您现在的位置是:首页 > IT基础架构 > 网络与安全 >

如何规避五种主要互联网安全漏洞

2011-04-26 21:22:00作者: 来源:

摘要互联网的迅猛发展也带来了更多的安全威胁。员工或许还不完全了解什么是在线漏洞,从而在无意间触发安全泄漏,而企业却会为此花费高额的系统维护费用。为了告诫企业如何面对及避免这类威胁,我们编译了五个最主要的互联网安全漏洞,供大家参考: ...

互联网的迅猛发展也带来了更多的安全威胁。员工或许还不完全了解什么是在线漏洞,从而在无意间触发安全泄漏,而企业却会为此花费高额的系统维护费用。为了告诫企业如何面对及避免这类威胁,我们编译了五个最主要的互联网安全漏洞,供大家参考:

1. 浏览器漏洞

没有哪个供应商能对层出不穷的web浏览器漏洞始终保持免疫力。最近的一个例子就是IE 6, 7和8感染的CSS bug (CVE-2010-3962)。该bug 通过两步锁定目标电脑:第一,用户在携带恶意代码的网页上点击e-mail链接。恶意代码在用户毫无察觉的情况下开始运行,然后自动在电脑中安装木马。用户不需要点击鼠标,只需要访问网页就会被感染。

公司要想不被感染,唯一可做的就是禁止使用那些没有及时打上补丁的浏览器。

2 Adobe PDF阅读器,Flash和Java中的漏洞

使用较为普遍的工具和程序,如Adobe PDF阅读器,Flash和Java,是容易受到攻击的高危软件。尽管这些软件经常出现安全漏洞,但是大多数供应商都能很快提供补丁。

不过,企业仍然要确保这些补丁被及时安装到所有电脑上才行。 IT部门或许没有意识到补丁的重要性,或许无法安装补丁亦或是抱怨补丁安装不成功。无论是以上哪种情况,如果员工访问了自动发布的带有Flash视频的页面,恶意代码就可以在后台自动运行。

由于用户全然不知,所以木马可以神不知鬼不觉地潜入电脑中,从而使该电脑成为僵尸网络的一份子。虽然针对Windows的开发并不多,例如,有大量可用的Adobe,Java和Flash。尤其是Flash和Java已经在近几个月的时间里,成为名副其实的恶意代码传播者。它们为木马提供了很好的后台切入点,木马可以绕过所有病毒扫描器在电脑上安营扎寨。

私人用户最好不使用这些程序,而公司应该采用标准的流程或策略来规范其使用。为了防御借Flash发起的攻击,公司可以使用Flash拦截器(浏览器插件),从而避免视频自动播放。

3 Web 2.0应用中的漏洞

最新的Web安全漏洞出现了一些新的攻击方法,如跨站点脚本攻击或SQL注入。导致这些漏洞的原因通常是Ajax的部署不够精准或部署不当。Ajax是一个在服务器和浏览器之间进行数据异步传输的方法。 这类漏洞已经被利用,例如,通过黑客创建的MySpace蠕虫。

该漏洞大约一年前就发布了,黑客可以利用漏洞很快地获取MySpace用户的资料。另外,最近一次在Twitter上的“on mouse over”攻击也属于这一类。这次攻击比较复杂,因为攻击发起者在网页中嵌入了可以自行传播,转发的恶意代码,代码只有140个字符,用户甚至不需要点击任何图标,只是在Twitter页面移动鼠标就会遭受攻击。

很少有使用该应用的用户能够免受其攻击,除非在安全威胁发布的时候就立刻停止使用该服务。因此,生产商有责任来确保自己的产品是否安全,运行是否良好——或者采取预警措施,通过Web应用防火墙来保护用户数据。

4 非智能手机和智能手机中的安全漏洞

亚洲地区有无数手机用户,而智能手机用户的数量也在不断增加。单就新加坡而言,每两个居民就拥有三台手机。这一事实说明新的安全威胁会在这一领域不断出现。

例如,新一代蠕虫就瞄准了智能手机。最近,有发现表明ZeuS僵尸就是专门用来攻击手机的。在被感染浏览器中使用被感染的HTML表单,手机号码就会被其获取,然后它会将携带恶意代码 SymbOS/Zitmo.A!tr的信息发送给这个号码。恶意攻击旨在拦截并转移银行交易,所以它会将自己隐藏在后台。

许多苹果用户希望突破SIM卡对指定网络运营商的限制或者使用苹果软件平台没有的应用程序执行一个名为“越狱”的进程,从而不受固于原机的使用限制和访问权限。这一进程会让用户有能力访问设备操作系统的命令行。

越狱的内在风险在于它会使许多设备易受攻击;例如,大多数用户在执行完越狱后不会更改SSH密码——由于苹果默认的密码是“alpine”,很多人都知道这一点,所以这就是潜在的危险。如果不更改密码,那么未授权的第三方也可以轻易访问设备。

5 操作系统中的零日漏洞

零日攻击是指那些利用未知漏洞或暂无补丁的漏洞发起的攻击。换言之,系统生产商是在攻击发生时或之后才意识到这一漏洞的存在。如此一来,黑客便可以很好地利用漏洞发起攻击。由于黑客可以通过远程访问染指系统,所以这类针对操作系统的攻击特别危险。这种攻击不需要类似浏览器或Java之类的工具,只要目标电脑在线就可以了。

目前还没有什么办法可以有效防御零日攻击,因为厂商只能被动发布补丁和应急措施只。而且,并非只有使用微软系统的电脑才存在这一问题,使用苹果系统的电脑也逐渐成为零日攻击的目标。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们