亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　如今，漏洞已經(jīng)成為IT領(lǐng)域的嚴(yán)重威脅，時(shí)不時(shí)曝出的安全漏洞再加上某些媒體的推波助瀾，讓用戶無所適從甚至產(chǎn)生恐慌。實(shí)際上，任何IT系統(tǒng)都有存在漏洞的可能。那么我們應(yīng)該如何看待、如何應(yīng)對(duì)這些漏洞呢？漏洞的可怕之處在哪里，我們應(yīng)該如何防范？

　　幾個(gè)月前，OpenSSL的“心臟出血”漏洞鬧得沸沸揚(yáng)揚(yáng)。這個(gè)漏洞就好像是我們忽然發(fā)現(xiàn)大家使用的鎖存在安全問題，可以被攻擊者輕易攻破。如果世界上所有的鎖都形同虛設(shè)，不知道會(huì)引起多大的恐慌。

　　北京時(shí)間8月7日凌晨，著名的“2014黑帽大會(huì)”在美國拉斯維加斯召開。會(huì)上又有很多的安全漏洞被曝光出來：比如USB存在漏洞可以讓攻擊者修改USB主控固件，將各種USB設(shè)備(不僅是U盤，而是各種帶有USB接口的設(shè)備)改裝為攻擊工具；高通驍龍?zhí)幚砥鞔嬖诼┒纯赡軐?dǎo)致幾乎所有采用該處理器的手機(jī)存在信息泄露的風(fēng)險(xiǎn)；某些飛機(jī)通信設(shè)備的固件存在漏洞，可能導(dǎo)致攻擊者利用飛機(jī)上的Wi-Fi網(wǎng)絡(luò)或機(jī)載娛樂信息系統(tǒng)入侵飛機(jī)航空電子設(shè)備，中斷或修改衛(wèi)星通信，干擾飛機(jī)的導(dǎo)航和安全系統(tǒng)……

　　這些漏洞的出現(xiàn)更加駭人聽聞。面對(duì)這些層出不窮的漏洞，我們不禁要問，我們應(yīng)該如何看待這些安全漏洞？為了安全，是不是拋棄所有的電子設(shè)備和系統(tǒng)回到“原始社會(huì)”才是最好的選擇？

　　事實(shí)上，漏洞是任何IT系統(tǒng)都有可能存在的。人類并不完美，人類所造就的IT系統(tǒng)同樣并不完美，但顯然我們?cè)缫央x不開這些“不完美”的系統(tǒng)，這些“不完美”的系統(tǒng)推動(dòng)了人類社會(huì)大步前進(jìn)。我們不應(yīng)該談漏洞色變，但是我們應(yīng)該冷靜地觀察，認(rèn)識(shí)安全漏洞的成因找到關(guān)于漏洞的解決方法，才能做到處變不驚。

　　平衡被打破

　　安全漏洞有些看似離我們很遠(yuǎn)，實(shí)則離我們很近。可能很多人不知道，在我們每天使用的桌面操作系統(tǒng)上，就時(shí)刻上演著針對(duì)系統(tǒng)漏洞的攻防戰(zhàn)。

　　4個(gè)月之前，微軟Windows XP停止服務(wù)事件在國內(nèi)信息安全領(lǐng)域掀起一場(chǎng)軒然大波。說到底，Windows XP停止服務(wù)事件就是一個(gè)典型的關(guān)于漏洞防護(hù)的事件。眾所周知，微軟會(huì)定期發(fā)布補(bǔ)丁(Patch)對(duì)其軟件，特別是操作系統(tǒng)上存在的安全漏洞和功能上的不足進(jìn)行持續(xù)性的修補(bǔ)。而Windows XP停止服務(wù)，就是微軟宣布終止對(duì)已經(jīng)服役了十余年的操作系統(tǒng)Windows XP進(jìn)行修補(bǔ)，不再發(fā)布關(guān)于Windows XP的補(bǔ)丁。

　　奇虎360資深安全研究員張聰告訴《中國計(jì)算機(jī)報(bào)》記者，由于微軟Windows操作系統(tǒng)在PC端的廣泛應(yīng)用，世界各地都存在一些黑色的利益鏈條，他們不斷地挖掘Windows系統(tǒng)上的安全漏洞，然后利用這些安全漏洞攻擊用戶并獲得非法利益；另一方面，很多安全廠商和白帽子也在挖掘Windows系統(tǒng)上的安全漏洞，發(fā)現(xiàn)后立刻報(bào)告給微軟讓微軟進(jìn)行修補(bǔ)，這也正是微軟安全補(bǔ)丁的由來。

　　“一直以來，黑色利益鏈條對(duì)Windows XP安全漏洞的挖掘和利用與微軟對(duì)安全漏洞的修補(bǔ)保持著動(dòng)態(tài)的平衡。然而，微軟停止對(duì)Windows XP提供服務(wù)事件打破了Windows XP系統(tǒng)上安全漏洞挖掘與修補(bǔ)的平衡。也就是說，由于仍然有眾多的用戶使用Windows XP，黑色利益鏈條對(duì)Windows XP安全漏洞的挖掘和利用不會(huì)停止，而另一方，微軟卻停止了對(duì)Windows XP的安全漏洞的修補(bǔ)，這就讓W(xué)indows XP用戶所面臨的威脅放大，防范Windows XP的安全威脅顯得更加重要。”張聰說。

　　以快制勝

　　事實(shí)上，“零日攻擊”也是近年來在信息安全領(lǐng)域可以經(jīng)常聽到的詞之一。很多安全廠商都認(rèn)為，對(duì)零日攻擊的防范是如今網(wǎng)絡(luò)攻擊防范的重點(diǎn)和難點(diǎn)。所謂零日攻擊，就是攻擊者利用零日漏洞所發(fā)起的攻擊。而零日漏洞并非特指某一個(gè)安全漏洞，而是指攻擊者在發(fā)現(xiàn)了某個(gè)安全漏洞后隨即利用這個(gè)漏洞實(shí)施攻擊，搶在用戶系統(tǒng)中的漏洞修復(fù)之前，甚至廠商發(fā)布漏洞的補(bǔ)丁之前，攻擊即已得手。

　　可見，對(duì)于漏洞的防范，響應(yīng)時(shí)間非常重要。利用零日漏洞形成的零日攻擊，正是攻擊者利用時(shí)間差，進(jìn)行快速攻擊的結(jié)果。

　　北信源安全專家李鵬告訴記者，后XP時(shí)代的用戶面臨一系列安全問題。第一是黑客可能囤積的零日漏洞。Windows XP停止服務(wù)以后，Windows XP將永遠(yuǎn)遭受零日漏洞的困擾。微軟官方數(shù)據(jù)顯示，Windows XP系統(tǒng)用戶遭受黑客入侵的風(fēng)險(xiǎn)是Windows 8系統(tǒng)用戶的6倍。第二是系統(tǒng)漏洞對(duì)個(gè)人的隱私和企業(yè)機(jī)密帶來安全威脅。第三是APT攻擊。第四是如何保障XP上重要的信息系統(tǒng)穩(wěn)定運(yùn)行，如何保證操作系統(tǒng)的穩(wěn)定和快速的運(yùn)行。最后一點(diǎn)是如何保證大量信息系統(tǒng)和應(yīng)用軟件的安全運(yùn)行。

　　“北信源很早就意識(shí)到了Windows XP停止服務(wù)事件對(duì)我國用戶的操作系統(tǒng)安全將產(chǎn)生巨大影響，采取行動(dòng)進(jìn)行應(yīng)對(duì)的速度也是相當(dāng)快的。”李鵬告訴記者，北信源早在去年12月就率先發(fā)布了專門為Windows XP提供安全防護(hù)的產(chǎn)品“金甲防線”，在Windows XP系統(tǒng)上布置了若干道防線。第一道防線是系統(tǒng)安全基線加固，基于微軟系統(tǒng)安全基線，全面收集系統(tǒng)脆弱性信息和安全問題，對(duì)各種安全隱患點(diǎn)進(jìn)行統(tǒng)一排查，形成完善的檢測(cè)與管理方案，幫助管理人員預(yù)知安全風(fēng)險(xiǎn)，洞察安全隱患，并實(shí)現(xiàn)安全策略的統(tǒng)一配置管理。第二道防線是系統(tǒng)堡壘，通過進(jìn)程黑白名單管理及簽名過濾、惡意程序識(shí)別和軟件行為管控，實(shí)現(xiàn)操作系統(tǒng)進(jìn)程的安全加載及執(zhí)行。第三道防線是數(shù)據(jù)安全防護(hù)，它采用數(shù)據(jù)全生命周期安全模型，結(jié)合用戶行為深度分析、安全容器等技術(shù)，解決數(shù)據(jù)生成、存儲(chǔ)、分發(fā)、閱讀等一系列環(huán)節(jié)的安全問題。此外，“金甲防線”還有數(shù)據(jù)防火墻、主動(dòng)防御等防御、數(shù)據(jù)備份與恢復(fù)、敏感信息檢查手段，并具備強(qiáng)大的補(bǔ)丁支撐體系。

　　“北信源基于近20年的行業(yè)經(jīng)驗(yàn)和千萬終端用戶應(yīng)用經(jīng)驗(yàn)，形成了完善的補(bǔ)丁支撐體系和漏洞防御體系，能夠快速識(shí)別并主動(dòng)防御操作系統(tǒng)潛在漏洞，全網(wǎng)即時(shí)下發(fā)補(bǔ)丁，降低由于系統(tǒng)漏洞給用戶帶來的遭受惡意攻擊和數(shù)據(jù)泄露的風(fēng)險(xiǎn)。”李鵬介紹，“金甲防線”提供了補(bǔ)丁驗(yàn)證、分發(fā)、安裝、回收、回滾等功能，還有一些針對(duì)系統(tǒng)安全方面的防護(hù)功能，比如，系統(tǒng)的健康體檢和優(yōu)化、痕跡粉碎、數(shù)據(jù)保險(xiǎn)箱、文件授權(quán)的外發(fā)、對(duì)移動(dòng)介質(zhì)的安全管理等。

　　“即使在系統(tǒng)不打補(bǔ)丁的情況下，‘金甲防線’大約也能抵御90%以上的惡意攻擊，在企業(yè)終端系統(tǒng)管理方面，它還可以降低企業(yè)的管理成本和系統(tǒng)管理員的工作量，特別適合幫助各個(gè)行業(yè)企業(yè)渡過Windows XP這一操作系統(tǒng)過渡期。”李鵬說。

　　防御新思路

　　不可否認(rèn)的是，攻擊者利用漏洞進(jìn)行攻擊，相較于病毒、木馬時(shí)代，對(duì)安全防護(hù)提出了更大的挑戰(zhàn)。張聰告訴記者：“過去，特別是安全軟件和安全防護(hù)技術(shù)并不普及的時(shí)代，攻擊者通過編寫病毒、木馬程序?qū)嵤┕簦湍苓_(dá)到效果，使其罪惡的目的得逞。然而，隨著互聯(lián)網(wǎng)安全軟件的普及，攻擊者很難再通過病毒、木馬作惡，這才迫使他們將目光聚焦在技術(shù)門檻更高的安全漏洞身上。”

　　確實(shí)，雖然漏洞一直存在，但是更多的攻擊來自對(duì)安全漏洞的利用，也是近幾年呈現(xiàn)出來的趨勢(shì)。雖然利用漏洞進(jìn)行攻擊提高了攻擊者的技術(shù)門檻，也讓安全防護(hù)軟件的防護(hù)更加困難。

　　“以前對(duì)于病毒、木馬進(jìn)行防護(hù)的技術(shù)，都是基于特征庫來進(jìn)行識(shí)別和處置的。然而在漏洞時(shí)代，防護(hù)已經(jīng)無法基于特征庫來進(jìn)行了。”張聰告訴記者，利用病毒、木馬進(jìn)行攻擊與利用漏洞進(jìn)行攻擊的一個(gè)顯著區(qū)別在于，利用病毒、木馬攻擊均需要一個(gè)實(shí)體，防護(hù)軟件要識(shí)別病毒、木馬的實(shí)體并處置，是相對(duì)容易的，而利用漏洞攻擊往往只是一段腳本，安全防護(hù)軟件很難發(fā)現(xiàn)系統(tǒng)的異常狀況，也很難進(jìn)行攻擊的識(shí)別和樣本的捕捉。

　　“漏洞是無限的，但是漏洞的利用方法是有限的。”李鵬認(rèn)為。面對(duì)利用漏洞這種新的攻擊方式，就要具備新的防護(hù)思路。

　　張聰告訴記者，面對(duì)Windows XP停止服務(wù)所引發(fā)的安全風(fēng)險(xiǎn)，在沒有官方補(bǔ)丁的情況下，必須采用不同與以往的解決方案。據(jù)了解，奇虎360發(fā)布的安全防護(hù)工具“XP盾甲”采用了熱補(bǔ)丁、加固、隔離三個(gè)核心的安全策略，對(duì)Windows XP實(shí)施保護(hù)。“應(yīng)對(duì)利用漏洞所帶來的安全威脅，最直接有效的方法就是打補(bǔ)丁。然而，如果一個(gè)漏洞出現(xiàn)，對(duì)于Windows XP這種微軟官方已經(jīng)不提供補(bǔ)丁的系統(tǒng)或者是Windows 7、Windows 8這種官方補(bǔ)丁尚未發(fā)布的情形，用戶很難在第一時(shí)間就得到相應(yīng)的保護(hù)。360則為用戶提供了熱補(bǔ)丁(Hotfix)作為替代性的解決方案，迄今為止，360已經(jīng)為微軟操作系統(tǒng)的零日漏洞提供了22個(gè)熱補(bǔ)丁，覆蓋最近六年爆發(fā)的所有高危漏洞。”張聰告訴記者，熱補(bǔ)丁可以做到即時(shí)發(fā)現(xiàn)、即時(shí)解決，360的補(bǔ)天引擎作為快速響應(yīng)機(jī)制，能夠在不修改操作系統(tǒng)文件的前提下，在系統(tǒng)運(yùn)行之后針對(duì)漏洞進(jìn)行快速修復(fù)、快速部署和應(yīng)用防護(hù)。

　　事實(shí)上，Windows XP由于誕生時(shí)間較早，受限于當(dāng)時(shí)的軟硬件水平，與現(xiàn)在的操作系統(tǒng)相比，缺乏許多關(guān)鍵的安全防護(hù)技術(shù)，比如DEP數(shù)據(jù)執(zhí)行保護(hù)、ASLR地址隨機(jī)化、SEHOP等。據(jù)介紹，360的“XP盾甲”采用了這些技術(shù)，從而實(shí)現(xiàn)了對(duì)用戶操作系統(tǒng)的加固。“要做到提前防范，不能僅僅針對(duì)特定的漏洞，更要從加固操作系統(tǒng)內(nèi)核，強(qiáng)化內(nèi)核安全性，防范系統(tǒng)內(nèi)核漏洞的方向著手。”張聰表示，“XP盾甲”針對(duì)Windows XP缺少對(duì)于代碼執(zhí)行權(quán)限的限制、缺少內(nèi)核級(jí)的內(nèi)存隨機(jī)化、缺少對(duì)于0頁內(nèi)存的保護(hù)、缺少對(duì)于結(jié)構(gòu)化異常處理鏈條的保護(hù)等弱點(diǎn)進(jìn)行了主動(dòng)加固。此外，“XP盾甲”也對(duì)Windows XP內(nèi)核提供了額外的保護(hù)，比如禁用危險(xiǎn)的內(nèi)核調(diào)用、在進(jìn)入內(nèi)核前進(jìn)行額外檢查等。

　　“即使某個(gè)利用漏洞進(jìn)行的攻擊足夠高明，繞過了360的熱補(bǔ)丁和加固技術(shù)，它仍然可能無法得逞，因?yàn)槲覀冞€有隔離沙箱技術(shù)。”張聰告訴記者，當(dāng)敏感程序運(yùn)行時(shí)，就會(huì)被隔離在沙箱中，“XP盾甲”的沙箱會(huì)對(duì)程序進(jìn)行諸多限制，諸如限制對(duì)操作系統(tǒng)上的敏感數(shù)據(jù)的訪問等，從而實(shí)現(xiàn)對(duì)系統(tǒng)的保護(hù)。在iOS、Google Chrome等軟件中都引入了沙箱，這樣攻擊者就算通過網(wǎng)頁或者文檔利用漏洞執(zhí)行了一些危險(xiǎn)操作，這些操作也是被困在沙箱中的，無法對(duì)系統(tǒng)造成進(jìn)一步損害。

　　“不過，在Windows XP上實(shí)現(xiàn)完整的沙箱防護(hù)并不容易，這是因?yàn)樯诚浼夹g(shù)需要很多系統(tǒng)底層的支持，但Windows平臺(tái)的很多安全機(jī)制都是在Vista版本之后加入的，Windows XP能夠支持的安全機(jī)制有限。”張聰表示，“要在Windows XP上實(shí)現(xiàn)完整的沙箱防護(hù)需要先在操作系統(tǒng)上補(bǔ)全‘地基’，這比在Windows 7、Windows 8上實(shí)現(xiàn)沙箱防護(hù)要困難得多，也同樣考驗(yàn)著一個(gè)安全廠商的技術(shù)實(shí)力。”

　　從熱補(bǔ)丁到加固再到沙箱，奇虎360的Windows平臺(tái)漏洞防護(hù)的思路非常清晰，從針對(duì)漏洞的補(bǔ)丁防護(hù)，到對(duì)操作系統(tǒng)的整體加固，再到利用沙箱進(jìn)行隔離，這樣的防護(hù)思路已經(jīng)和過去主動(dòng)檢測(cè)、主動(dòng)識(shí)別和阻斷的防護(hù)思路完全不同。這套Windows平臺(tái)漏洞的防護(hù)思路其實(shí)也同樣可以為其他軟件系統(tǒng)的漏洞防護(hù)所借鑒。

　　漏洞要公開透明

　　隨著漏洞成為越來越主流的攻擊方式，漏洞挖掘與修復(fù)的爭奪戰(zhàn)也遠(yuǎn)遠(yuǎn)不會(huì)停止。其實(shí)，在漏洞攻擊和防護(hù)上，比拼的就是攻防雙方誰能率先挖掘出漏洞，是攻擊方率先挖出漏洞并實(shí)施攻擊，還是防御方率先挖出漏洞并將漏洞修復(fù)。

　　要做好Windows平臺(tái)特別是Windows XP的漏洞防護(hù)工作，勢(shì)必要時(shí)刻監(jiān)測(cè)漏洞的產(chǎn)生并進(jìn)行快速響應(yīng)。張聰告訴記者，奇虎360作為微軟MAPP(Microsoft Active Protections Program)計(jì)劃的合作伙伴，同微軟密切交換漏洞攻擊與防護(hù)信息，從而及時(shí)為用戶提供防護(hù)。同時(shí)，奇虎360也會(huì)通過一些公開途徑獲知新發(fā)現(xiàn)的漏洞，并且自己挖掘一些漏洞，或者將微軟公布Windows 7、Windows 8漏洞進(jìn)行研究，并測(cè)試其在Windows XP系統(tǒng)上是否存在。

　　正是由于漏洞攻防戰(zhàn)中，漏洞的挖掘和發(fā)現(xiàn)非常重要，所以漏洞平臺(tái)的作用也逐漸突顯出來，因?yàn)樗梢栽诼┒窗l(fā)現(xiàn)者(通常是白帽子)與漏洞廠商之間形成良性的信息傳遞，同時(shí)為公眾提供警示。伴隨利用漏洞進(jìn)行攻擊的增長，第三方漏洞平臺(tái)也逐漸成長起來，成為抵御漏洞威脅中不可忽視的力量，比如近年來成長起來的烏云漏洞平臺(tái)(WooYun.org)。

　　烏云漏洞平臺(tái)成立于2010年，是目前中國規(guī)模較大的安全漏洞預(yù)警平臺(tái)和網(wǎng)絡(luò)安全社區(qū)，活躍著近萬名白帽子，并能夠?qū)⒙┒葱畔⒌谝粫r(shí)間傳遞給所有行業(yè)客戶(政府、金融、運(yùn)營商、國有企業(yè))以及主流的互聯(lián)網(wǎng)及科技公司。烏云漏洞平臺(tái)市場(chǎng)總監(jiān)鄔迪告訴記者，到目前為止，烏云漏洞平臺(tái)后臺(tái)收到的漏洞提交記錄已經(jīng)近10萬個(gè)，每天平均收到100個(gè)以上。在平臺(tái)上注冊(cè)的白帽子超過1，000個(gè)，注冊(cè)的企業(yè)超過500個(gè)，各個(gè)行業(yè)用戶的漏洞信息通過與國家互聯(lián)網(wǎng)應(yīng)急中心合作進(jìn)行傳遞。

　　鄔迪告訴記者，烏云制定了一套合理的漏洞審批機(jī)制，充分調(diào)動(dòng)了白帽子和企業(yè)的積極性。這套機(jī)制不僅能夠讓白帽子主動(dòng)向企業(yè)提交漏洞的詳情，幫助企業(yè)評(píng)估漏洞問題的嚴(yán)重性，還能夠讓企業(yè)在第一時(shí)間解決漏洞問題、避免用戶遭受損失。

　　“第三方漏洞平臺(tái)的意義還在于提升了我國整體的信息安全意識(shí)和水平。”鄔迪告訴記者，“早期，一些企業(yè)對(duì)這個(gè)平臺(tái)有所抵觸，認(rèn)為平臺(tái)公開漏洞的做法是在給企業(yè)抹黑。然而，他們?cè)趯?duì)平臺(tái)了解后、就開始積極面對(duì)并解決安全問題。到現(xiàn)在，很多沒有被披露過漏洞的企業(yè)主動(dòng)來烏云注冊(cè)，希望能有白帽子披露他們的漏洞，幫助他們提高。”

　　“在烏云這樣的漏洞平臺(tái)上，白帽子能夠不斷學(xué)習(xí)和成長；企業(yè)能夠及時(shí)發(fā)現(xiàn)自己的問題和風(fēng)險(xiǎn)，并從平臺(tái)上的其他漏洞中汲取經(jīng)驗(yàn)；普通大眾則可以掃清對(duì)互聯(lián)網(wǎng)安全的誤解，提高個(gè)人安全意識(shí)，同時(shí)對(duì)個(gè)人隱私、數(shù)據(jù)及財(cái)產(chǎn)的安全更有把握。”鄔迪認(rèn)為。

　　其實(shí)，烏云漏洞平臺(tái)搭建了企業(yè)與白帽子之間的橋梁，從而可以開展各種定向的增值服務(wù)。“我們認(rèn)為漏洞就應(yīng)該是公開透明的，公開才能給企業(yè)形成壓力，促進(jìn)企業(yè)及時(shí)修復(fù)漏洞。同時(shí)，公開才能提升公眾的安全意識(shí)，并提升白帽子與企業(yè)互動(dòng)過程中白帽子的地位。”鄔迪向記者表示，“當(dāng)然，烏云具有嚴(yán)格、合理的漏洞公開機(jī)制，并非發(fā)現(xiàn)漏洞后就盲目公開，不會(huì)讓這些漏洞被攻擊者惡意利用并造成社會(huì)的恐慌。”

　　鄔迪認(rèn)為，和其他的漏洞平臺(tái)相比，烏云漏洞預(yù)警平臺(tái)由于能確保漏洞的真實(shí)性和公開性，并擁有著遠(yuǎn)超其他平臺(tái)的人氣和數(shù)據(jù)，使得烏云平臺(tái)的漏洞預(yù)警更精準(zhǔn)、更能反映中國互聯(lián)網(wǎng)安全的真實(shí)情況。

　　漏洞之辨

　　正視漏洞別作“鴕鳥”

　　有人說，鴕鳥遇到危險(xiǎn)時(shí)會(huì)把自己的頭埋入草堆里，以為自己的眼睛看不見危險(xiǎn)就安全了。心理學(xué)家也將人們面對(duì)威脅時(shí)的消極心態(tài)稱為“鴕鳥心態(tài)”。

　　漏洞可能會(huì)有很長的潛伏期，也就是說即使某個(gè)漏洞被攻擊者利用并完成了攻擊，很長時(shí)間內(nèi)如果用戶并未發(fā)現(xiàn)該漏洞并進(jìn)行修補(bǔ)，這扇“門”就一直在用戶的系統(tǒng)上，向其他攻擊者敞開著，用戶可能渾然不知。然而，漏洞“看不見、摸不著”，具有很強(qiáng)的隱蔽性，也恰恰讓一些企業(yè)形成了鴕鳥心態(tài)。

　　“在漏洞攻擊的防護(hù)上，廠商的作用其實(shí)是最關(guān)鍵的。如果廠商總是抱有僥幸心態(tài)，或者像鴕鳥一樣不愿正視危險(xiǎn)，不對(duì)漏洞進(jìn)行積極響應(yīng)和處置，就有可能造成大范圍的安全危機(jī)，這種做法同時(shí)也對(duì)自己的用戶不負(fù)責(zé)任。”張聰說。

　　然而對(duì)于普通用戶而言，除了及時(shí)升級(jí)軟件、打補(bǔ)丁修復(fù)漏洞以外，似乎對(duì)利用漏洞進(jìn)行的攻擊束手無策。張聰則告訴記者，即使是漏洞攻擊，同樣需要載體，同樣需要用戶具有良好的安全意識(shí)并保持高度警惕性，比如不要隨意點(diǎn)擊陌生的鏈接或者郵件等。

　　“最近車聯(lián)網(wǎng)、互聯(lián)網(wǎng)金融、智能家居、可穿戴設(shè)備等應(yīng)用的興起，讓漏洞變得越來越廣泛。由于這些新興技術(shù)和應(yīng)用剛剛起步，企業(yè)對(duì)其安全性的了解還在早期階段，但是烏云已經(jīng)注意到這些趨勢(shì)，并引導(dǎo)白帽子關(guān)注這些方面的漏洞，并有針對(duì)性地提供有價(jià)值的安全預(yù)警，讓相關(guān)企業(yè)關(guān)注這些領(lǐng)域的安全問題。”鄔迪說，任何系統(tǒng)都有存在漏洞的可能。雖然當(dāng)前企業(yè)的安全意識(shí)已經(jīng)出現(xiàn)了顯著的提升，但是當(dāng)這些新興技術(shù)和應(yīng)用漸成氣候，相關(guān)企業(yè)的安全意識(shí)和對(duì)待漏洞的態(tài)度也非常值得我們關(guān)注。

　　鏈接 烏云漏洞平臺(tái)公布的2014年10大安全漏洞

　　1. 互聯(lián)網(wǎng)泄密事件/撞庫攻擊

　　以大量的用戶數(shù)據(jù)為基礎(chǔ)，利用用戶相同的注冊(cè)習(xí)慣(相同的用戶名和密碼)，嘗試登錄其它的網(wǎng)站。自2011年開始，互聯(lián)網(wǎng)泄密事件引爆了整個(gè)信息安全界，導(dǎo)致傳統(tǒng)的用戶名+密碼認(rèn)證的方式已無法滿足現(xiàn)有安全需求。案例：CSDN數(shù)據(jù)庫泄露，大量用戶真實(shí)賬號(hào)密碼外泄。

　　2. 引用不安全的第三方應(yīng)用

　　過去幾年中，安全領(lǐng)域在如何處理漏洞的評(píng)估方面取得了長足的進(jìn)步，幾乎每一個(gè)業(yè)務(wù)系統(tǒng)都越來越多地使用了第三方應(yīng)用，從而導(dǎo)致系統(tǒng)被入侵的威脅也隨之增加。由于第三方應(yīng)用平行部署在業(yè)務(wù)系統(tǒng)之上，如果一個(gè)易受攻擊的第三方應(yīng)用被利用，這種攻擊將導(dǎo)致嚴(yán)重的數(shù)據(jù)失竊或系統(tǒng)淪陷。這些第三方應(yīng)用包括開源應(yīng)用、組件、庫、框架和其他軟件模塊等。案例：淘寶主站運(yùn)維不當(dāng)導(dǎo)致可以登錄隨機(jī)用戶并且獲取服務(wù)器敏感信息。

　　3. 系統(tǒng)錯(cuò)誤/邏輯缺陷帶來的暴力猜解

　　由于應(yīng)用系統(tǒng)自身的業(yè)務(wù)特性會(huì)開放許多接口用于處理數(shù)據(jù)，如果接口或功能未進(jìn)行嚴(yán)謹(jǐn)?shù)陌踩刂苹蚺袛啵瑢?huì)促使攻擊者加快攻擊應(yīng)用程序的過程，大大降低攻擊者發(fā)現(xiàn)威脅的成本。隨著模塊化、自動(dòng)化攻擊工具包的趨于完善，這將給應(yīng)用帶來極大威脅。案例：大公司詬病系列#1 重置京東任意用戶密碼。

　　4. 敏感信息/配置信息泄露

　　由于沒有一個(gè)通用標(biāo)準(zhǔn)的防御規(guī)則保護(hù)好中間件配置信息、DNS信息、業(yè)務(wù)數(shù)據(jù)信息、用戶信息、源碼備份文件、版本管理工具信息、系統(tǒng)錯(cuò)誤信息和敏感地址信息(后臺(tái)或測(cè)試地址)等，攻擊者可能會(huì)通過收集這些保護(hù)不足的數(shù)據(jù)，利用這些信息對(duì)系統(tǒng)實(shí)施進(jìn)一步的攻擊。案例：攜程安全支付日志可遍歷下載，導(dǎo)致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin)。

　　5. 應(yīng)用錯(cuò)誤配置/默認(rèn)配置

　　應(yīng)用程序、中間件、服務(wù)端程序在部署前，未針對(duì)安全基線進(jìn)行嚴(yán)格的安全配置定義和部署，將為攻擊者實(shí)施進(jìn)一步攻擊帶來便利。常見的風(fēng)險(xiǎn)有：Flash默認(rèn)配置、Access數(shù)據(jù)庫默認(rèn)地址、WebDav配置錯(cuò)誤、Rsync錯(cuò)誤配置、應(yīng)用服務(wù)器、Web服務(wù)器、數(shù)據(jù)庫服務(wù)器自帶管理功能的默認(rèn)后臺(tái)和管理口令。案例：敏感信息泄露系列#6 服務(wù)端默認(rèn)配置導(dǎo)致海量用戶信息泄露。

　　6. SQL注入漏洞

　　注入缺陷不僅僅局限于SQL，還包括命令、代碼、變量、HTTP響應(yīng)頭、XML等注入。程序員在編寫代碼時(shí)沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，當(dāng)不可信的數(shù)據(jù)作為命令或查詢的一部分被發(fā)送到解釋器時(shí)，注入就會(huì)發(fā)生。攻擊者的惡意數(shù)據(jù)欺騙解釋器，讓它執(zhí)行意想不到的命令或者訪問沒有準(zhǔn)確授權(quán)的數(shù)據(jù)。案例：蝦米網(wǎng)的SQL注入漏洞，其1400萬用戶數(shù)據(jù)以及各種交易數(shù)據(jù)、主站數(shù)據(jù)均可拖庫。

　　7. XSS跨站腳本攻擊/CSRF

　　它屬于代碼注入的一種。XSS發(fā)生在當(dāng)應(yīng)用程序獲得不可信的數(shù)據(jù)并發(fā)送到瀏覽器或支持用戶端腳本語言容器時(shí)，沒有做適當(dāng)?shù)男ｒ?yàn)或轉(zhuǎn)義。XSS能讓攻擊者在受害者的瀏覽器上執(zhí)行腳本行，從而實(shí)現(xiàn)劫持用戶會(huì)話、破壞網(wǎng)站Dom結(jié)構(gòu)或者將受害者重定向到惡意網(wǎng)站。案例：一個(gè)可大規(guī)模悄無聲息竊取淘寶/支付寶賬號(hào)與密碼的漏洞 (埋雷式攻擊)。

　　8. 未授權(quán)訪問/權(quán)限繞過

　　多數(shù)業(yè)務(wù)系統(tǒng)應(yīng)用程序僅僅只在用戶客戶端校驗(yàn)授權(quán)信息，或者干脆不做訪問控制規(guī)則限制，如果服務(wù)端對(duì)來自客戶端的請(qǐng)求未做完整性檢查，攻擊者將能夠偽造請(qǐng)求，訪問未被授權(quán)使用的功能。案例：搜狗某重要后臺(tái)未授權(quán)訪問(涉及重要功能及統(tǒng)計(jì)信息)。

　　9. 賬戶體系控制不嚴(yán)/越權(quán)操作

　　與認(rèn)證和會(huì)話管理相關(guān)的應(yīng)用程序功能常常會(huì)被攻擊者利用，攻擊者通過組建的社會(huì)工程數(shù)據(jù)庫檢索用戶密碼，或者通過信息泄露獲得的密鑰、會(huì)話token、GSID和利用其它信息來繞過授權(quán)控制訪問不屬于自己的數(shù)據(jù)。如果服務(wù)端未對(duì)來自客戶端的請(qǐng)求進(jìn)行身份屬性校驗(yàn)，攻擊者可通過偽造請(qǐng)求越權(quán)竊取所有業(yè)務(wù)系統(tǒng)的數(shù)據(jù)。案例：樂視網(wǎng)2200萬用戶存在越權(quán)風(fēng)險(xiǎn)。

　　10. 內(nèi)部重要資料/文檔外泄

　　無論是企業(yè)還是個(gè)人，越來越依賴于對(duì)電子設(shè)備的存儲(chǔ)、處理和傳輸信息的能力。企業(yè)重要的數(shù)據(jù)信息，都以文件的形式存儲(chǔ)在電子設(shè)備或數(shù)據(jù)中心上，企業(yè)雇員或程序員為了辦公便利，常常將涉密數(shù)據(jù)拷貝至移動(dòng)存儲(chǔ)介質(zhì)或上傳至網(wǎng)絡(luò)，一旦信息外泄，將加大企業(yè)安全隱患發(fā)生的概率。案例：淘寶敏感信息泄露可進(jìn)入某重要后臺(tái)(使用大量敏感功能和控制內(nèi)部服務(wù)器)。