需要你了解的二十个最危险的安全漏洞

最新推荐文章于 2024-07-05 17:12:31 发布
最新推荐文章于 2024-07-05 17:12:31 发布
阅读量1.5k 收藏
点赞数
分类专栏: 技术文档 工作文档 文章标签: windows 浏览器 版本控制系统 microsoft internet sql server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cyz1980/article/details/570400
版权

                                   需要你了解的二十个最危险的安全漏洞

小心这些漏洞
  大多数成功的蠕虫和其他网络攻击所依靠的都是少数几种通用操作系统中存在的安全漏洞。这些攻击者都是机会主义者。它们利用最简单、最便捷的路线,并且使用最有效且使用广泛的工具来寻找和利用众所周知的漏洞和弱点。如果企业没有及时修补漏洞,这些攻击者就会乘机而入,而且它们扫瞄Internet上任何有漏洞的系统,不分清红皂白地发起攻击。蠕虫这种攻击手段非常容易传播且破坏力巨大,例如BlasterSlammerCode Red等蠕虫都是直接利用未施加补丁的漏洞来四处传播并制造巨大的破坏。
  四年前,SANS研究院和联邦调查局(FBI)的国家基础设施保护中心(NIPC)发布过一份文档,总结出了“10种最关键的Internet安全漏洞。数以千计的企业都非常重视这份文档,并且认真对待列表中的漏洞问题。在此后的三年中,他们又发布了扩展的最危险的20项安全漏洞列表,希望企业能够尽早对照自己存在的不足并且及时关闭这些最危险的安全漏洞。该列表中列出了许多存在漏洞的服务,其中就包括引发BlasterSlammerCode RedNIMDA蠕虫的那些臭名昭著的漏洞。
  SANS这次发布的最危险的20种漏洞列表中事实上包括两个列表,每个包含10种漏洞,分别对应于Windows中最常被利用的10种漏洞和UnixLinux环境下的10种最常见的漏洞。尽管每年都有数千种安全事件在影响着这些操作系统,但绝大多数成功的攻击都只瞄准了这20个漏洞中的一、两个。
  在Windows漏洞列表中,排在最前面的是Web服务器和服务,而在Unix列表中,位居前列的是BIND域名系统。而每个条目有时都代表着一个非常广泛的类别。SANS的文档长达100多页,将问题归纳为一些具体的安全漏洞,并且提供了详尽的提示,以便用户对问题加以及时修正。
  许多漏洞已经出现在过去发布的列表中,但据该列表的研究主任Ross Patel 称,今天的列表中有一些出人意料的东西。Patel指出,文件共享应用和即时消息分别位列Windows 列表中的第7位和第10位,它们都是比较新的漏洞类别。
  Patel说:专家们几乎一致认为文件共享和P2P是值得担忧的问题。和即时消息一样,文件共享应用非常简单,而且易于使用,因此用户往往会忽略它们可能引发的安全问题。
  Web浏览器位居Windows列表的第6位,而且该应用多年来一直是一个非常热门的安全话题。
  Patel说:对于世界任何一个角落的专家来说,Windows中唾手可得的Web浏览器是多数问题的来源,而且也是各种争议的焦点。由于微软的IE浏览器存在的漏洞数量众多,因此许多安全专家在今年年初建议用户应当放弃IE浏览器而选择其他的浏览器,但负责本列表的专家却对该问题持有保留意见。

   众所周知,这最危险的20种漏洞需要立即得到修补。这份列表是数十位顶级安全专家苦心研究的结果。这些专家来自英国、美国和新加坡等国家的最关注安全问题的政府机构、领先的安全软件厂商和咨询企业、顶级的大学安全项目,还有许多其他的用户组织和SANS研究院。在这份文档的结尾处列出了该项目中所有的参与者名单。

        企业不再手忙脚乱

网络安全企业Qualys公司首席技术官Gerhard Eschelbeck认为,今年的最危险的20种漏洞列表将被企业广泛地使用,并且会成为企业考虑安全问题的基准。
  Eschelbeck说:业界和学术界的专家都一致认为,该列表中列出的都是一些最关键的漏洞。目前,每周新公布的漏洞数量达到了50个,也就是说每年就有2500个漏洞,因此企业如果想确定对哪些漏洞加以特别关注,就必须面临巨大的挑战。SANS的列表正好可以帮助他们优先处理那些危害最大的漏洞。
  SANS主任Alan Paller说:当您要求自己的系统人员对数千个漏洞进行测试时,您的企业肯定会陷于停顿。而这份‘20个最危险的漏洞列表则可以每年为您提供一份参考,帮助您着手修复系统中最关键的漏洞。
  Paller指出:由于问题的范围相对较小,因此可以把这些问题交给系统管理员,并且给他们几个月的时间来解决问题,这样才是合理的方式。
  用户可以在SANS的网站上获得这份列表。

Windows系统中最危险的漏洞

Unix系统中最危险的漏洞

1 Web服务器及服务

1BIND域名系统

2、工作站服务

2Web服务器

3 Windows远程访问服务

3、验证

4 Microsoft SQL Server

4、版本控制系统

5 Windows验证

5、邮件传输服务

6 Web浏览器

6、简单网络管理协议(SNMP

7 文件共享应用

7、开放安全套接字层(SSL

8 LSAS泄露

8、企业服务NIS/NFS的错误配置

9 邮件客户端

9、数据库

10 即时消息

10、内核

Single
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
企业及开发注意:二十个危险安全漏洞[转载csdn.net]
技术代码资料库
12-31 114
多数成功的蠕虫和其他网络攻击所依靠的都是少数几种通用操作系统中存在的安全漏洞。这些攻击者都是机会主义者。它们利用最简单、最便捷的路线,并且使用最有效且使用广泛的工具来寻找和利用众所周知的漏洞和弱点。如果企业没有及时修补漏洞,这些攻击者就会乘机而入,而且它们扫瞄Internet上任何有漏洞的系统,不分清红皂白地发起攻击。蠕虫这种攻击手段非常容易传播且破坏力巨大,例如Blaster、Slammer和C...
web安全漏洞种类
weixin_30273175的博客
02-24 1308
(参考知道创宇) SQL注入: SQL注入(SQL Injection),是一个常见的发生于应用程序和数据库之间的web安全漏洞,由于在开发过程中的设计不当导致程序中忽略了检查,没有有效的过滤用户的输入,是攻击者可以向服务器提交不正常的访问数据(即恶意的的SQL命令代码),程序在接收后错误的将攻击者的输入作为代码语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者静心构造的恶意代码,...
网络安全常见十大漏洞总结(原理、危害、防御)_网络安全常见漏洞类型_漏洞基本原理
最新发布
baimao__Ch的博客
07-05 2038
接下来我将给各位同学划分一张学习计划表!e题外话初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:2023届全国高校毕业生预计达到1158万人,就业形势严峻;国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
网络安全常见十大漏洞总结(原理、危害、防御)
热门推荐
Y525698136的博客
03-03 2万+
本文简单介绍一下网络安全常见十大漏洞总结(原理、危害、防御)
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 608
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
网络安全常见十大漏洞总结(原理、危害、防御)_网络安全常见漏洞类型
qq_53058639的博客
09-06 281
与个人习惯和安全意识相关,为了避免忘记密码,使用一个非常容易记住 的密码,或者是直接采用系统的默认密码等。
2010最危险的编程错误
07-27
1. 安全漏洞预防:通过了解和识别这些编程错误,开发者可以在软件开发过程中及时采取措施预防安全漏洞,从而提高软件的整体安全性。 2. 编程错误分类:CWE项目将编程错误分为不同的类别,包括语言特定的错误、常见...
《暗战亮剑-软件漏洞发掘与安全防范实战》王继刚&曲慧文&王刚
04-09
第二章着重讲述了建立一个安全漏洞发掘的实验环境。因为实际操作中,直接在生产环境中尝试发掘漏洞是不现实的,甚至是危险的。因此,本章提供了搭建模拟环境的方法,如虚拟机的配置,以及相关安全测试工具的安装与...
二十个超级经典小故事.PPT
11-21
在IT风险管理中,应提前发现潜在的问题,如系统漏洞或安全隐患,并采取预防措施,而非等到问题发生后再进行补救。 以上五个故事传达了管理中的几个核心理念:识人用人、信任与授权、关注重点、预防优先以及风险管理...
.NET高级代码审计(第十课) ObjectStateFormatter反序列化漏洞1
08-03
然而,如果不谨慎处理反序列化过程,它可能成为一个安全漏洞,可能导致远程代码执行(RCE)攻击。这篇分析主要关注ObjectStateFormatter的序列化和反序列化过程以及潜在的安全风险。 0x01 ObjectStateFormatter序列...
vulnerabilities:Aleph Research的漏洞报告
05-19
通过PoC,安全团队可以模拟攻击场景,从而更好地理解漏洞危险性,并针对性地进行防护。然而,PoC也可能被恶意使用,因此在分享和使用这些代码时应格外谨慎。 总结来说,Aleph Research的漏洞报告是网络安全领域的...
0day漏洞大集合
06-09
0day漏洞 最新0day 突破安全狗 web渗透利用工具 仅供学习研究
程序员都需要懂的10种常见安全漏洞
lixinkuan的博客
05-27 4307
1. SQL 注入 1.1 什么是SQL注入? 1.2 SQL注入是如何攻击的? 1.3 如何预防SQL注入问题 2. JSON反序列化漏洞——如Fastjson安全漏洞 2.1 什么是JSON序列化,JSON发序列化 2.2 JSON 反序列化漏洞是如何被攻击? 3. XSS 攻击 3.1 什么是XSS? 3.2 XSS是如何攻击的? 3.3 如何解决XSS攻击问题 4. CSRF 攻击 4.1 什么是CSRF 攻击? 4.2 ...
常见漏洞类型汇总
走马观花
03-19 5984
http://www.cnvd.org.cn/publish/main/78/2012/20120924161917256776912/20120924161917256776912_.html 一、SQL注入漏洞           SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略
常见十大漏洞总结(原理、危害、防御)
YJ_12340的博客
07-05 1万+
弱口令与个人习惯和安全意识相关,为了避免忘记密码,使用一个非常容易记住 的密码,或者是直接采用系统的默认密码等。
10大常见安全漏洞!你知道吗?
wangpeng198688的专栏
03-04 8342
众所周知,黑客入侵、网络攻击以及其他数字化安全漏洞从来都有百害而无一利。一个行业的烦恼可能是另一个行业的噩梦——如果你读过 Veracode 的《软件安全报告声明,卷6》,就会知道大多数安全漏洞在某些特定行业更为频繁。
2020十大安全漏洞介绍
gugonggugong的博客
12-07 3926
OWASP(开放式web应用程序安全项目) Top 10 注入 失效的身份认证 1、定义 身份认证:身份认证最常用于系统登录,形式一般为用户名和密码登录方式,在安全性要求较高的情况下,还有验证码、客户端证书、Ukey等 会话管理:HTTP利用会话机制来实现身份认证,HTTP身份认证的结果往往是获得一个令牌并放在cookie中,之后的身份识别只需读授权令牌,而无需再次进行登录认证 2、原理 开发者通常会建立自定义的认证和会话管理方案。但与身份认证和回话管理相关.
常见的网站漏洞
xysoul的专栏
04-18 6401
1. 注入漏洞  (1)sql注入。   (2 )xss ( cross site script) 跨站脚本攻击。   服务端:      echo $_GET['s'];   浏览器URL:    test.demo.com/index.php?s=(页面就会被注入js    脚本)  (3)命令注入漏洞。    通过GET提交的
了解web安全中常见漏洞及其利用
weixin_34184158的博客
07-17 202
1.1 Web应用的漏洞分类 1、信息泄露漏洞 信息泄露漏洞是由于Web服务器或应用程序没有正确处理一些特殊请求,泄露Web服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息等。 造成信息泄露主要有以下三种原因: --Web服务器配置存在问题,导致一些系统文件或者配置文件暴露在互联网中; --Web服务器本身存在漏洞,在浏览器中输入一些特殊的字符,可以访问...
"20个最危险安全漏洞:专家认可的网络威胁
然而,随着时代的变迁和技术的发展,这份列表需要进行更新和扩展,于是在2001年10月1日发布的最新列表中增加为20个最危险安全漏洞,并将其分为通用漏洞Windows漏洞和UNIX漏洞三大类。 这份SANS/FBI最危险20个...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值