以外的人来负责银行对账单领取和账面银行存款余额核实工作即可,关键是要从思想意识上重视起来。 2、领导“一只笔” 表明看起来似乎控制很严格,不容易出问题,但事实上这种“一只笔”控制反映了单位内部控制方式的落后。 首先,事无巨细都由领导来审批,囿于时间和精力,领导最后可能疲于应付,分不清主次,审批“一只笔”变成签字“一只笔”而已,控制流于形式。 其次,如果缺乏相关支撑信息,领导无法对收支合理性进行判断,“一只笔”就会失去控制作用,例如经办人员申请购买某种设备,而领导没有该设备经济可行性、价格合理性的相关数据,审批就会演变成一种过场。 第三,领导“一只笔”会造成高度集权,不利于对领导的制约和监督,可能导致fu败。因此,合理的内部控制应当按照重要性程度大小,适当分层授权,逐级审批。 3、过于依赖业务人员企业资源掌握在个人手中,对业务开展失去控制: 企业业务资源完全掌握在业务员个人手中,对企业来说是一件非常危险的事情,现实中经常可以看到,不少企业的业务员一旦跳槽或离职,原有的客户和业务关系也被随之带走,形成企业对业务人员过于依赖的局面。更有甚者,有的企业业务员明地里使用单位各项资源,暗地里为自己或亲友开拓业务、谋取私利,严重损害了企业利益。 针对这种现象,企业应通过完善制度设计,例如采取建立统一的客户档案和客户关系管理系统、同一笔业务有两人以上共同参与、适当进行工作轮换和加强财务对业务过程的控制等措施,将业务员手中的客户资源转化为企业资源,让
(完整版)内控案例分析题
案例分析题1(双汇) 1.2011年3月15日,据央视曝光,尽管双汇宣称“十八道检验、十八个放心”,但按照双汇公司的规定,十八道检验并不包括“瘦肉精”检测,尿检等检测程序也形同虚设。此前,河南孟州等地添加“瘦肉精”养殖的有毒生猪顺利卖到双汇集团旗下公司。该公司市场部负责产品质量投诉及媒体宣传的工作人员则向记者回应说,原料在入厂前都会经过官方检验,央视所曝的“瘦肉精”事件,公司正在进行调查核实。 与此同时,农业部第一时间责成河南、江苏农牧部门严肃查办,严格整改,切实加强监管,并立即派出督察组赶赴河南督导查处工作。农业部还表示,将在彻查的基础上,责成有关地方和部门对相关责任人员进行严肃处理,并随后向社会公布结果。 受此影响,15日下午,双汇旗下上市公司双汇发展跌停,并宣布停牌。17日晚间,双汇集团再次发表公开声明:要求涉事子公司召回在市场上流通的产品,并在政府有关部门的监管下进行处理。据了解,截至3月17日,已经控制涉案人员14人,其中养猪场负责人7人、生猪经纪人6人、济源双汇采购员1人。对于双汇发展的投资者来说,不幸只是刚刚开始,复盘后的双汇发展更是连续两天跌停。 瞬时间,双汇被推到风口浪尖之上。作为国内规模最大的肉制品企业,“瘦肉精”事件令双汇声誉大受影响。继三鹿之后,又一国内重量级公司面临着空前的危机。 要求:请结合该案例,试分析内部控制对企业的重要性,并阐释内部控制的现实意义。 案例分析题1答案(双汇) 1.分析提示: (1)内部控制是由企业董事会、管理层和其他员工实施的,旨在为经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规等目标的实现提供合理保证的过程。可见,一个健全的内部控制体系是由多方实施,为了多方利益的一个过程。双汇“瘦肉精”事件的发生很大程度上正是由于企业内部控制缺失,存在重大盲点或漏洞,才造成了目前这种境况。形同虚设的检测程序只会成为不法分子的通道,因此一个企业要想做大做强,一个健全的内部控制系统不可缺少,不能因为短期利益而牺牲企业长久的发展。只有这样才能避免类似案件的再次发生,真正为企业、为更多利益相关者带来真实的益处。 (2)实施内部控制有助于提升企业管理水平。企业内部控制的完善程度反映了企业管理水平的高低,而内部控制体系的建设也是提升管理水平的有效手段。双汇拥有18道安检程序,却没有对瘦肉精的检验,让其内部控制程序形同虚设。这说明从企业管理层内部就有漏洞和弊端,管理水平需要提高。严格管理企业,实现管理创新,促进传统的管理模式向现代企业管理过渡,加强内部控制是企业实现管理现代化的科学方法,建立和健全内部控制是企业发展的必然要求。 (3)实施内部控制有助于提高企业的风险防御能力。内部控制的核心是控制影响目标实现的风险,防范企业经营活动偏离企业目标的一切可能性。正是在安检这个最重要的风险防范点上出现了问题,才造成双汇成为了众矢之的。如果一个企业拥有健全的防范风险的内部控制系统,任何的差错都会得到很好的监控,更不会造成如此大的影响和损失。 (4)实施内部控制有助于维护社会公众的利益。在整个瘦肉精事件中,最大的受害者
如何分析和攻击私有协议中的密码学安全漏洞
分析和攻击私有协议中的密码学安全漏洞
私有协议中的密码学安全漏洞什么是协议 网络通信协议,为进行数据交换而建立的规则、标准或约定的集合它规定了通信时信息必须采用的格式和这些格式的意义 应用层: 0x00 0x26 0xe5 0x90 0x83 0xe4 0xba 0x86 … 0xbc 0x9f 标志位:采用何种压缩算法,字符编码方式,长度,… 网络层: 源端口,目的端口,… 传输层: 源IP,目的IP,… 网络接口层: MAC地址, …
私有协议中的密码学安全漏洞我们关心的协议 与相应实体通信并完成特定功能的应用层协议。 HTTP、FTP、SMTP、… 也可以是更加应用相关的协议,例如 手机APP与发送推送信息的服务器间的通信协议 即时消息应用间及其与服务器的通信协议 网络摄像头与中心服务器的通信协议 ……
私有协议中的密码学安全漏洞私有协议 Proprietary protocol 非标准协议 微信、QQ;自定义格式的数据交换 可能缺少公开的、详细的协议规范文档 协议逆向 抓包分析 二进制反汇编反编译
私有协议中的密码学安全漏洞 协议的关注点 对于网络摄像头 每帧画面是如何编码的,画面质量与清晰度的协商调整,… 每帧画面传输前是否有协商某些安全机制,传输的画面是否可能被截获或修改 对于即时消息 消息的某几个字节对应系统内部维护的序列号 消息能否冒充、伪造
内部控制的10种方法
内部控制的10种方法 《会计法》明确提出各单位应当建立、健全本单位的内部会计监督制度的要求,并提出会计工作中职务分离、重大事项决策与执行程序、财产清查和定期内部审计等规定,这些要求和规定从其实质内容来讲,就是要加强各单位的内部控制。其目的在于建立和完善符合现代管理要求的内部组织结构,形成科学的决策机制、执行机制和监督机制,确保单位经营管理目标的实现;建立行之有效的风险控制系统,强化风险管理,确保单位各项业务活动的健康运行,堵塞漏洞、消除隐患,防止并及时发现和纠正各种欺诈、舞弊行为,保护单位财产的安全完整;规范单位会计行为,保证会计资料真实、完整,提高会计信息质量,确保国家有关法律法规和单位内部规章制度的贯彻执行。要实现上述目标,笔者认为,只有在内部控制结构和内部控制成分的基础上运用各种内 部控制方法才能真正将内部控制落到实处。 加强内部控制是贯彻《会计法》及提高企业管理水平、增强企业竞争力的客观要求。研究和运用内部控制的各种方法是建立和完善内部控制制度的一项极其重要的内容。 一、组织规划控制
组织规划是对企业组织机构设置、职务分工的合理性和有效性所进行的控制。企业组织机构有两个层面:一是法人的治理结构问题,涉及董事会、监事会、经理的设置及相关关系,二是管理部门设置及其关系,对财务管理来说,就是如何确定财务管理的广度和深度,由此产生集权管理和分级管理的组织模式。职务分工主要解决不相容职务分离。所谓不相容职务分离是指那些由一个人担任,即可能发生错误和弊端又可掩盖其错误和弊端的职务。企业内部主要不相容职务有:授权批准职务、业务经办职务、财产保管职务、会计记录职务和审核监督职务。这五种职务之间应实行如下分离:(1)授权批准职务与执行业务职务相分离。(2)业务经办职务与审核监督职务分离。(3)业务经办职务与会计记录职务分离。(4)财产保管职务与会计记录职务分离。(5)业务经办职务与财产保管职务相分离。 要建立健全组织规划控制,目前必须解决两个问题:(1)设立管理控制机构。例如,目前有些上市公司中依据自身经营特点设立了审计委员会、价格委员会、报酬委员会等就是完善内部控制机制的有益尝试。机构设置因单位的经营特点和经营规模而异,很难找到一个通用模式。比如设立价格委员会的企业大都是规模很大、采用集中采购方式且采购价格变动较大的企业,这些企业设立价格委员会能够有效加强采购环节的价格监督与控制。再比如,对于规模大、技术
网站安全漏洞的产生分析、处理总结
专题:网站安全漏洞的产生分析、处理总结 https://www.360docs.net/doc/4c14801321.html,/thread-48996-1-1.html 1.Web网站程序编写中漏洞的形成分析、处理总结 目前国内的网络安全行业非常多,从金山、瑞星、江民等杀毒软件公司提供的面向个人电脑的杀毒软件及软件防火墙到面对服务器提供的硬件防火墙,技术都越来越成熟。可以说现在要突破硬件防火墙并不是一件容易的事情,当然事无绝对。因为世界上没有绝对安全的个人电脑、服务器或者网络。就像黑客教父——凯文.米克尼克说的:“人为因素才是安全的软肋!” 没错!不管你的硬件防护措施如何的强大和严密,软件程序的算法和结构如何的规范严谨、网页程序编写时过滤的如何的严格,人为因素带来的漏洞才是最可怕的,因为它是永远都防不胜防的。 例如动网论坛,你说他的技术人员水平差吗?动网经历了这么多年,被人不断的发掘出这么多的漏洞,其中有很多漏洞都是一些很低级的错误。难道他们真的不懂得吃一堑长一智的道理吗? 一个纯静态的网页,不知道后台,也不知道FTP帐号密码等信息,但是它还是被人拿下了,这又是为什么呢?今天就让我来替大家进行一次不完全归纳及简要分析。 一个站点存在的基本安全问题大概如下: 首先我们一起来看一下由于程序员在软件编写过程中的疏漏导致的漏洞 一:网站程序存在的漏洞 1. 注入漏洞 2. 上传文件格式验证不完善 3. 参数可写入文件——构造一句话 4. mdb数据库改用ASP\ASA等名字作为数据库扩展名(添加防下载代码)
5. 后台显示数据库路径 6. 数据库可备份修改扩展 7. 文件管理部分传递参数过滤问题及外部提交 8. XSS漏洞骗取cookies得到后台权限 9. 任意文件下载漏洞 10. 远程包含漏洞 11. 使用未加密的cookies进行用户权限等级及权限验证 12. session被构造欺骗 下面就让我们来简要分析下这些漏洞的形成和解决办法1) 注入漏洞 注入漏洞的产生原理: 我们来手工构造一段存在注入漏洞的查询程序,这里就使用asp比较简单明了 <% Id=request("id") if id<>"" then Set rs=Server.CreateObject("ADODB.RecordSet") sql="select * from news where id="&id rs.Open sql,conn,1,1
内控漏洞案例
不相容职务不分离案例 案例一 2004年10月19号,北京市中级人民法院开庭审理原国家自然科学基金委员会资金管理处会计卞中涉嫌贪污挪用公款2.2亿元的巨额资金一案,卞中被判死缓。这也是北京市建国以来涉案金额最高的一起职务侵占案件。 卞中在1995年到2003年长达8年的时间里,贪污挪用公款2.2亿元。其中的一个手段就是做假的银行对账单。 作为入账凭证,每一笔资金的流向都体现在银行的对账单上,而在国家自然科学基金委员会资金管理处,卞中既管记账又管拨款,既是会计又是出纳,这样就给他实施贪污挪用提供了职务上的便利。 而除了做假账,还有一个很重要的原因,那就是卞中能够控制的资金实在是太多了。这个基金委它负责全国所有科研项目资金的资助,所以它的金额非常大。自然科学基金每年拨款规模高达20多亿元,但实际控制这笔巨额基金流向的却只有财务局下属资金管理处的三名财务人员。卞中实际上不仅仅只负责登记账目,他还包揽了整个自然科学基金的拨款工作,就连财务局局长的人名章和支票他也可以很轻易地拿到,这样的职权早就超越了一名会计应有的权限。
案例二 “全国电子工业系统劳模”、“桂林市劳模”、“桂林市优秀厂长(经理)”、“杰出青年企业家”,这许多的光环一度使曾庆坚成了广西桂林市企业界风光一时的人物,也使他在长达8年的时间里,稳坐在桂林市无线电二厂厂长和党委书记的位置上。 然而,2005年8月12日,桂林市中级人民法院举行宣判会,宣判曾庆坚利用职务之便,采取重复报账、虚假报账的方式,贪污所在企业公款共计人民币76万元,贪污数额大,并且拒不退赃,犯罪情节严重,应酌情从重处罚,判处曾庆坚无期徒刑,剥夺政治权利终身,并处没收个人财产人民币20万元,追缴违法所得赃款人民币76万元,上缴国库。桂林市中级人民法院一纸因贪污罪而判无期徒刑的判决书,让曾庆坚曾经拥有的光环支离破碎,从一名“优秀厂长”沦为阶下囚。 分析曾庆坚犯罪的主要原因是:在原材料采购管理上,大宗材料采购权全由曾庆坚一人包办,购销合同签订权、付款权以及原材料价格制订权也全由他一人掌管;曾庆坚一人独揽了所有原材料价格确定权、采购和付款等业务,企业的财务管理制度形同虚设,企业的账户就相当于曾庆坚的“私人金库”,他可以随意调动任何数额资金。
内控经典案例系列
内控案例专栏系列一:促销活动中的舞弊防范与内部控制 一、案例简介:促销存漏洞,一人独得200个特等奖 据媒体报道,重庆某知名电器连锁公司广告宣传部主管王某,在一年多时间里创下了一个“中大奖”的纪录:从2007年9月到2008年12月,他一人先后狂中200个特等奖,独得奖金79万多元。 然而,王某之所以能疯狂中奖,靠的不是运气,而是在自家公司开展的有奖促销活动中欺上瞒下,假冒顾客名义领奖。该公司2007年9月至2008年12月期间,开展了一场声势浩大的“刮刮卡刮奖促销”活动,其中最吸引人的是直返现金4999元的特等奖。奇怪的是,在这一年多时间里,公司30多家门店接待了成千上万名顾客,也有人中过奖金额度比较低的奖,却没有一名顾客刮中过特等奖,200个特等奖就此“不翼而飞”。一方面,顾客对特等奖迟迟难现充满疑惑,另一方面,该公司却一直在为并不存在的特等奖“埋单”──每隔一段时间,都有几名顾客中了特等奖的资料传来,相关材料也很完备,公司便一直按规定给予了报销。 直到2008年12月,公司在一次审核过程中,发现一些特等奖领奖人购物发票上的姓名和领奖人的身份证复印件不一致,奖金有被侵占的嫌疑。公司广告宣传部主管王某因有重大嫌疑,经公司监察部询问,他向公司总经理承认了自己冒领奖金的事实。 按照常理,要独揽这些特等奖,王某起码要通过三道关卡:一是要在众多奖券中,准确摸清楚哪些能中奖;二是要设法防止这些“特殊奖券”被投放到各个分店,以免流入顾客手中;三是向财务部门冒领奖金时,必须提供中奖人的购物凭证和身份证明,并成功通过上级的审核。 巧合的是,这些关卡看似难以逾越,实际上的“把关权”却都掌握在王某手中。这才导致他私吞大奖如探囊取物。记者采访获悉,这批“刮刮卡”的奖券是由河北省一家印刷厂统一印制的,王某恰恰负责联系印刷厂。他以“方便分配奖券”的名义,要求印刷厂把特等奖券和其他奖券分开,就此成功地把特殊奖券“挑”了出来。他再利用自己投放奖券的权力,把特等奖券全部扣留,一个也没有投放到分店。 按照规定,分店的中奖顾客信息和报销费用也必须经过王某审核。政法机关办案人员介绍,王某收集了一大批顾客的购物发票复印件,又从亲戚朋友那里弄来了一些身份证复印件,以“他人代领”的名义,炮制了一批“中奖材料”,分批向公司财务部冒领奖金,连连得手。 记者在采访中发现,王某作为企业的一名中层管理人员,之所以能轻易地侵吞奖金,关键在于他一手握着奖券的发放权,另一手握着领奖的审核权,在一定程度上是“自己监督自己”。重庆国美电器公司下属30多家分店尽管有众多员工,对于特等奖“难产”也未必没有疑问,但由于难以监督上级,只能任由王某“疯狂领奖”,直至东窗事发。
Jsonp常见安全漏洞分析
Jsonp常见安全漏洞分析(京东商城Jsonp 漏洞分析) JSONP(JSON with Padding)是资料格式 JSON 的一种“使用模式”,可以让网页从别的网域要资料。这个解释来自于互联网上面的答案。jsonp只是一种使用json模式,之所以能够很广泛使用。主要用它来解决跨域访问问题。可以方便跨域名传输数据。一些是一个jsonp的例子。但是,正确的使用 jsonp是至关重要的,用得不好。将带来重要资料把超范围访问,还会带来各自xss漏洞。 JSONP跨域请求例子 传统的ajax ,往往是 XMLHttpRequest ,读取一个接口,返回类似: {“Name”: “小明”, “Rank”: 7} json值。一般我们都采用xmlhttprequest方法通过状态判断执行请求是否完毕。 JSONP的使用模式里,该URL回传的是由自定义传入函数名,动态生成JSON作为该函数入参,这就是JSONP 的“填充(padding)”或是“前辍(prefix)”的由来。 请求: 返回: parseResponse({"Name": "Cheeso", "Id" : 1823, "Rank": 7}) parseResponse是传入参数值决定的,这样好处通过script标签可以解决跨域问题,并且只要script src地址加载完,js解析引擎就开始执行src地址返回 js内容了。我们使用者不用关心,什么时候src地址加载解析完。只用写好接收函数:parseResponse,到时候自动回执行该项目。比传统ajax确实多了很多方便!目前,象google翻译,地图等都用该方法。实现了跨域及异步调用! JSONP漏洞将来自哪里? 它给我们带来的发布,是毫无疑问的。那么它将会有哪些漏洞呢?首先,我们知道,一切输入是有害的。传入callback 值会在结果里面直接返回。因此,如果该参数过滤不严格。可以随便输入:callback值为:alert(‘1’);parse Response 字符串。返回结果会打印个alert窗口,然后也会正常执行。 那么另外我们知道,flash是可以跨域的。flash请求外部资源,现在都有个”crossdomain.xml”,可以授权允许那些来源的站点,访问指定站点的资源。其实目的就是为了防止,资源被越权调用
2017年全球十大网络安全事件
2017年全球十大网络安全事件 1.Equifax Inc. 信用机构遭黑客入侵 介绍:据路透社等媒体消息,美国三大信用报告公司之一的Equifax Inc.在一份声明中称,公司于2017年7月29日遭到网络攻击,近半美国人的信用信息被泄露。黑客利用网站应用程序漏洞访问了约1.43亿消费者的姓名、地址、社会安全码和一些驾照号码。Equifax遭到的此次攻击也成为史上最严重的安全漏洞事件之一。 2.中情局数千份机密文档泄露 介绍:中情局数千份机密文档泄露,这些文件不仅暴露了CIA全球窃听计划的方向和规模,还包括一个庞大的黑客工具库,网络攻击入侵活动对象包括微软、安卓、苹果iOS、OS X和Linux等操作系统和三星智能电视,甚至是车载智能系统和路由器等网络节点单元和智能设备。许多文件还被分类或标记为“最高机密”。 3.“WannaCry”席卷全球的红色幽灵 介绍:2017年5月12日晚,一款名为Wannacry 的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织,包括美国、俄罗斯、中国在内,总共150个国家的30万名用户的电脑都被“WannaCry”病毒入侵并锁死。“WannaCry”的蠕虫病毒采用的是传统的“钓鱼式攻击”,通过网页链接或其他方式引诱用户点击并下载邮件、附件等看似正常的文件,从而完成病毒的入侵与安装。
4.“邓白氏”千万信息惨遭暴露 介绍:2017年3月16日,美国商业服务巨头“邓白氏”公司的52GB数据库遭到泄露,该数据包含3300万条记录,包括员工电子邮箱地址,企业员工联系信息,军事人员信息,政府部门与大型企业客户信息等。 5.“Petya变种病毒袭来 介绍:2017年6月27日,“Petya”变种病毒通过邮箱附件传播席卷了欧洲,致使多个国家设施均遭感染导致运行异常。该勒索病毒在全球范围内爆发,受病毒侵袭的国家除了乌克兰外,还有俄罗斯、西班牙、法国、英国以及欧洲多个国家,后续不排除会继续蔓延到包括中国在内的亚洲国家。 6.美国政府遭黑客攻击 介绍:2017年2月份,俄罗斯黑客“Rasputin”攻击了60多所大学和美国政府机构的系统。黑客使用SQL注入漏洞攻击目标系统,窃取他为销售网络犯罪黑市提供的敏感信息,包括三十多所大学,邮政管理委员会,卫生资源和服务管理局,住房和城市发展部以及国家海洋和大气管理局等众多美国政府机构。 7.“Proton”木马入侵服务器 介绍:HandBrake用于下载的镜像服务器遭到未知黑客的入侵,并将HandBrake客户端的Mac版本替换为感染了Proton新变种的恶意版本。
财务内部控制管理十大漏洞
内部控制十大漏洞 内部控制是企业为控制经营风险、实现经营目标而制定的各项政策与程序。内部控制能够帮助企业达到其目标,同时将风险降低至合理范围内,保证企业资产安全,有效防范各种舞弊活动。内部控制的权威人士Adrian Cadbury爵士曾经说过“公司的败绩都是由内部控制失败引起的”,这一点从众多的企业失败案例都得到了验证。从我国的现实情况来看,企业内部控制普遍比较薄弱,有关挪用、侵占或诈骗企业财产的新闻亦屡见不鲜,企业资产和股东权利得不到应有保护,甚至给企业造成灾难性损失导致经营陷入困境。2004年,中航油巨亏、四川长虹对APEX公司超过38亿元的坏账、创维黄宏生被香港廉政公署拘捕等诸多案例,给我国很多企业敲响了内部控制的警钟。笔者结合众多内控失败案例和内控咨询工作的经验,归纳了我国企业内部控制常见的十大问题,希望管理人员引以为戒,有则改之,无则加勉。 一、出纳领取银行对账单、编制银行存款余额调节表。 之所以把这个问题列在十大问题之首,是因为它非常普遍且后果严重,但遗憾的是,直到今天,仍有很多单位根本没有意识到这一问题,或虽然意识到了却不以为然,低估了其可能造成的严重后果。不相容职务分离是内部控制的一个基本原理,通常需要分离的不相容职务包括授权与执行、执行与审核、执行与记录、保管与记录,所谓“管钱不管账,管账不管钱”就是不相容职务分离原理的一个典型运用。货币资金是最容易出现舞弊的一项资产,如果由出纳来负责领取银行对账单、编制银行存款余额调节表,出纳就有可能挪用或侵占公司货币资金,并通过伪造对账单或在余额调节表上做手脚来掩盖自己的舞弊行为。国家自然科学基金委会计卞中从1995年到2003年的八年期间里,利用掌管国家基础科学研究的专项资金下拨权,采用谎称支票作废、偷盖印鉴、削减拨款金额、伪造银行进账单和信汇凭证、编造银行对账单等手段贪污、挪用公款人民币两亿余元。卞中担负着资金收付的出纳职能,同时所有的银行单据和银行对账单也都由他一手经办,使得他得以作案长达八年都没有引起过怀疑。2003年春节刚过,基金委财务局经费管理处刚来的一名大学生上班伊始便到定点银行拿对账单,以往这一工作由会计卞中负责。一笔金额为2090万的支出引起了这名大学生注意,在其印象里他没有听说此项开支。这个初入社会的大学生找到卞中刨根问底,这桩涉案金额超过2亿元的大案也因此浮出水面。从笔者了解的情况看,80%以上的企业存在出纳领取银行对账单、编制余额调节表的现象,究其原因,主要从工作方便角度出发,由于出纳经常跑银行,办理各种收付款,于是便“顺理成章”地领取银行对账单、编制余额调节表。殊不知这种习惯做法存在巨大风险隐患,其实要防范这种风险并不难,只要改由出纳以外的人来负责银行对账单领取和账面银行存款余额核实工作即可,关键是要从思想意识上重视起来。 二、领导“一只笔”审批,缺乏完善内控制度和流程保障。 领导“一只笔”,表明看起来似乎控制很严格,不容易出问题,但事实上这种“一只笔”控制反映了单位内部控制方式的落后。首先,事无巨细都由领导来审批,囿于时间和精力,领导最后可能疲于应付,分不清主次,审批“一只笔”变成签字“一只笔”而已,控制流于形式。其次,如果缺乏相关支撑信息,领导无法对收支合理性进行判断,“一只笔”就会失去控制作用,例如经办人员申请购买某种设备,而领导没有该设备经济可行性、价格合理性的相关数据,审批就会演变成一种过场。第三,领导“一只笔”会造成高度集权,不利于对领导的制约和监督,可能导致腐败。因此,合理的内部控制应当按照重要性程度大小,适当分层授权,逐级审批。
OWASP前十大漏洞
OWASP前十大漏洞 十大漏洞原因危害攻击方法 1 跨站脚本 (XSS,Cross Site Scripting) CGI程序没有对用 户提交的变量中的 HTML代码进行过 滤或转换;对提交的 数据没有经过适当 的验证或转译 黑客可以利用浏览器 中的恶意脚本获得用 户的数据,破坏网站, 插入有害内容,以及展 开钓鱼式攻击和恶意 攻击。 攻击者注入非法的标 签与脚本最终都要在 客户端执行,攻击的过 程实际上都在客户端 的浏览器上发生的。 能在客户端进行跨站 的不仅仅是HTML标签 与JavaScript脚本, 还包含一些其它的客 户端应用,比如Flash 里的ActionScript脚 本也能辅助发起XSS 攻击 2 注入漏洞(Injection Flaw) 字符过滤不严紧所 造成的 攻击者可利用注入漏 洞诱使Web应用执行 未预见的命令或数据 库查询,从而对数据库 信息进行窃取、篡改、 删除等 攻击者把一些包含指 令的数据发送给解释 器,解释器会把收到的 数据转换成指令执行。 3 恶意脚本执行 (Malicious File Excution) Web应用程序引入 来自外部的恶意文 件并执行文件内容 攻击者可利用恶意文 件执行漏洞进行攻击 取得Web服务器控制 权,进行不法利益或获 取经济利益 攻击者在具有引入功 能程序的参数中修改 参数内容,Web服务器 便会引入恶意程序内 容从而受到恶意文件 执行漏洞攻击 4 不安全的直接对象 参照物(Insecure Direct Object Reference) 当网站地址或者其 他参数包含了文件、 目录、数据库记录或 者关键字等参照物 对象时就可能发生 这种攻击 可能在网络接口中暴 露出用户的账号或是 重要文件 攻击者可以通过猜想 或者搜索另一个有效 关键字的方式攻击这 些参数 5 跨站指令伪造 (CSRF,Cross-Site Request Forgery) 它们是根据会话 cookie或者“自动记 忆”功能来授权指令 的 攻击者能让受害用户 修改的任何数据,或者 是执行允许使用的任 何功能 已登入Web应用程序 的合法使用者执行到 恶意的HTTP指令,但 Web应用程序却当成 合法需求处理,使得恶 意指令被正常执行
资金管理六大内控漏洞
资金管理六大内控漏洞之一 货币资金是企业资产的重要组成部分,在企业的各项经济活动中起到了非常重要的作用,持有足够的货币资金是企业运行的基本条件。 对资金营运管控来说,面临的主要风险包括:资金活动管控不严,可能导致资金被挪用、侵占、抽逃或遭受欺诈;资金调度不合理、营运不畅,可能导致企业陷入财务困境或资金冗余。 营运资金管控整体目标可归纳为以下四点: 1、货币资金的安全通过良好的内部控制,确保企业资金安全,预防被盗 骗和挪用。 2、货币资金的完整确保企业收到的货币全部入账,预防私设“小金库”等 企业收入的违法行为。 3、货币资金的合法性。 货币资金取得、使用符合国家财经法规要求,手续齐备。 4、货币资金的效益性。 通过合理调度货币资金,在满足企业营运需求基础上,发挥 资金的最大效益。 在建立和实施货币资金内部控制制度中,至少应当强化以下方面的关键控制措施: 1、职责分工、权限范围和审批程序应当明确,机构设置和人员配备应当科学合理; 2、现金、银行存款的管理应当符合法律要求,银行账户的开立、审批、核对、清理 应当严格有效,现金盘点和银行对账单的核对应当按规定严格执行; 3、与货币资金有关的票据的购买、保管、使用、销毁等应当有完整的记录,银行预 留印鉴和有关印章的管理应当严格有效。 货币资金是流动性最强、控制风险最高的资产,企事业单位的货币资金遭挪用、贪污 和诈骗等案例可以说屡见报端,而这些案例的发生往往与单位货币资金存在内控漏洞直接相关。
典型漏洞一:资金管理职责分配违背不相容职责分离要求 资金管理涉及到资金收入、支出、审批、保管、记录、对账、盘点等诸多职责,稍不注意,可能会导致同一人兼任不相容职责,给资金安全带来隐患。 资金管理职责分配的内控漏洞通常有:出纳领取银行对账单、出纳负责银行对账、同一人保管所有支付印鉴、印鉴和票据由同一人保管、多个网银U 盾由同一人保管、网上银行业务交易的执行与审核授权由同一人操作、负责收款的人兼任会计记录、负责收款的人同时负责核对收款、出纳兼任收付款凭证制单、缺乏独立于保管职责(如现金、票据、印鉴)的人员对资金保管情况进行监督等。 资金管理这方面内控漏洞往往会直接影响到资金安全或资金数据准确性,导致资金挪用、贪污或设立账外“小金库”等行为。特别要提醒注意的是,就是出纳人员领取银行对账单这个问题,从媒体曝光的大量出纳人员挪用资金案例中,都可以看到出纳利用领取银行对账单机会,伪造银行对账单,掩盖资金舞弊。 究其原因,企业主要从工作方便角度出发,由于出纳经常跑银行,办理各种收付款,于是便“顺理成章”地领取银行对账单、编制银行余额调节表。殊不知这种习惯做法存在巨大风险隐患,其实要防范这种风险并不难,只要改由出纳以外的人来负责银行对账单领取和账面银行存款余额核实工作即可,关键是要从思想意识上重视起来。目前不少银行定期寄送对账单给企业会计主管,并要求企业签字盖章返回对账回执,但如果这项工作仍交给出纳来做,那可能导致风险未得到防范。此外,对于伪造银行对账单舞弊,企业可考虑纸质对账单以外,通过网上银行核实银行存款余额。 【案例】国家自然科学基金委会计人员卞中,在1995 年到2003 年的八年期间里,利用掌管国家基础科学研究的专项资金下拨权,采用谎称支票作废、偷盖印鉴、削减拨款金额、伪造银行进账单和信汇凭证、编造银行对账单等手段贪污、挪用公款人民币两亿余元。卞中担
十大常见漏洞
Web应用常见的安全漏洞有哪些 随着存在安全隐患的Web应用程序数量的骤增,Open Web Application Security Project (开放式Web应用程序安全项目,缩写为OWASP)总结出了现有Web应用程序在安全方面常见的十大漏洞,以提醒企业及其程序开发人员尽量避免它们给企业IT系统带来的安全风险: 一、非法输入 Unvalidated Input 在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞。随着OWASP对Web应用程序脆弱性的调查,非法输入的问题已成为大多数Web应用程序安全漏洞方面的一个普遍现象。 二、失效的访问控制 Broken Access Control 大部分企业都非常关注对已经建立的连接进行控制,但是,允许一个特定的字符串输入可以让攻击行为绕过企业的控制。 三、失效的账户和线程管理 Broken Authentication and Session Management 有良好的访问控制并不意味着万事大吉,企业还应该保护用户的密码、会话令牌、
账户列表及其它任何可为攻击者提供有利信息、能帮助他们攻击企业网络的内容。 四、跨站点脚本攻击 XSS 跨站漏洞以及钓鱼式攻击 XSS,中文名称为跨站脚本,是一种很常见的脚本漏洞。因为跨站脚本攻击不能直接对系统进行攻击,所以往往被人们忽视。 由于WEB应用程序没有对用户的输入进行严格的过滤和转换,就导致在返回页面中可能嵌入恶意代码。远程攻击者可以利用这些漏洞在用户浏览器会话中执行任意HTML和脚本代码。跨站脚本执行漏洞的攻击效果需要借助第三方网站来显现,此这种攻击能在一定程度上隐藏身份。 由于跨站脚本不能直接对系统进行攻击,所以跨站脚本总是伴随社会工程学来 实现攻击的,这种攻击的主要表现形式是钓鱼式攻击。钓鱼式攻击方式有很多,如获取Cookie, 伪造页面,屏蔽页面特定信息,与其它漏洞结合攻击操作系统等等。钓鱼式攻击是针对人脑的攻击方式,它的传播手段有EMAIL、IM、聊天室、恶意连接、游戏中的聊天系统,凡是能实现用户之间互动操作的系统都存在钓鱼式攻击的风险。 在电子商务蓬勃发展的今天,针对个人财务信息的钓鱼攻击事件数量成直线上升,其中一个主要攻击途径就是跨站脚本执行漏洞。据统计,国内外存在跨站脚本漏洞的网站多达60%, 其中包括许多大型知名网站。 这是一种常见的攻击,当攻击脚本被嵌入企业的Web页面或其它可以访问的Web 资源中,没有保护能力的台式机访问这个页面或资源时,脚本就会被启动,这种攻击可以影响企业内成百上千员工的终端电脑。 网站开发者角度,如何防护XSS攻击? 对XSS最佳的防护应该结合以下两种方法:验证所有输入数据,有效检 测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。 网站用户角度,如何防护XSS攻击? 当你打开一封Email或附件、浏览论坛帖子时,可能恶意脚本会自动执行,因此,在做这些操作时一定要特别谨慎。建议在浏览器设置中关闭
内控中的财务问题汇总
关于各单位审计发现财务问题意见汇总 由于集团公司审计部均已对下属各单位完成了07年和08年1-3月份内部审计工作,各单位会计都已收到公司审计部的意见,并也已对审计意见作出了答复。现财务部就各单位在财务上出现的问题及对审计意见的反馈进行以下汇总,也希望各会计人员能从中互相探讨、学习,不断提高自已的业务水平。 一、会计基础规范性的问题: 1、凭证装订:如装订凭证未有附科目汇总表,无装订银行对账单、收付报告及余额 调节表。 2、摊销、计提费用凭证无附件,或者部分会计凭证无附件,记帐凭证与附件内容不 一致,附错附件。 这些都是一些会计基础细节、规范性的问题,但是也能反映出财务人员的工作态度,希望我们的财务人员在以后的工作中能够进一步规范。 二、会计核算问题: 1、列支上年的费用,在上年均未及时计提。如比较容易漏提的有房产税、土地使用 税、租金、港务费等。 2、跨年度列支费用。所属上年度的费用本年度列支。 3、会计科目的使用。如预提费用挂“其他应付款”科目,而没有正确挂入“预提费 用”科目;堤围费应该计“管理费用”科目;部分大额费用没有按受益期摊销; 而一些小额费用应一次性作费用处理,不用再按月摊销,如小额的订报费;还有 部分广告费支出不符合税法规定的税前扣除条件,应作为宣传费,不超限额不影 响纳税。 4、凭证处理中错入科目的问题。如入“管理费用-差旅费”中有检测费单据;或者 差旅费报销单中包括购置材料费;或购置低耗品错入“业务招待费”。 5、往来账尾数应及时作账务调整。 6、发票问题:收据作为列支凭证,或者部分业务没正规发票;还有少量列支凭证发 票抬头为其他单位如华立集团。这需要会计人员及时追讨发票。 在税前列支的费用须以权责发生制为原则,注意费用的相关性和合理性,这就要求财务人员今后注意以上类似问题,在我们自已的能力范围内避免帐务处理的错漏。 三、涉税风险问题: