河南键盘价格联盟

网络空间安全周刊 (20180604-20180610)

ISO27000系列信息安全管理体系2018-06-23 16:47:49

1.  安全漏洞

  1. 1本周漏洞统计

本周统计漏洞数为225个,其中高危漏洞75个,中危漏洞138个,低危漏洞12个。以下是漏洞示意图。


 


  1. 2下周漏洞预警

1)用户发现有史以来最古怪的Android故障之一

在过去的一周,Android用户们发现了Android设备上奇怪的bug,这个bug导致用户在语音搜索某些指令时会展示个人短信。

当用户搜索Google搜索,助手和Pixel启动器等Google应用程序时,就会出现这个bug

由于触发的搜索内容不确定,大家纷纷尝试,玩的不亦乐乎。

最初这个问题的用户说,他搜索“the1975..com”时,GooglePixel Launcher应用程序返回了他所有的短信而非搜索结果。

用户在Reddit上发布了关于这个奇怪错误的详细信息,其中来自以Android为中心的博客的其他用户和记者能够在其他Google应用中重现该漏洞。

Google应用能够返回用户的短信,但这只有在用户指示时才会,而不是在搜索任何这些随机字词时发生。这些随机字词可能会造成安全隐患。

2)微软 Windows JScript 组件被曝 RCE 漏洞

TelspaceSystems 公司的研究员发现微软的 Windows JScript 组件存在重要漏洞,可导致远程攻击者在用户电脑上执行恶意代码。这个漏洞的实现条件是攻击者要诱导用户访问恶意网页或者在系统上下载并打开(一般由 Windows Script Host-wscript.exe 执行)恶意 JS 文件,执行动作后,可导致特定指针在释放后遭重用,进而在当下进程中执行代码。微软目前已经收到研究人员的漏洞报告,但尚未发布补丁。

3MyHeritage族谱网站9200万账号信息泄露

族谱DNA测试网站MyHeritage周一表示,自家的数据库遭到泄露,影响92,283,889名用户。公司在第三方网站服务器上发现了这些用户资料,从而得知了泄露情况。根据部分账号的创建时间,公司猜测泄露发生于20171026日。目前尚不清楚是员工泄露了数据还是黑客攻击所致。

不过MyHeritage表示,数据库中的密码经过哈希加密,并非明文,用户无需过多担心。在遭遇数据泄露后,MyHeritage计划推出双因素认证机制。

4Sigrun勒索软件免费解密俄罗斯受害者文件

Sigrun勒索软件作者现在向俄罗斯的受害者免费提供解密密钥,而对于其他国家的用户则仍需要支付2500美元价值的比特币或者Dash来解密文件。

Sigrun会检测用户的键盘布局,从而检查用户来源的国家。具体来说,勒索软件运行时会查看HKEY_CURRENT_USER\Keyboard Layout\Preload,如果检测到的是俄语布局的键盘,Sigrun就不会加密文件,而是把自己删除。这种手段的目的可能是为了防止黑客被俄罗斯的执法部门追查。而由于政治原因,乌克兰的用户不使用俄语布局的键盘,但Sigrun作者还是打算为他们提供免费的解密服务。

2.  病毒防范

  2.1钓鱼网站信息

根据上周统计0604-0610日,共有156874人次的网民遭到网页挂马攻击,截获了125638个挂马网址。共有52035人次的网民遭到钓鱼网站攻击,截获了635984个钓鱼网址。

Trojan.Win32.BHO.hdz(木马病毒)”病毒运行后查找主流杀毒软件进程,并尝试将其结束。同时病毒还将修改用户的注册表,以便实现开机自启动。除此之外,该病毒还在后台连接黑客指定网址,并为恶意网址刷流量,占用大量网络资源。用户一旦中毒,有可能出现网络拥堵等现象。

  2.2本周流行病毒

挖矿木马借色情电子书传播

加密货币账户突然被盗,很有可能是挖矿木马在捣乱。近日,研究人员捕获了一组具有蠕虫特性的挖矿木马“SecretMiner”,隐藏在色情电子书(.chm文件)中进行传播,劫持中招用户的虚拟货币交易账户,还能自动将病毒下载链接分享到社交平台进行传播。

SecretMiner”挖矿木马藏身的色情电子书命名取巧,多使用“想不想知道XX之间的秘密”等带有性诱惑、暧昧意味的字眼,在社交媒体上进行大量传播。其隐藏在电子书文档中的恶意代码更利用了较为复杂的技术方法来躲避安全软件的查杀,已使大量网民上当受骗。

通过对捕捉到的病毒样本进行分析,研究人员发现,隐藏在色情电子书(.chm文件)中的恶意代码利用了较为复杂的技术方法,其多个中间组件可直接下载后在内存中执行,无需在本地创建文件,用来躲避安全软件的查杀。一旦网民不慎点击打开此类色情电子书文件,病毒便会自动运行。

SecretMiner”挖矿木马执行的恶意行为主要包括释放挖矿木马挖门罗币,以及通过云端控制中毒电脑下载安装Chrome浏览器恶意插件,病毒插件安装成功后,一旦用户通过浏览器交易比特币等虚拟加密币,病毒就会尝试替换收款地址,将用户的比特币(或其他加密币)转入自己的账户,其行为如同打劫。

此外,该木马还会尝试盗取用户的facebook帐号信息,并自动在facebook网站分享携带病毒的色情电子书文件下载链接,实现蠕虫式的感染扩散。然而,由于该病毒操控的分享行为多因为网络原因而失败,一定程度上减弱了病毒传播的速度。



SecretMiner”挖矿木马的工作流程

 

多年来,色情内容与病毒木马黑色产业始终存在着相互寄生的关系,大量的病毒木马以色情内容为诱饵,欺骗网民下载运行。对此,安全人员提醒大家,不要随意点击来源不明以及疑似色情类的文档,可有效拦截此类木马病毒的攻击。

  2.3病毒防范措施与建议

1)警惕不明网站、陌生邮件,尤其注意邮件附件,避免打开不明邮件/附件。而对于重点网站,或者热门网站,如政府网站和各大媒体网站、论坛,很有可能被利用现有的漏洞进行挂马,或跳转到其他恶意网站。

2)计算机用户在浏览Web网页时,务必打开计算机系统中防病毒软件的网页监控功能。同时,计算机用户应及时下载安装操作系统已安装应用软件的最新漏洞补丁或新版本,防止恶意木马利用漏洞进行入侵感染操作系统。同时网络管理人员也要定期维护升级网站服务器,检查服务器所存在的漏洞和安全隐患,进行及时地修复和加固。

3)做好系统和重要数据的备份。

4)不浏览不良网站,不随意下载安装可疑插件;不接收QQMSNEmail等传来的可疑文件。

5)安全使用U盘等移动介质,建议关闭系统所有磁盘的自动播放特性。

3.  安全资讯

3.1苹果新操作系统的安全功能,可屏蔽部分网站cookie,包括脸书!

苹果在近日的WWDC 2018表示,iOSmacOS的新操作系统将包含新的隐私功能。

这样的新的隐私功能推出的时机是在Facebook数据丑闻以及GDPR实施之后。

苹果在今天凌晨的WWDC开发者大会上宣布它会屏蔽“赞”按钮的cookie,这种cookie可以让网站跟踪用户。

“赞按钮和评论可以被用来追踪用户,所以今年我们要把它们关闭,”苹果软件工程高级副总裁Craig Federighi说道。

新的macOS系统(代号Mojave)和iOS 12还会推出新的功能让人难以创造独特指纹来追踪用户。

增强的安全功能是本次WWDC的重点之一,其他改进还包括上个月的Google IO大会上Android推出的手机防沉迷机制、Google Photos去年已经集成的智能相册功能以及小爱同学、三星Bixby中已有的Siri Shortcuts功能。对于这三个新增加的功能,苹果也强调了功能的安全性,包括对手机使用情况数据的保护、以及分享照片时的端对端加密。

3.2谷歌应用现怪异Bug:搜索特定词条会暴露个人短信息所有内容!

在过去几周里,有安卓用户在其设备上发现了前所未有的有趣bug。当用户在搜索一些特定词条时,设备会暴露用户个人的短信息。不过这个bug只会在使用Google SearchGoogle Assistant以及Pixel Launcher这些谷歌应用时才会触发。

这个问题最初由一位用户报告,据称当他偶然在GooglePixel Launcher中搜索“the1975..com”时,该应用并没有返回搜索结果,而是返回了所有短信。之后这位用户在Reddit上发帖公布了这个bug的细节,其他用户和研究人员发现通过其他词条(如下),在其他谷歌应用中也可以重现这个bug

the1976..com

thw1975..com

the1975..com

the1974..com

Vizelviagens

Izelaviagens

Zela viagens

谷歌应用通常是可以返回短消息的,但是也仅限于在用户明确指示后才会显示,而不是通过搜索这些随机词条显示。Google Assisant很久之前就可以朗读短信了,这提高了谷歌通过一些模糊词返回相同结果的可能性。

虽说这称不上是个安全风险,但是它比安全风险更加“怪异”。因为除非有人可以接触到你的手机,否则无法利用这个漏洞,再者,如果真的有人可以访问你的手机,他可能更倾向于直接打开你的短信应用程序查看短信,而不是打开谷歌应用搜索这些奇怪的词条。不过即便如此,你也可以通过禁止Google应用访问短信或设置锁屏来确保隐私不被窥探。

谷歌表示这是“语言检测”出现问题,即将相关词条理解为读取短信,目前谷歌已经解决了这个问题,且谷歌商店中已经可以获得更新后的Google SearchGoogle Assistant以及Pixel Launcher。这个bug并不是在所有安卓手机上都有,但是所有Pixel智能手机似乎都会受到影响。

3.3微软 Windows J 组件被曝 RCE 漏洞,可严重泄露个人隐私

近日Telspace Systems 公司的研究员发现微软的Windows J 组件存在重要漏洞,可导致远程攻击者在用户电脑上执行恶意代码。这个漏洞的实现条件是攻击者要诱导用户访问恶意网页或者在系统上下载并打开(一般由 Windows Host-w.exe 执行)恶意 JS 文件,执行动作后,可导致特定指针在释放后遭重用,进而在当下进程中执行代码。微软目前已经收到研究人员的漏洞报告,但尚未发布补丁。

健身应用程序 PumpUp 泄露健康数据以及私人消息。

由加拿大公司开发的健身应用程序 PumpUp将核心后端服务器托管在亚马逊云端,因配置不当而泄露信息。任何人无需密码即可实时获取其用户的登录记录、健康信息和私人消息。这台服务器原本充当消息传递代理,可以将用户请求和私人消息发到该应用的其他用户。这个代理使用的是不常见的 MQTT 协议,为暂时性协议,结果导致任何人都能看到实施数据流。目前,这个服务器已经受到安全保护。

3.4Zip Slip Vulcanrability漏洞可能会影响到包括Java生态系统在内的多个生态系统的项目正常运行!

近日安全研究人员今天透露了一个关于影响处理归档文件的开源编码库的重要漏洞的详细信息。

Synk的研究人员发现,“ZipSlip”漏洞是编码器,插件和库实现解压归档文件的过程中的一个问题。

许多存档格式,包括tarjarwarcpioapkrar7z都会受到影响,这意味着这更像是理论问题,而不是特定的编码错误。

漏洞导致文件在错误的位置解压缩

据研究人员称,Zip Slip是“任意文件覆盖”和“目录遍历”问题的结合,可能导致攻击者可以将文件解压缩到正常解压缩路径之外并覆盖敏感文件,如关键OS库或服务器配置文件。

“利用这个漏洞所需的两个部分是一个恶意的归档和提取代码,不会执行验证检查,”Synk团队今天在一份安全公告中表示。

研究人员表示,他们在4月份发现了这个漏洞,他们一直在与这些攻击易受攻击的几个开源库的维护者合作。

多个开源库受到影响

Synk团队发布了受GitHubZip Slip影响的图书馆清单。

虽然使用几种编程语言编写的库已知会受到影响,例如JavaScriptPythonRuby.NETGoGroovy,但这个问题主要影响Java生态系统,因为没有推荐用于处理归档文件的官方库。

相反,开发人员为此目的创建并使用了各种库,其中大多数都容易受到Zip Slip的影响。此外,这个问题非常广泛,甚至一些在StackOverflow上共享的代码被发现容易受到Zip Slip的影响,这意味着许多用Java编写的桌面,移动或Web应用程序可能容易受到Zip Slip的影响,而开发人员甚至不知道。

为了帮助开发人员了解Zip Slip攻击并帮助他们检测他们的应用程序是否易受攻击,Synk团队发布了一份技术文件,详细介绍Zip Slip bug

研究人员还发布了概念验证Zip Slip存档,以便开发人员可以测试他们的应用程序是否存在漏洞。

3.5 Drupalgeddon 2可能会持续攻击超过115000Drupal站点为期两个月的时间

这一估算来自美国安全研究人员TroyMursch,他在过去的几天中使用互联网扫描所有运行Drupal 7.x CMS版本的站点

Mursch能够找到超过500,000个这样的网站,他说他能够识别115,070个运行过时的Drupal 7.x CMS版本的网站,易受CVE-2018-7600(也被称为Drupalgeddon 2)的攻击。

Drupalgeddon 2

CVE-2018-7600是一个安全漏洞,在20183月下旬发现,并被认为是自2014年发现原始Drupalgeddon漏洞以来影响DrupalCMS最严重的安全漏洞之一。

该漏洞允许攻击者通过访问格式错误的URL来接管网站,无需身份验证。修补程序可用于Drupal 6.x7.x8.x版本。

Mursch的扫描没有寻找6.x8.x站点,但他设法识别和扫描的500,000个站点据信是今天在线部署的所有Drupal站点的一半。

Drupal cryptojacking活动已扩大

补丁发布后两周,黑客开始利用Drupalgeddon2漏洞,因为大多数黑客都不知道如何攻击这个漏洞。在公开的概念证明代码发布后不久就开始了开发尝试。

从那时起,这个漏洞已经被用来感染带有后门,投币机,加密攻击者和物联网僵尸网络恶意软件的服务器。Mursch本人之前发现了一个使用Drupalgeddon 2漏洞的大型加密攻击活动,它利用浏览器中的矿工感染网站的前端代码。

在今天发表的一份报告中,Mursch说,那些隐身战役在他的第一次报告后并没有停止,但实际上扩大了范围。

研究人员在5月初发布了GoogleDocs电子表格来跟踪原始广告系列,但现在,电子表格中包含数个不同广告系列以及数千个受损Drupal网站的数据。

115,000Drupal 7.x站点仍然没有Drupalgeddon2补丁,这些广告系列有大量的炮灰可供选择。

3.6VPNFilter恶意软件可感染更多知名路由设备

在过去几个月中,遍布54个国家的超过500,000台路由器和NAS设备受到感染的VPNFilter恶意软件比以前认为的要糟糕得多。

根据Talos安全团队今天发布的新研究技术细节,最初被认为能够感染来自LinksysMikroTikNetgearTP-LinkQNAP的设备的恶意软件也可以感染华硕制造的路由器, D-Link,华为,UbiquitiUPVEL和中兴通讯。

易受VPNFilter攻击的设备列表已经从思科的原始报告中大幅跃升,从16种设备型号升至71款(可能更多)。

新的VPNFilter插件

此外,研究人员还发现了新的VPNFilter功能,作为第三阶段插件打包,作为恶意软件三阶段部署系统的一部分。

思科表示,他们发现了以下两个新的第三阶段插件。

ssler - 插件,用于通过中间人攻击拦截和修改端口80上的网络流量。插件也支持将HTTPS降级为HTTP

dstr - 用于覆盖设备固件文件的插件。思科知道VPNFilter可以清除设备固件,但是在最近的报告中已经将这个功能指向了这个特定的第三阶段插件。

这两个新插件添加到已知的两个插件中。

ps - 插件,可以嗅探网络数据包并检测某些类型的网络流量。思科相信这个插件曾被用于寻找工业软件和SCADA设备常用的Modbus TCP / IP数据包,但在其最新的报告中称,该插件还将寻找通过TP-Link R600虚拟专用网络连接的工业设备,如好。

tor-pluginVPNFilter机器人通过Tor网络与命令和控制服务器进行通信。

一般而言,有关VPNFilter恶意软件的技术细节可在思科的第一份报告中找到。

VPNFilter僵尸网络被发现有感染的设备遍布世界各地,但是当他们发现僵尸网络准备在乌克兰的IT基础设施网络攻击的研究人员已经公开了与他们的研究结果。许多人认为,网络攻击应该在5月底在乌克兰基辅举行的欧洲冠军联赛足球决赛当天举行。

联邦调查局干预通过接管其指挥和控制服务器来中和僵尸网络。然而,被认为是俄罗斯军方单位的恶意软件组织最近开始组装一个新的僵尸网络,继续关注在乌克兰网络上感染设备。

以下是VPNFilter恶意软件所针对的路由器和NAS设备的更新列表。思科上个月表示,VPNFilter不会使用零时间来感染设备,这意味着所有列出的模型都可以通过针对较早的固件版本进行攻击,并且更新到最新的固件版本可以让设备远离恶意软件。

如果用户无法更新其路由器的固件,无法更新到新路由器,但仍希望从设备上清除恶意软件,本文中提供了有关如何安全删除恶意软件的说明。从受感染设备中移除VPNFilter非常困难,因为这种恶意软件是可以在SOHO路由器和物联网设备上实现引导持久性的两种恶意软件之一。此外,还没有迹象表明路由器已经感染了这种恶意软件,所以除非您能够扫描路由器的固件,否则即使知道您受到感染也是一个挑战。我们现在可以给出的最好建议是确保您运行的是具有最新固件的路由器。

3.714亿邮箱泄露密码明文信息查询网站惊现网络

近日,网络上出现了一个14亿邮箱密码泄露信息查询网站:http://dumpedlqezarfife.onion.lu/,访问网站后,可以按照用户名或邮箱地址来查询特定邮箱是否存在密码泄露,查询结果全为明文状态的泄露密码信息。

查询分析

经查询统计,该14亿邮箱密码库涉及GamilHotmailYahooSinaqq163SohuLiveAol等知名电邮厂商注册用户,另外,还涉及一些公司企业、大学科研机构和少量政府单位的邮箱使用用户。其中泄露的密码信息最早可追溯至2011年,最近的泄露密码日期未知,受影响用户多为我国和欧美地区网络活跃的电邮用户。经测试发现,该库甚至囊括了很多古老和新近的邮箱密码。

重要说明

目前,dumpedlqezarfife.onion.lu网站无需翻墙即可正常浏览访问,与国外密码泄露查询网站 haveibeenpwned 只能查询“是否泄漏”状态不同的是,这个dumpedlqezarfife.onion.lu网站查询出来的泄露密码全是明文信息,存在个人信息二次泄漏风险。虽然其中有些查询出来的密码已经不可利用,可能是多次泄露事件的累积库,但从中可以看到个人的密码使用习惯和构造姿势,包括一些多个邮箱的复用密码和个人生日等隐私信息。

经测试分析显示,dumpedlqezarfife.onion.lu网站依托后缀为onion.lu的域名进行注册,注册地址为美国,IP地址为198.251.89.110,目前有httphttps两种访问方式。网站还开通了比特币、莱特币和以太币三种赞助方式,并提供了数据库购买联系邮箱: anoncase@protonmail.com

安全建议

出于对个人信息安全的考虑,建议用户及时访问该网站验证自身邮箱受影响情况,修改相关受影响邮箱的密码信息,避免出现进一步的个人信息泄露!同时,需要养成定期修改密码和多个邮箱不复用密码的习惯,谨慎使用邮箱注册或授权至不明网站!

3.8川大首招“网络安全卓越人才” 可破格录取不受高考分数限制

610日开始,省内四川大学,西南交大等高校陆续开始自主招生考试。尽管78日的全国统考已经落下帷幕,但是对于很多要参加自主招生的学生来说,高考还在继续。据了解,此番自主招生考试的竞争非常激烈,以四川大学为例,报名5970人,通过了首轮资格审查进入自主招生考试环节的只有3100多人,而最终能够通过享受自主招生优惠政策被录取的不超过460人。值得一提的是,四川大学今年首次开启了“网络安全人才卓越计划”,如果被认定为“出类拔萃”的考生,学校可以向教育部申请破格录取,而且没有高考分数的限制。据介绍,西南交大今年自主招生的计划也只有260人,这两所学校的自主招生录取情况都将于622日之前面向社会公示。

考试原则

有真才实学宁缺毋滥

据悉,今年西南交大自主招生总计划为260名,分为A类茅以升学院相关专业;B类普通理科(除建筑学和建筑类外);C类建筑学和建筑类;D类文科专业,以及E类中外合作办学相关专业。

“各个学院命制的考题,无一不指向对学生创新能力、应变能力、心理素质。同时,我们也注重对初审材料原创内容的进一步挖掘。”西南交通大学招生就业处副处长何安涛介绍,在自主招生考试前,学院会提前组织所有面试专家培训,规范评分纪律和流程。此外,不同专业还将由学院统一制定面试评分标准加以规范,让专家打分有据可循;在学院间,为避免个别学院整体分值偏高或偏低,影响考试录取,各面试组的分数都将通过加权公式平衡,因此考生的自主招生总分为笔试成绩与当量面试成绩之和。

四川大学的自主招生计划分为学科特长计划,双特生,国家试点学院和网络安全卓越人才计划,报考不同类型能够获得的录取优惠政策有所差别。以学科特长生计划为例,考试合格的学生就能够享受川大提档线下20分以内的优惠,如果拥有五大奥赛并获得了省赛区一等奖,全国决赛铜奖及以上的学生,则可以在当地一本线录取。而被认定为“出类拔萃”的双特生,则可以在当下一本线下30分被录取。

据四川大学招就处负责人介绍,对于自主招生,学校将本着“宁缺毋滥”的原则,公平公开公正地选拔优秀人才。如果专家现场一致认定某一名学生“出类拔萃”,须报学校招生领导小组最后审议方才通过。“这样的人才可遇而不可求,必须是有特殊才能的。”

值得一提的是,四川大学自主招生考试今年首次启用“网络安全卓越人才计划”,“这个项目是响应国家的需要,招收在网络安全方面有特殊才能的学生,比如对付网络攻击,保护网络安全等。”该负责人表示,如果被认定为网络安全方面“出类拔萃”的学生,学校可以直接向教育部申请破格录取,没有高考分数的限制。

被“网络安全卓越人才计划”所录取的学生将进入川大网络空间安全学院学习。

为了保证考试的公开公平公正,专家现场随机分组,实行独立打分。而且考场内实时录音录像,以保证没有任何“开后门”的空间,而且凡是有直系亲属要参与自主招生考试的,相关专家不能参与出题以及面试。此外,写了专家推荐信的专家,也不能参加自主招生。

考了什么

考题五花八门很接地气

学校自主招生考了些啥,或是众多学子最为好奇的问题。在现场,华西都市报-封面新闻记者随机采访了数位应考的考生,总体感觉考试题五花八门,但相较于标准化考试,要灵活得多,也更为接地气。

“你认为人工智能会替代律师吗?”来自山东的赵同学报考了西南交大法学专业。在了解她提交的初审材料后,考官一对一向她提出了这个问题,让她觉得“挺有趣”。“我当然认为不能替代律师。就目前的人工智能技术而言,对于案件的侦破还缺少变通。人类利用主观能动性,能让法律不再是冰冷的条款,而真正服务于我们的生活。”

来自田家炳中学的陈姓考生,报考的是交通运输专业。“老师询问了我的出行方式,还让我阐述成都地铁发展。”她告诉记者,提问更多是从初审材料出发。比如她提交了大量社会活动材料,考官便主要围绕这部分进行提问。“感觉西南交大的自主招生考试,更注重从综合能力出发来挑选人才。”

“自主招生复试题比高考灵活很多,特别接地气。”来自山东、报考新闻学的一位女生回忆,上午的语文笔试中,有一篇阅读主题是“如何规范使用标点符号”,打乱了文章顺序要求考生排序,而作文题则是一篇关于“大学生玩手机游戏”的材料作文。

除了一对一提问之外,据报考电气工程及其自动化的考生介绍,考试形式还有无领导小组讨论(意指自由讨论),针对“海南发布燃油车限购令,同时补贴新能源汽车”谈看法;围绕“青藏铁路电气化,如何解决供电问题”探讨解决方案……来自河北省保定市的王同学认为,只要平时了解过相关新闻,都有话可说。但答题要出众,还需要提前了解相关专业知识,“难度不小”。

在四川大学的自主招生考场外,很多考试结束的学生余兴未尽,讨论面试试题。一名报考英语专业的学生说,她抽到的题目是——据统计,31%的中国人出国要带方便面,58%的人会在目的地购买方便面。问:方便面是不是中国人出国游的必备?该考生认为,这样的面试题,让人兴趣怏然,自由度很高。

对此,四川大学一位教师表示,自主招生考试题目都非常开放,不会给学生设定某一个标准答案,只要学生的回答有观点,有逻辑就可以。所以重点是考察学生的逻辑思维能力,回答问题的能力和表达能力。从考题的情况来看,很多题目都涉及时事,因此要参加自主招生考试的学生关注时事是备考“标配”。

 

 

 

 

 

长按下方二维码

关注我们

就可以收到最新的消息资讯啦

? ? ?