包含entest渗透测试的词条

渗透测试报告自动生成工具

公众号：白帽子左一

领取配套练手靶场、安全 *** 课程及工具...

在安服仔的日子里，发现其他人输出的渗透测试报告结果不规范，主要在报告质量、内容、字体、及修复方案中存在诸多问题，而且 大部分安服仔需要对每次的项目结果进行统计整理，方便后续跟踪复测。

因此研发了 Savior—渗透测试报告辅助生成系统 ， 起这个名字也是为了拯救大多数渗透测试工程师，

告别繁琐的渗透测试报告编写过程及漏洞统计过程。

前端 ： Ant Design Pro

后端 ： Django REST Framework

数据库 ： Mysql

用户管理 ： 主要是方便统计漏洞的发现者，后续可能大概也许会添加漏洞统计模块，根据提交数据、漏洞类型、时间等进行统计报表，当前用户管理模块仅允许通过Django后台进行修改，前端只负责展示，主要是我太懒了。

项目管理 ： 根据项目的不同可上传项目的专属渗透测报告模板，并可以根据需要进行模板自定义模板（/Demo/demo.docx）；

模板自定义 ： 不用修改源代码，仅需修改word即可进行模板自定义；

整改建议管理 ： 此平台主要就是为了体现标准化输出，因此可通过内置漏洞描述及修复建议进行快速输出，并支持自定义修改（/Demo/常规WEB渗透测试漏洞描述及修复 *** .docx）；

一键生成： 通过提交报告模块，内联项目模板，快速生成渗透测试报告，真正达到了一键生成，并确保报告内数据准确、字体统一、格式标准；

自动邮件： 在生成报告后可通过用户管理配置的自动邮件发送功能进行邮件通知，可自定义邮件模板，这样再报告给客户的时候就可以直接转发了（暖男功能）；

漏洞统计： 每次渗透过后，需要挨个查找报告进行统计整理，现在只要提交报告后，后台会自动联动；

漏洞报表一键导出

漏洞跟踪： 增加了漏洞状态字段，创建报告后，漏洞状态默认为新增，漏洞管理模块可进行复测，包括已整改、未整改两种状态；

Demo ：

演示账号 ：admin

演示密码 ： Savior@404

首先将代码clone到本地：

Docker部署

我们推荐使用Docker进行部署，相对于源码部署更为简单和快速。

部署前请务必先安装 Docker 及 docker-compose 。

修改配置文件

首先复制根目录的 .env.docker 并重命名为 .env ， 修改其中的Email Settings和initial Administrator配置。

这两个配置分别控制邮件提醒，以及初始管理帐号密码及邮箱。

同时需要注意以下两点：

1. 务必把邮箱修改为自己邮箱，不然可能会出现非预期错误！

2. 如果使用阿里云、腾讯云服务器，请使用 *** tp的ssl协议，两家云厂商默认封禁了25端口。

一键启动

访问 即可看到页面。

修改启动端口

如果想修改启动端口，可以修改docker-compose.yaml文件中web容器的ports。

默认为8000:8000，比如要修改为8080端口可改为8080:8000。

所需环境：

前端环境

环境变量设置 创建字符集为utf-8编码的数据库。

复制**.env.docker为.env**，并配置数据库、邮箱、管理员等信息。

后端环境

源码部署环境：

前台页面 ：

Django管理后台：

其中Savior平台包含两个后台页面。考虑到安全性，目前用户管理、项目管理托管于Django管理后台（主要是这两个模块不会写），其余功能均可通过前台页面实现。

前台页面 ：

Django管理后台 ：

访问Django管理后台： ,

请完善API用户的Name、Avatar、Autosentmail三个字段，分别控制报告的作者、头像（图片Url）、生成报告后自动发送渗透测试报告到邮箱。

访问Django管理后台：

请通过APIProjects进行添加项目，可根据不通项目选择不通的渗透测试报告模板。

参数说明：Project logo（项目Logo）、Project center（项目名称）、Project description（项目描述）、Project template（渗透测试报告模板，目前标准模板可使用Demo/demo.docx，如需自定义模板，请参考模版自定义部分）

访问 可进入Savior平台，通过个人设置整改设置添加漏洞模板可进行设置漏洞类型、漏洞描述、修复建议从而达到标准化。

目前整理了一些通用的修复建议模板，请参考Demo/常规WEB渗透测试漏洞描述及修复 *** .docx。

目前根据我经常使用的渗透测试报告模板生成了一个demo版本（请参考/Demo/demo.docx）。

当然您也可以根据自己的需求进行模板自定义，其中仅需在WORD模板中进行参数替换，目前Savior中具体参数如下：

以下漏洞详情请利用{%tr for vuls in vuls %}{%tr endfor %}进行循环遍历。

如想列出所有漏洞URL,则使用参数{%tr for vuls in vuls %}{{item.vul_url}}{%tr endfor %}

注： Savior平台渗透测试模板遵循Jinja2语法，更多内容请参考

如果我们完善了用户信息、项目管理、整改设置后，就可以通过前端页面进行创建报告，其大概流程如下：首先完善报告的基本信息。

选择漏洞管理的添加漏洞功能。选择漏洞类型后，漏洞名称、漏洞描述、修复建议会根据整改设置进行自动联动，并可根据需求进行自定义修改。

需要注意的是漏洞详情处如果需要插入XSS语句，请进行url编码后进行输入！

注： 未提交前请勿刷新页面，此时漏洞详情保存为前端。提交后会自动生成渗透测试报告并进行下载。

打开报告会提示更新域，更新请选择是，再选择更新整个目录，此问题主要是为了更新目录，不然渗透测试报告中目录无法自动更新。

如果在用户管理打开了Autosentmail功能，渗透测试报告会自动发送至我们邮箱，方便转给甲方爸爸。

访问Savior平台，选择漏洞列表可进行漏洞统计并进行漏洞复测。

其中漏洞包含三个状态（新发现、已修复、未修复）。

通过选择导出数据功能，可将漏洞列表导出为Excle。

用户管理、项目管理迁移至前端

大数据看板

感谢 echo503 提供的项目帮助

感谢 lp0int 提供的项目帮助

项目框架及 Docker 部署参考 Github-Monitor：（ ）

原文地址：

欧洲家具的分类和EN检测标准有哪些？

家具有哪些类型？ 1、按家具风格上可以分为：现代家具、欧式古典家具、美式家具、中式古典家具，新古典家具。 2、按所用材料将家具分为：实木家具、板式家具、软体家具、藤编家具、竹编家具、金属家具、钢木木 家具，及其他材料组合如玻璃、大理石、陶瓷、无机矿物、纤维织物、树脂等。 3、按功能家具分为：办公家具；客厅家具、卧室家具、书房家具、儿童家具、厨卫家具（设备）和辅助家具等几类。 4、家具按结构分类： 整装家具 拆装家具 折叠家具 组合家具 连壁家具 悬吊家具。 5、家具按造型的效果进行分类，普通家具、艺术家具。 6、按家具产品的档次分类可分为：高档、中高档、中档、中低档、低档。 欧洲市场家具检测标准： EN 1729-1: 家具 – 教育机构使用座椅与桌子 – 之一部分: 功能尺寸 EN 1729-2: 家具 –教育机构使用座椅与桌子– 第二部分: 安全要求与测试 *** EN 716-1: 儿童家用轻便小床和折叠床 – 之一部分:安全要求 EN 716-2: 儿童家用轻便小床和折叠床 – 第二部分:测试 *** EN 14988-1: 儿童高脚椅 - 之一部分:安全要求 EN 14988-2: 儿童高脚椅 - 第二部分:测试 *** ; EN 747-1: 家具 – 家居使用双层床和高床 – 之一部分: 安全,强度和耐久要求 EN 747-2: 家具 – 家居使用双层床和高床 – 第二部分:测试 *** EN 1130-2: 家具 – 家用婴儿床和摇篮 - 第二部分:测试 *** EN 12221-2: 家居使用换尿布台 – 第二部分:测试 *** EN 527-2: 办公家具 – 工作台和桌子 - 第二部分: 机械安全要求 EN 527-3: 办公家具 – 工作台和桌子 - 第三部分: 平衡性和结构机械强度测试 *** EN 1728: 家用 – 座椅 – 测试 *** -强度和耐久测试 prEN 12521: 家具 - 强度,耐久和安全 - 家用桌子的要求 参考资料:

松软煤层钻进用可降解钻井液的试验研究

蔡记华1 谷穗2 乌效鸣1 刘浩1 陈宇1

基金项目:国家自然科学基金项目(40802031、41072111)。

作者简介:蔡记华,1978年生,男,湖北浠水人,博士、副教授,从事钻井液与储层保护方面的教学和研究工作, *** :027-67883142,E-mail:catchercai@126.com。

(1.中国地质大学(武汉)工程学院 湖北武汉 4300742.中国地质大学武汉江城学院 湖北武汉 430200)

摘要:松软煤层中的钻进护孔技术是目前煤矿瓦斯抽采利用中亟待解决的技术难题之一。论文首先在理论上分析了可降解钻井液的护孔作用机理和生物降解作用机理,并通过流变性测试、滤饼清除实验和煤岩气体渗透率测试等 *** 对其性能进行了综合研究。结果表明:可降解钻井液的降解性能人为可控,能适合煤矿井下作业环境;生物酶降解加盐酸酸化的双重解堵措施可有效地清除可降解钻井液对煤层气储层的伤害,并能恢复甚至提高煤岩气体渗透率(增幅在15.47%~38.92%之间)。研究成果可以解决松软煤层瓦斯抽采孔钻进工作中护孔与储层保护的矛盾问题,也可为煤层气垂直井、水平井和分支井的钻井工艺优化与产能提高提供重要的理论和技术基础。

关键词:松软煤层 瓦斯抽采 可降解钻井液 护孔 储层保护

Experimental Research on Degradable Drilling Fluid for Drilling in Unconsolidated and Soft Coal Seam

CAI Jihua1, GU Sui2, WU Xiaoming1, LIU Hao1, CHEN Yu1

(1.Engineering Faculty, China University of Geosciences, Wuhan 430074, China;2.Jiangcheng College, China University of Geosciences, Wuhan 430200, China)

Abstract: Technologies needed to stabilize the wellbore are among the most urgent problems that require be- ing resolved in the drainage and exploitation of coalmine methane (CMM) from unconsolidated and soft coal seams.In the first, the paper theoretically *** yzed the borehole maintaining and biodegradation mechani *** s of degradable drilling fluid.Then systematical study on its performance were carried out by utilizing rheology tests, mud cake remove tests and coal rock gas permeability tests.Results show that the degradation properties of degrad- able drilling fluid were controllable and it was fit for the coalmine operation environment.Furthermore, complex unplugging technologies employing enzymatic degradation plus acidification by HCl was effective in removing the damage caused by mud cakes of degradable drilling fluid and resuming the gas permeability of coal rock or even en- hance it by a ratio between 15.47% and 38.92%.Technological achievements of this paper can help to resolve the contradiction between borehole maintaining and reservoir protection, and also offer powerful theoretical and techni- cal foundation for drilling technology optimization and production capacity enhancement in vertical, horizontal and multi-lateral drilling for coalbed methane exploration.

Keywords: unconsolidated and soft coal sea; coalmine methane drainage and exploitation; degradable drill-ing fluid; borehole maintain; reservoir protection.

1 可降解钻井液的提出

根据抽采对象的不同,可将煤矿瓦斯抽采分为本煤层瓦斯抽采、邻近层瓦斯抽采和采空区瓦斯抽采[1]。由于我国地质构造条件复杂,成煤时代多,煤矿区分布广,煤储层特征差异大。简单起见,可划分为正常煤体结构的硬煤层和构造发育的松软煤层两种典型类型。对于松软煤层,由于煤与瓦斯突出、煤层松软、机械强度低等原因,采用清水或空气等常规排粉钻进方式时易出现塌孔、卡钻或喷孔等问题,打钻成孔困难,瓦斯抽采效率低。松软煤层的煤层气开发是我国煤层气产业化面临的最严峻的挑战之一[2~4],在此类煤层中钻进护孔技术是目前亟待解决的技术难题之一[5~6]。

为达到较好的护孔效果,通常在钻井液中添加纤维素、胍尔胶和生物聚合物等聚合物。纤维素和胍尔胶等起到增粘、降低摩阻和润滑作用以保持井壁稳定,而生物聚合物可以增强钻井液在水平井段内的岩屑悬浮能力。尽管这类钻井液对储层的伤害比传统泥浆要小,但还是会在井壁上形成了低渗透的滤饼。滤饼的不充分降解会极大地影响井壁的流动能力,结果是显著降低生产井的产量。因此,特别是在松散地层和高渗透性地层中,必须清除渗滤到地层中的钻井液以及沉积在井壁上的滤饼,以实现产量更大化。

近年来,针对松散地(储)层钻进中护孔和储层保护的矛盾,我们提出了一种环境友好的可降解钻井液的研究思路[7~11]:在钻进时能保持孔壁稳定,而在钻进工作结束后,钻井液能在生物酶和无机酸作用下实现降解、粘度下降,先前形成的滤饼破除、产层流体的流动性增强、恢复地下流体资源解吸扩散通道,达到提高地下流体资源产量效果的目的。

本文在上述研究基础上,在理论上分析了松散煤层钻进用可降解钻井液的护孔作用机理和生物降解作用机理,并通过流变性测试、滤饼清除实验和煤岩气体渗透率测试等 *** 对可降解钻井液的性能进行了综合研究。

2 可降解钻井液的作用机理

2.1 可降解钻井液的护孔作用机理

可降解钻井液主剂由粘土稳定剂(如KCl)、水溶型或酸溶型架桥粒子/加重剂(一般为细粒CaCO3或无机盐)、降滤失剂(主要是天然植物胶如淀粉或纤维素或胍尔胶)、流型调节剂(如生物聚合物XC)等组成,这些处理剂共同起到增粘和降低摩阻作用;当钻进结束后,加入能降解各种聚合物的生物酶破胶剂[12~15]和能溶解细粒CaCO3无机酸(通常是15%的HCl[12,14])或有机酸[13,16]来清除聚合物滤饼(主要由聚合物和CaCO3组成)对储层渗透性的伤害。下面分别阐述各种处理剂的作用机理。

(1)粘土稳定剂可以用来抑制煤岩中粘土矿物遇水后膨胀;

(2)水溶型或酸溶型架桥粒子可以在煤岩表面的孔隙或裂隙孔喉处形成架桥,起到防止钻孔漏失的目的,同时CaCO3或无机盐也可以适当增加钻井液的密度,起到平衡地层压力的作用;

(3)天然植物胶大分子物质相互桥接,滤余后附在孔壁上形成隔膜。这些隔膜薄而坚韧,渗透性极低,可以阻碍自由水继续向煤层渗漏(图1)。同时,这类聚合物钻井液具有良好的包被抑制性,能有效地抑制钻屑分散。另外,这类具有强亲水基团的长链环式高分子化合物易溶于水,形成的水溶液具有较高粘度,可以增强钻孔孔壁表面松散煤粒之间的胶结力,起到加固松软煤层孔壁的效果;

图1 Na-CMC在粘土颗粒上的吸附方式

(4)生物聚合物XC是一种优良的流型调节剂,用它处理的钻井液在高剪切速率下的极限粘度很低,有利于提高机械钻速;而在环形空间的低剪切速率下又具有较高的粘度,并有利于形成平板形层流,可增强钻井液在近水平煤层钻孔中的携岩效果。

2.2 可降解钻井液的生物降解作用机理

所谓降解,是指在物理因素、化学因素或生物因素等的作用下聚合物分子量降低的过程。从实用的角度出发,聚合物降解可分为热降解、机械降解、光化学降解、辐射化学降解、生物降解及化学降解等不同的引发方式[17]。下面以胍尔胶为例,阐述生物酶降解聚合物的作用机理。

胍尔胶属于半乳甘露聚糖类,所用胍尔胶分子主链由β-1,4糖甙键将D-甘露糖单元连接而成,D-半乳糖取代基通过α-1,6糖甙键接在甘露糖主链上,沿甘露糖主链随机分布,半乳糖与甘露糖单元之比约为1:1.6。半乳甘露聚糖特异复合酶可有效地水解半乳甘露聚糖,它由两种O键水解酶组合而成,两种酶的降解机理如图2所示。

之一种O键水解酶是α-半乳糖甙酶(蜜二糖酶),专门作用于半乳糖取代基,可用来水解末端的非还原性α-D-半乳糖甙键。第二种O键水解酶过去常用来分解胍尔胶分子,在此专门作用于甘露糖主链,这种水解酶被称作β-1,4甘露聚糖环内水解酶,可随机水解β-1,4-D-甘露糖甙键[18]。

后续室内实验采用的酶制剂是几种生物酶的复配物。特种酶1号(SE-1)以纤维素甙键特异酶和半乳甘露聚糖特异复合酶为主,特种酶2号(SE-2)和特种酶4号(SE-4)以半乳甘露聚糖特异复合酶为主。

图2 胍尔胶糖甙键特异酶的降解机理

图3 胍尔胶钻井液的降粘曲线

3 可降解钻井液的室内试验

3.1 降粘效果评价

在理论分析基础上,进行了生物酶降解聚合物的室内实验,以钻井液流变参数为主要评价指标,用几种特种酶来降解单一聚合物或复配聚合物。将生物酶分别加入单一聚合物和复合聚合物中,研究生物酶对这些可降解钻井液的降粘效果,将表观粘度(AV)、塑性粘度(PV)和动切力(YP)随时间的变化关系绘制成曲线如图3~图5所示。

3.1.1 单一聚合物钻井液

从图3可以看出,在特种酶SE-1的作用下,在48.5h之内,质量浓度为0.5%的胍尔胶钻井液的表观粘度从23.5mPa·s降低到5mPa·s。塑性粘度和动切力也呈现出类似的变化规律。

由图4可以看出,在特种酶SE-1的作用下,在48.5h之内,质量浓度为0.75%的羧甲基纤维素钻井液的表观粘度从20.5mPa·s降低到6mPa·s。

由于特种生物酶SE-1同时含有纤维素甙键特异酶和半乳甘露聚糖特异复合酶,它对胍尔胶和羧甲基纤维素均有较好的降解效果。

3.1.2 复配聚合物

从图5可以看出,在特种酶SE-2的作用下,在46h之内,由质量浓度为0.3%羧甲基纤维素和0.2%胍尔胶组成的复合聚合物钻井液的表观粘度从25.5mPa·s降低到5mPa·s。随着时间的变化,塑性粘度和动切力也按类似的规律下降。

由图3~图5可以看出,在生物酶作用下,聚合物能实现有效的降解,聚合物大分子逐渐断链变成小分子,钻井液粘度降低,在煤储层中的流动性增强,从而恢复煤层气解吸释放的通道。

图4 羧甲基纤维素钻井液的降粘曲线

图5 复配聚合物钻井液的降粘曲线

3.2 滤饼清除实验

实验目的是通过观察可降解钻井液滤饼在生物酶破胶剂(和无机酸)的作用下滤饼表面的变化情况、考察滤饼的解堵效果(结果分别如图6~图7所示)。可降解钻井液的配方如下:

配方1:400ml水+2.6gCMC+4gDFD+4.8gCaCO3+NH4HCl(调节pH),先后采用0.00625%的SE-4溶液和5%HCl浸泡滤饼。

配方2:400ml水+1.6gCMC+8g膨润土,采用0.04%JBR溶液浸泡滤饼。

配方1的滤饼清除实验结果如图6所示,可以看出:单独使用生物酶SE-4只能清除该套体系中的CMC(图6-b),而对CaCO3等影响不大。当用5%HCl浸泡2h后,滤饼变得非常薄,说明CaCO3已与HCl充分反应[1]。

图6 滤饼的外观变化图

按照配方2所配制钻井液的滤饼清除实验结果如图7所示。由于这种配方中只有CMC这种聚合物,在用JBR溶液浸泡5h后,可降解钻井液的滤饼已基本降解完全。

图7 JBR作用下可降解钻井液(配方4)滤饼清除情况

3.3 煤岩气体渗透率测试

煤矿井下瓦斯抽放的最终目的就是恢复煤层的渗透率,获得较高的瓦斯抽放量。因此,渗透性的恢复对于可降解钻井液而言是一个更加直接的衡量指标。采用JHGP智能气体渗透率和JHLS智能岩心流动实验仪对可降解钻井液进行渗透性恢复实验,实验步骤详见参考文献[11]。

煤岩气体渗透率测试结果(表1)表明:晋-3煤样经过“污染—生物酶降解—酸化”三个阶段,其渗透率表现出“下降—上升—上升”的趋势,而且经过生物酶降解和酸化(也包括之前的加热处理)之后,煤岩的气体渗透率甚至超过了污染前的气体渗透率(如图8所示,推测盐酸亦与煤岩中的方解石和白云石发生反应,增大了煤岩孔隙裂隙),这也证实了“生物酶降解—酸化处理”的综合解堵工艺是有效的,有利于提高煤层气藏的采收率。

表1 煤岩气体渗透率

注:(1)下游压力(出口压力)为0.1MPa(即1个大气压);(2)△K=(K4-K1)*100/K1。

图8 不同处理阶段煤岩平均气体渗透率变化情况

4 结论

论文在理论上分析了可降解钻井液的护孔作用机理和生物降解作用机理,并通过流变性评价、滤饼清除实验和煤岩气体渗透率测试等实验手段对可降解钻井液进行了综合研究,主要得出以下结论:

(1)可降解钻井液的降解性能人为可控,能适合煤矿井下作业环境;

(2)生物酶降解加盐酸酸化的双重解堵措施可有效地清除可降解钻井液对煤层气储层的伤害,并能恢复甚至提高煤岩气体渗透率(增幅在15.47%~38.92%之间);

(3)研究成果可以解决松软煤层瓦斯抽采孔钻进工作中护孔与储层保护的矛盾问题,也可为煤层气垂直井、水平井和分支井的钻井工艺优化与产能提高提供重要的理论和技术基础。

参考文献

[1]王兆丰,刘军.2005.我国煤矿瓦斯抽放存在的问题及对策探讨[J].煤矿安全,36(3),29~33

[2]苏现波,王丽萍.2001.中国煤层气产业化的机遇、挑战与对策[C].瓦斯地质新进展,222

[3]饶孟余,杨陆武,冯三利等.2005.中国煤层气产业化开发的技术选择[J].特种油气藏,12(4),2

[4]袁亮.2007.淮南矿区煤矿先抽后采的瓦斯治本技术[J].中国煤炭.33(5),5~7

[5]张群.2007.关于我国煤矿区煤层气开发的战略思考[J].中国煤炭,33(11),9~11

[6]国家发展和改革委员会.2005.煤层气(煤矿瓦斯)开发利用“十一五”规划[R]

[7]蔡记华,乌效鸣,潘献义等.2004.暂堵型钻井液的试验研究.地质科技情报[J],23(3):97~100

[8]蔡记华,乌效鸣,刘世锋.2004.自动降解钻井液在水井钻进中的应用[J].煤田地质与勘探,32(5):52~54

[9] Jihua Cai, Xiaoming Wu, Sui Gu.2009.Research on environmentally safe temporarily plugging drilling fluid in water well drilling [C] .SPE 122437

[10] 蔡记华, 乌效鸣, 谷穗等.2010. 煤层气水平井可生物降解钻井液流变性研究 [J] . 西南石油大学学报(自然科学版), 32 (5): 126～130

[11] 蔡记华,刘浩, 陈宇等.煤层气水平井可降解钻井液体系研究 [J] .煤炭学报, 已录用

[12] Beall, Brian B., Tjon-Joe-Pin, Robert, Brannon, et al.1997.Field experience validates effectiveness of drill-in fluid cleanup system [C] .SPE 38570

[13] Frederick O.Stanley, Phil Rae, Juan C.Troncoso.1999.Single step enzyme treatment enhances production capacity on horizontal wells [C] .SPE 52818

[14] K.P.O' Driscoll, N.M.Amin, I.Y.Tantawi.2000.New treatment for removal of mud-polymer damage in multilateral wells drilled using starch-based fluids [J] .SPE Drilling Completion, 15 (3): 167～176

[15] Hylke Simonides, Gerhard Schuringa, Ali Ghalambor.2002.Role of starch in designing non-damaging completion and drilling fluids [C] .SPE 73768

[16] R. C.Burton, R. M.Hodge, Ian Wattie, Jane Tomkinson. 2000.Field test of a novel drill-in fluid clean-up technique[C] .SPE 58740

[17] [德] W.施纳贝尔.1998.聚合物降解原理及应用 [M] .科学出版社, 180～187

[18]李明志,刘新全,汤志胜等.2002.聚合物降解产物伤害与糖甙键特异酶破胶技术 [J].油田化学, 19(1), 89～92

EN420 EN388 是什么认证?

EN388是测4个指标：磨，刺，撕，割 ，分别有1-5个等级，测试结果是类似 5342 这样的数字来说明等级的

需要看名字

EN388是工业手套防护的欧洲标准之一，欧洲标准化委员会（简称CEN）在2003年7月2日通过了版本EN388:2003的审批。该标准在手套通用标准EN420的基础上规定了劳动防护手套的机械性危害防护的技术要求、试验 *** 、标志标识和使用说明，适用于在机械危害方面的各种防护性手套，也可用来确定手套的防冲击割伤和抗静电特性。

所谓“机械危害”，指的是可能由摩擦、刀割、撕裂和刺穿而造成的危险。故，说明这一标准的四个基本测试性能即是：

1   耐磨性    手套材料抗反复摩擦的圈数；

2   抗割性    手套材料抗切割物件的次数；

3   抗撕裂性  即撕裂手套材料中预先切开的孔需要多少单位的力；

4   耐刺穿性  即用标定的长钉刺穿手套掌面需要多大的力。

EN388标准对以上各性能的测试采用相互不同的 *** ，然后将通过测试而得到的测试结果用不同的机械危害符号显示，用以说明该手套对照这四种基本测试中每一种的评级情况，并且将结果记录为性能评级。评级越高，手套所提供的保护就越好。需要注意的是，所有检测均在控制的实验室条件下进行，这些评级仅提供信息参考，让您可以比较两种手套，了解哪一种手套更合适您需要的用途。

耐磨性测试:

将4个圆形的手套材料样本（6.45 cm2) 在已知的压力下(9 kPa)被摩擦，对每个样本分别进行100、500、2000和8000圈的测试，性能等级是根据4次测试后的圈数而定。例如，测试A材料，假使在被摩擦500次时出现破损，则此A材料的耐磨性能等级是1级，依此类推；

抗割性测试:

将2个样本在5牛顿大小的不间断力下进行测试，根据割破前所承受的圈数而确定等级；

抗撕裂性测试:

采用4个从4只手套试验品的掌部上切下的样本，将其中2个做指尖到袖口方向的测试，另外2个做掌宽方向的测试，测量出以100mm/分钟的速度撕裂样本的力，单位牛顿；

耐刺穿性测试:

同样采用4个从4只手套掌部上切下的样本，通过测试测量出以100mm/分钟的速度用钢钉刺穿样本的牛顿力。

EN420认证适用于普通用途的防护手套，EN 420认证主要评估产品的尺码、灵巧性、手套的成分、无毒无害（即PH值为中性）、使用说明、制造商信息等内容。

EN420认证要求手套的设计与制造应充分考虑到使用要求，让使用者在进行相关的作业活动中得到限度的保护和具有操作灵活性。如有必要，手套应有最少穿戴和脱卸时间。

关于防护手套CE测试中的EN420

EN420主要测试结构，抗渗透水性能，PH值，六价铬含量，防静电性能，舒适性，适应性，灵活性，水蒸气渗透性，水蒸气吸收性，排汗等。

*** 安全干货知识分享 - Kali Linux渗透测试 106 离线密码破解

前言

最近整理了一些 奇安信华为大佬 的课件资料+大厂面试课题，想要的可以私信自取， 无偿赠送 给粉丝朋友~

1. 密码破解简介

1. 思路

目标系统实施了强安全措施

安装了所有补丁

无任何已知漏洞

无应用层漏洞

攻击面最小化

社会 工程学

获取目标系统用户身份

非授权用户不受信，认证用户可以访问守信资源

已知用户账号权限首先，需要提权

不会触发系统报警

2. 身份认证 ***

证明你是你声称你是的那个人

你知道什么（账号密码、pin、passphrase）

你有什么（令牌、token、key、证书、密宝、手机）

你是谁（指纹、视网膜、虹膜、掌纹、声纹、面部识别）

以上 *** 结合使用

基于互联网的身份验证仍以账号密码为主要形式

3. 密码破解 ***

人工猜解

垃圾桶工具

被动信息收集

基于字典暴力破解（主流）

键盘空间字符爆破

字典

保存有用户名和密码的文本文件

/usr/share/wordlist

/usr/share/wfuzz/wordlist

/usr/share/seclists

4. 字典

1. 简介

键盘空间字符爆破

全键盘空间字符

部分键盘空间字符（基于规则）

数字、小写字母、大写字符、符号、空格、瑞典字符、高位 ASCII 码

2. crunch 创建密码字典

无重复字符

crunch 1 1 -p 1234567890 | more

1

必须是最后一个参数

更大、最小字符长度失效，但必须存在

与 -s 参数不兼容（-s 指定起始字符串）

crunch 4 4 0123456789 -s 9990

读取文件中每行内容作为基本字符生成字典

crunch 1 1 -q read.txt

1

字典组成规则

crunch 6 6 -t @,%%^^ | more

-t：按位进行生成密码字典

@：小写字母 lalpha

,：大写字母 ualpha

%：数字 numeric

^：符号 symbols

输出文件压缩

root@kali:~# crunch 4 5 -p dog cat bird

1

-z：指定压缩格式

其他压缩格式：gzip、bzip2、lzma

7z压缩比率更大

指定字符集

root@kali:~# crunch 4 4 -f /usr/share/crunch/charset.lst mixalpha-numeric-all-space -o w.txt -t @d@@ -s cdab

1

随机组合

root@kali:~# crunch 4 5 -p dog cat bird

1

crunch 5 5 abc DEF + !@# -t ,@^%,

在小写字符中使用abc范围，大写字符使用 DEF 范围，数字使用占位符，符号使用!@#

占位符

转义符（空格、符号）

占位符

root@kali:~# crunch 5 5 -t ddd%% -p dog cat bird

1

任何不同于 -p 参数指定的值都是占位符

指定特例

root@kali:~# crunch 5 5 -d 2@ -t @@@%%

1

2@:不超过两个连续相同字符

组合应用

crunch 2 4 0123456789 | aircrack-ng a.cap -e MyESSID -w -

crunch 10 10 12345 –stdout | airolib-ng testdb -import passwd -

3. CUPP 按个人信息生成其专属的密码字典

CUPP：Common User Password Profiler

git clone

python cupp.py -i

4. cewl 通过收集网站信息生成字典

cewl 1.1.1.1 -m 3 -d 3 -e -c -v -w a.txt

-m：最小单词长度

-d：爬网深度

-e：收集包含email地址信息

-c：每个单词出现次数

支持基本、摘要 身份认证

支持 ***

5. 用户密码变型

基于 cewl 的结果进行密码变型

末尾增加数字串

字母大小写变化

字母与符号互相转换

字母与数字互相转换

P@$w0rd

6. 使用 John the Ripper 配置文件实现密码动态变型

2. 在线密码破解

1. hydra

简介

密码破解

Windows 密码破解

Linux 密码破解

其他服务密码破解

图形化界面

xhydra

HTTP表单身份认证

密码破解效率

密码复杂度（字典命中率）

带宽、协议、服务器性能、客户端性能

锁定阈值

单位时间更大登陆请求次数

Hydra 的缺点

稳定性差，程序时常崩溃

速度控制不好，容易触发服务屏蔽或锁死机制

每主机新建进程，每服务新建实例

大量目标破解时性能差

2. pw-inspector

Hydra 小工具 pw-inspector

按长度和字符集筛选字典

pw-inspector -i /usr/share/wordlists/nmap.lst -o p1.lst -l

pw-inspector -i /usr/share/wordlists/nmap.lst -o P2.lst -u

pw-inspector -i /usr/share/wordlists/nmap.lst -o P2.lst -u -m 3 -M 5

3. medusa

Medusa 的特点

稳定性好

速度控制得当

基于线程

支持模块少于hydra（不支持RDP）

WEB-Form 支持存在缺陷

查看支持的模块

参数

-n：非默认端口

-s：使用SSL连接

-T：并发主机数

medusa -M ftp -q

3. 离线密码破解

1. 简介

身份认证

禁止明文传输密码

每次认证使用HASH算法加密密码传输（HASH算法加密容易、解密困难）

服务器端用户数据库应加盐加密保存

破解思路

嗅探获取密码HASH

利用漏洞登陆服务器并从用户数据库获取密码HASH

识别HASH类型

长度、字符集

利用离线破解工具碰撞密码HASH

优势

离线不会触发密码锁定机制

不会产生大量登陆失败日志引起管理员注意

2. HASH 识别工具

1. hash-identifier

进行 hash 计算

结果：5f4dcc3b5aa765d61d8327deb882cf99

进行 hash 识别

2. hashid

可能识别错误或无法识别

3. HASH 密码获取

1. samdump2

Windows HASH 获取工具

利用漏洞：Pwdump、fgdump、 mimikatz、wce

物理接触：samdump2

将待攻击主机关机

使用 Kali ISO 在线启动此主机

发现此 windows 机器安装有两块硬盘

mount /dev/sda1 /mnt

将硬盘挂载

cd /mnt/Windows/System32/config

切换目录

samdump2 SYSTEM SAM -o sam.hash

导出密码

利用 nc 传输 HASH

HASH 值：31d6cfe0d16ae931b73c59d7e0c089c0

2. syskey 工具进行密码加密

使用 syskey 进行加密（会对 SAM 数据库进行加密）

重启需要输入密码才能进一步登录

使用 kali iso live

获取到 hash 值

hashcat 很难破解

使用 bkhive 破解

使用 Bootkey 利用RC4算法加密 SAM 数据库

Bootkey 保存于 SYSTEM 文件中

bkhive

从 SYSTEM 文件中提取 bootkey

Kali 2.0 抛弃了 bkhive

编译安装 ：

在windows的 kali live 模式下，运行

samdump2 SAM key （版本已更新，不再支持此功能）

建议使用 Kali 1.x

1. Hashcat

简介

开源多线程密码破解工具

支持80多种加密算法破解

基于CPU的计算能力破解

六种模式 （-a 0）

0 Straight：字典破解

1 Combination：将字典中密码进行组合（1 2 11 22 12 21）

2 Toggle case：尝试字典中所有密码的大小写字母组合

3 Brute force：指定字符集（或全部字符集）所有组合

4 Permutation：字典中密码的全部字符置换组合（12 21）

5 Table-lookup：程序为字典中所有密码自动生成掩码

命令

hashcat -b

hashcat -m 100 hash.txt pass.lst

hashcat -m 0 hash.txt -a 3 ?l?l?l?l?l?l?l?l?d?d

结果：hashcat.pot

hashcat -m 100 -a 3 hash -i –increment-min 6 –increment-max 8 ?l?l?l?l?l?l?l?l

掩码动态生成字典

使用

生成文件

计算 hash 类型

结果 MD5

查看 MD5 代表的值

进行破解

2. oclhashcat

简介

号称世界上最快、唯一的基于GPGPU的密码破解软件

免费开源、支持多平台、支持分布式、150+hash算法

硬件支持

虚拟机中无法使用

支持 CUDA 技术的Nvidia显卡

支持 OpenCL 技术的AMD显卡

安装相应的驱动

限制

更大密码长度 55 字符

使用Unicode的更大密码长度 27 字符

关于版本

oclHashcat-plus、oclHashcat-lite 已经合并为 oclhashcat

命令

3. RainbowCrack

简介

基于时间记忆权衡技术生成彩虹表

提前计算密码的HASH值，通过比对HASH值破解密码

计算HASH的速度很慢，修改版支持CUDA GPU

彩虹表

密码明文、HASH值、HASH算法、字符集、明文长度范围

KALI 中包含的 RainbowCrack 工具

rtgen：预计算，生成彩虹表，时的阶段

rtsort：对 rtgen 生成的彩虹表行排序

rcrack：查找彩虹表破解密码

以上命令必须顺序使用

rtgen

LanMan、NTLM、MD2、MD4、MD5、SHA1、SHA256、RIPEMD160

rtgen md5 loweralpha 1 5 0 10000 10000 0

计算彩虹表时间可能很长

下载彩虹表

彩虹表排序

/usr/share/rainbowcrack

rtsort /md5_loweralpha#1-5_0_1000x1000_0.rt

密码破解

r crack *.rt -h 5d41402abc4b2a76b9719d911017c592

rcrack *.rt -l hash.txt

4. John

简介

基于 CPU

支持众多服务应用的加密破解

支持某些对称加密算法破解

模式

Wordlist：基于规则的字典破解

Single crack：默认被首先执行，使用Login/GECOS信息尝试破解

Incremental：所有或指定字符集的暴力破解

External：需要在主配配文件中用C语言子集编程

默认破解模式

Single、wordlist、incremental

主配置文件中指定默认wordlist

破解Linux系统账号密码

破解windows密码

Johnny 图形化界面的john

5. ophcrack

简介

基于彩虹表的LM、NTLM密码破解软件

彩虹表：