¿Cómo hacer un buen trabajo en auditoría? ¿Cuáles son las perspectivas?
Personalmente aprobé el examen de CPA en 2004 y luego me uní a una firma de contabilidad para realizar trabajos de auditoría durante 16 años. Tengo bastante experiencia sobre cómo hacer un buen trabajo en auditoría.
Comencé como asistente de auditoría en una firma de contabilidad, pero después de más de tres años, era solo un pequeño gerente de proyectos. Todavía siento que no he empezado realmente y mis líderes me criticarán de vez en cuando. Me he estado preguntando, ¿por qué mi progreso es tan lento? El problema está aquí.
Más tarde, cuando hice un proyecto significativo y representativo, por ejemplo, el proyecto era de cierta escala y el tiempo en el sitio del proyecto era relativamente largo, comencé a escribir un resumen del trabajo. Resuma las dificultades encontradas en este proyecto, cómo se causaron estas dificultades, ya sea por conocimientos teóricos relevantes insuficientes o por falta de experiencia laboral relevante. Con el paso del tiempo, descubrí que tenía algunas deficiencias en los conocimientos teóricos y que era necesario acumular experiencia práctica poco a poco. Después de descubrir mis defectos, estaba pensando en cómo compensarlos. Resulta que leí el tutorial del examen de CPA varias veces desde el principio, pero luego descubrí que no era realista. A través de la comunicación con líderes y otros colegas, encontré formas de resolver la falta de conocimiento teórico.
En lo que respecta al proyecto, si no está familiarizado o no comprende los problemas contables, puede consultar el sistema contable y las regulaciones financieras relevantes para encontrar respuestas y leerlas varias veces para lograr una comprensión integral. comprender y aplicar lo aprendido. Para aquellas preguntas que no se pueden encontrar en los libros, puede buscar en Baidu respuestas a preguntas similares en revistas financieras relevantes o en algunas celebridades contables de Internet, y reflexionar sobre ellas una y otra vez. El trabajo duro vale la pena. Un año después, mi capacidad de trabajo ha mejorado enormemente y mi liderazgo me ha reconocido. Es al utilizar estos métodos que descubro que me gusta más el trabajo de auditoría.
Si desea hacer un buen trabajo en auditoría, necesita aprender constantemente conocimientos teóricos, leer repetidamente algunos conocimientos de uso común, no cansarse nunca de ellos y pensar en ello con frecuencia. Poco a poco podrás afrontarlo libremente. Aunque todavía existen varios problemas en la industria de contadores públicos de mi país, toda la economía mundial está en constante desarrollo y la sociedad no puede prescindir de las auditorías. En la actualidad, todavía hay escasez de trabajadores de contabilidad y auditoría de alto nivel en nuestro país, por lo que las perspectivas para el trabajo de auditoría siguen siendo muy buenas.
No sé si mi experiencia en auditoría le resulta útil, ¡bienvenido a discutirlo!
Auditar, para decirlo sin rodeos, consiste en determinar si el trabajo que realiza, el dinero que gasta, las decisiones que toma y los derechos que ejerce son legales y conformes. Su objetivo final es descubrir la corrupción, los pasos en falso o los errores que hayas podido cometer en materia de dinero, poder y trabajo. A un nivel más profundo, es supervisar la autenticidad y legalidad de las finanzas y el ejercicio de los derechos.
Las auditorías actuales tienden a ser más una revisión de los fondos financieros. La supervisión e inspección se llevan a cabo principalmente a través de comprobantes financieros unitarios, libros de cuentas e informes diversos.
Actualmente en China, las legendarias cuatro principales firmas contables son: Zhengze Accounting Firm, Zhengming Accounting Firm, Shu Lun Accounting Firm y Gongxin Accounting Firm. Esto también debería considerarse como el paraíso más elevado para los estudiantes de contabilidad.
¿Cómo hacer un buen trabajo en auditoría?
En primer lugar, debe tener conocimientos profesionales básicos, de lo contrario no podrá comprender el contenido de varios estados financieros y comprobantes.
Creo que el trabajo restante se debe acumular mediante un trabajo continuo. De lo contrario, no podrá comprender qué vales originales se requieren para cada tipo de negocio, si se requieren varios fundamentos y si el tipo y la cantidad de los vales son legales y conformes.
Una breve comprensión, espero que le resulte útil.
1. Auditoría La auditoría implica examinar los libros de contabilidad y los estados financieros de una empresa o agencia gubernamental. Este trabajo se realiza cada vez más con la ayuda de sistemas informáticos y sofisticados métodos de muestreo aleatorio. La auditoría es un aspecto importante del trabajo contable.
El reciente incidente de robo de monedas de oro en "Farmer World" ilustra la importancia de la auditoría del código.
Se informa que se robaron 130 monedas de oro del juego móvil de la cadena agrícola "Farmer World". Anoche se robaron 9.370 monedas de oro y, según se informa, la cantidad superó los 100 millones de yuanes. "Farmer's World" es el juego más popular de la cadena WAX. WAX se basa en el desarrollo secundario de la cadena pública EOS, por lo que también utiliza el conocimiento avanzado de DPoS y requiere que los usuarios hipotecan WAXP para obtener CPU, NET y Recursos de RAM.
A las 9 p. m. del 7 de noviembre, algunos jugadores descubrieron que aparecía el mensaje "RAM insuficiente" en el juego y aún no se podía resolver después de agregar WAXP. Después de agregar WAXP, el problema aún no se puede resolver. Según la información oficial de la discusión de Discord: No hay lagunas en el contrato inteligente del proyecto y la billetera WAX, pero la dirección WAXP prometida por el usuario no es la dirección oficial del juego. La razón más probable es que el "complemento" del juego. El script cambió la dirección de compromiso del usuario, lo que provocó que el usuario no pudiera obtener recursos de RAM.
Según la alianza de juegos en cadena GameFi: las cuentas de jugadores de Farmer World fueron robadas a gran escala esta mañana. Según un entendimiento preliminar, el valor ha superado los 300 millones de yuanes, con más de 200 piezas de súper equipos. , que involucra 1.000 cuentas de jugadores. Según los comentarios de la víctima, la cuenta robada utilizó un script proporcionado por cierto blogger del sitio B (persona que ocupa XXX) y utilizó esta cuenta de script para robar activos (excavadoras, motosierras, barcos de pesca, etc.) a gran escala. . )NFT fue rechazado. El uso de lagunas para sancionar scripts es un método común de intrusión de código, especialmente en la industria de los juegos, donde los complementos son comunes. En los primeros años, los jugadores de World of Warcraft explotaron las lagunas de los scripts. solo para reparar lagunas y defenderse de las lagunas, pero también para ¡Lo importante es construir de manera integral un excelente entorno de código seguro para minimizar el costo de ser atacado!
¿Por qué sucede esto? Todos sabemos que el código del juego es el más importante. Una vez que se piratea el código, ocurrirán varios problemas. Esto conduce a incidentes de seguridad. Esta también es una lección aprendida con sangre. Es como un complemento en un juego, que conduce a algunas reglas injustas. Primero, comprendamos cómo funciona este problema.
En primer lugar, el principio de los complementos de juegos
Hoy en día, existen muchos tipos de complementos, como simulación de teclados y ratones, modificación de paquetes de datos, modificación de la memoria local, etc., pero parece que no hay ninguna modificación en la memoria del servidor. ¡Oh, jeje! De hecho, modificar el servidor también es un método, ¡pero el contenido técnico es demasiado alto para que la gente común pueda comenzar!
Modificar el juego no es más que modificar los datos de la memoria local o interceptar funciones de API, etc. Aquí, CHAINLION presentará los métodos que se pueden imaginar, espero que todos puedan crear buenos complementos. Los fabricantes de juegos mejoran sus propias habilidades.
Primero hagamos un análisis general teórico, y luego explicaré esto desde un aspecto técnico, para ilustrar el punto.
2 Parte del análisis técnico
) Simular la respuesta del teclado o del mouse
Generalmente usamos UINT SendInput(
UINT nInputs, // recuento de eventos de entrada
LPINPUT pInputs, // matriz de eventos de entrada
int cbSize // Tamaño de la estructura
) función api
El primer parámetro describe el tamaño de la matriz del segundo parámetro y el segundo parámetro contiene el evento de respuesta.
El primer parámetro es el tamaño de la matriz del segundo parámetro. El segundo parámetro contiene el evento de respuesta y puede completarlo usted mismo. El último parámetro es el tamaño de la estructura. Esta también es la forma más sencilla de simular. el teclado y el mouse, jaja p>
Nota: Existe una función alternativa para esta función:
VOID keybd_event(
BYTE bVk, // código clave virtual p>
BYTE bScan, // código de escaneo
DWORD dwFlags,
ULONG_PTR dwExtraInfo // estado de clave adicional
y
);VOID mouse_event(
DWORD dwFlags, // Opciones de mover y hacer clic
DWORD dx, // Posición horizontal o cambio
DWORD dy, // Posición vertical o cambio
DWORD dwData, // Movimiento de la rueda
ULONG_PTR dwExtraInfo // Información definida por la aplicación
La auditoría de código, como su nombre indica, consiste en comprobar si el código fuente tiene vulnerabilidades de seguridad y comprobar el código fuente del programa El proceso de examinar el código fuente en busca de riesgos de seguridad ocultos o irregularidades de codificación y descubrirlos mediante la inspección y el análisis línea por línea del código fuente del programa, ya sea a través de herramientas automatizadas o revisión manual de vulnerabilidades de seguridad causadas por defectos y proporciona medidas y sugerencias de revisión de código.
El contenido incluye
1. Arquitectura operativa con separación de front-end y back-end
2. Servicio WEB. Clasificación de permisos de directorio
3. Combinación de sesión de autenticación y plataforma de aplicación
4. Especificaciones de configuración de la base de datos
5. SQL especificaciones de redacción de declaraciones
6 Configuración de permisos del servicio WEB
6.
7 Contramedidas contra motores de rastreo
Al auditar el software, cada clave El componente debe auditarse individualmente y auditar todo el programa. Es mejor buscar primero las vulnerabilidades de alto riesgo y luego trabajar en las vulnerabilidades de bajo riesgo. A menudo existen vulnerabilidades entre alto y bajo riesgo, según la situación y la fuente. Se utiliza código. Las pruebas de penetración de aplicaciones intentan minimizar las vulnerabilidades en el software mediante el uso de técnicas de ataque conocidas en tantos puntos de acceso posibles como sea posible. Este es un método de auditoría común que se utiliza para descubrir vulnerabilidades específicas que no están en la fuente. ¿Código? Algunos afirman que los métodos de auditoría de fin de ciclo tienden a abrumar a los desarrolladores y terminan dejando a los equipos con una larga lista de problemas conocidos sin mejorarlos. En este caso, se recomiendan los métodos de auditoría en línea.
Vulnerabilidades de alto riesgo
Algunas vulnerabilidades comunes de alto riesgo pueden deberse al uso de
funciones sin límites verificados (por ejemplo, strcpy, sprintf, vsprintf y sscanf), estas funciones pueden provocar fugas de desbordamiento del búfer
Las operaciones de puntero en el búfer pueden interferir con comprobaciones de límites posteriores, por ejemplo: if ((bytesread = net_read(buf, len)) > 0) buf + = bytesread;
execve(), ejecuta pipeline, system() y llamadas similares, especialmente cuando se llama con parámetros no estáticos
Validación de entrada, por ejemplo (en SQL): declaración: = "SELECT * FROM usuarios WHERE nombre = '"+ nombre de usuario + "';" es un ejemplo de una vulnerabilidad de inyección SQL
El archivo contiene funciones.
Por ejemplo (en PHP): include ($ page.'. php'); es un ejemplo de vulnerabilidad de inclusión remota de archivos
Para bibliotecas que puedan estar vinculadas a código malicioso, devuelva una copia del código interno. Referencia de estructura de datos mutable (registro, matriz). El código malicioso puede intentar modificar la estructura o conservar una referencia para monitorear cambios futuros.
Vulnerabilidades de bajo riesgo
A continuación se enumeran las vulnerabilidades de bajo riesgo que deben encontrarse al auditar el código y no crean una situación de alto riesgo.
Vulnerabilidades de código del lado del cliente que no afectan al lado del servidor (por ejemplo, secuencias de comandos entre sitios)
Enumeración de nombres de usuario
Recorrido de directorios (en aplicaciones web)