《如何规避五种主要互联网安全漏洞》由会员分享,可在线阅读,更多相关《如何规避五种主要互联网安全漏洞(4页珍藏版)》请在金锄头文库上搜索。
1、如何规避五种主要互联网安全漏洞2011-06-02 10:02:30 网络转载 摘要:互联网的迅猛发展也带来了更多的安全威胁。员工或许还不完全了解什么是在线漏洞,从而在无意间触发安全泄漏,而企业却会为此花费高额的系统维护费用。为了告诫企业如何面对及避免这类威胁,本文编译了五个最主要的互联网安全漏洞,供大家参考。 1.浏览器漏洞没有哪个供应商能对层出不穷的 web 浏览器漏洞始终保持免疫力。例如 IE6、7 和 8 感染的 CSSbug(CVE-2010-3962)。该 bug 通过两步锁定目标电脑:第一,用户在携带恶意代码的网页上点击 e-mail 链接。恶意代码在用户毫无察觉的情况下开始运行
2、,然后自动在电脑中安装木马。用户不需要点击鼠标,只需要访问网页就会被感染。公司要想不被感染,唯一可做的就是禁止使用那些没有及时打上补丁的浏览器。2.AdobePDF 阅读器,Flash 和 Java 中的漏洞使用较为普遍的工具和程序,如 Adobe PDF 阅读器,Flash 和 Java,是容易受到攻击的高危软件。尽管这些软件经常出现安全漏洞,但是大多数供应商都能很快提供补丁。不过,企业仍然要确保这些补丁被及时安装到所有电脑上才行。IT 部门或许没有意识到补丁的重要性,或许无法安装补丁亦或是抱怨补丁安装不成功。无论是以上哪种情况,如果员工访问了自动发布的带有 Flash 视频的页面,恶意代码
3、就可以在后台自动运行。由于用户全然不知,所以木马可以神不知鬼不觉地潜入电脑中,从而使该电脑成为僵尸网络的一份子。虽然针对 Windows 的开发并不多,例如,有大量可用的 Adobe,Java 和Flash。尤其是 Flash 和 Java 已经在近几个月的时间里,成为名副其实的恶意代码传播者。它们为木马提供了很好的后台切入点,木马可以绕过所有病毒扫描器在电脑上安营扎寨。私人用户最好不使用这些程序,而公司应该采用标准的流程或策略来规范其使用。为了防御借 Flash 发起的攻击,公司可以使用 Flash 拦截器(浏览器插件),从而避免视频自动播放。3.Web2.0 应用中的漏洞最新的 Web 安
4、全漏洞出现了一些新的攻击方法,如跨站点脚本攻击或 SQL 注入。导致这些漏洞的原因通常是 Ajax 的部署不够精准或部署不当。Ajax 是一个在服务器和浏览器之间进行数据异步传输的方法。这类漏洞已经被利用,例如,通过黑客创建的 MySpace 蠕虫。该漏洞大约一年前就发布了,黑客可以利用漏洞很快地获取 MySpace 用户的资料。另外,在 Twitter 上的“onmouseover”攻击也属于这一类。这次攻击比较复杂,因为攻击发起者在网页中嵌入了可以自行传播,转发的恶意代码,代码只有 140 个字符,用户甚至不需要点击任何图标,只是在 Twitter 页面移动鼠标就会遭受攻击。很少有使用该应
5、用的用户能够免受其攻击,除非在安全威胁发布的时候就立刻停止使用该服务。因此,生产商有责任来确保自己的产品是否安全,运行是否良好或者采取预警措施,通过 Web 应用防火墙来保护用户数据。4.非智能手机和智能手机中的安全漏洞亚洲地区有无数手机用户,而智能手机用户的数量也在不断增加。单就新加坡而言,每两个居民就拥有三台手机。这一事实说明新的安全威胁会在这一领域不断出现。例如,新一代蠕虫就瞄准了智能手机。最近,有发现表明 ZeuS 僵尸就是专门用来攻击手机的。在被感染浏览器中使用被感染的 HTML 表单,手机号码就会被其获取,然后它会将携带恶意代码 SymbOS/Zitmo.A!tr 的信息发送给这个
6、号码。恶意攻击旨在拦截并转移银行交易,所以它会将自己隐藏在后台。许多苹果用户希望突破 SIM 卡对指定网络运营商的限制或者使用苹果软件平台没有的应用程序执行一个名为“越狱”的进程,从而不受固于原机的使用限制和访问权限。这一进程会让用户有能力访问设备操作系统的命令行。越狱的内在风险在于它会使许多设备易受攻击,例如,大多数用户在执行完越狱后不会更改 SSH 密码由于苹果默认的密码是“alpine”,很多人都知道这一点,所以这就是潜在的危险。如果不更改密码,那么未授权的第三方也可以轻易访问设备。5.操作系统中的零日漏洞零日攻击是指那些利用未知漏洞或暂无补丁的漏洞发起的攻击。换言之,系统生产商是在攻击发生时或之后才意识到这一漏洞的存在。如此一来,黑客便可以很好地利用漏洞发起攻击。由于黑客可以通过远程访问染指系统,所以这类针对操作系统的攻击特别危险。这种攻击不需要类似浏览器或 Java 之类的工具,只要目标电脑在线就可以了。目前还没有什么办法可以有效防御零日攻击,因为厂商只能被动发布补丁和应急措施只。而且,并非只有使用微软系统的电脑才存在这一问题,使用苹果系统的电脑也逐渐成为零日攻击的目标。互联网安全漏洞的内容还不止上述五种,希望大家多多学习这方面的知识,已应对各种威胁的攻击,避免造成损失。
