網管必知 了解二十個最危險的安全漏洞

　　大多數成功的蠕蟲和其他網絡攻擊所依靠的都是少數幾種通用操作系統中存在的安全漏洞。這些攻擊者都是機會主義者。它們利用最簡單、最便捷的路線，并且使用最有效且使用廣泛的工具來尋找和利用眾所周知的漏洞和弱點。如果企業沒有及時修補漏洞，這些攻擊者就會乘機而入，而且它們掃瞄Inte.net上任何有漏洞的系統，不分清紅皂白地發起攻擊。蠕蟲這種攻擊手段非常容易傳播且破壞力巨大，例如Blaster、Slammer和Code Red等蠕蟲都是直接利用未施加補丁的漏洞來四處傳播并制造巨大的破壞。

　　四年前，SANS研究院和聯邦調查局（FBI）的國家基礎設施保護中心（NIPC）發布過一份文檔，總結出了“10種最關鍵的Internet安全漏洞”。數以千計的企業都非常重視這份文檔，并且認真對待列表中的漏洞問題。在此后的三年中，他們又發布了擴展的“最危險的20項安全漏洞”列表，希望企業能夠盡早對照自己存在的不足并且及時關閉這些最危險的安全漏洞。該列表中列出了許多存在漏洞的服務，其中就包括引發Blaster、Slammer、Code Red及NIMDA蠕蟲的那些臭名昭著的漏洞。

 　　SANS這次發布的“最危險的20種漏洞”列表中事實上包括兩個列表，每個包含10種漏洞，分別對應于Windows中最常被利用的10種漏洞和Unix及Linux環境下的10種最常見的漏洞。盡管每年都有數千種安全事件在影響著這些操作系統，但絕大多數成功的攻擊都只瞄準了這20個漏洞中的一、兩個。

　　在Windows漏洞列表中，排在最前面的是Web服務器和服務，而在Unix列表中，位居前列的是BIND域名系統。而每個條目有時都代表著一個非常廣泛的類別。SANS的文檔長達100多頁，將問題歸納為一些具體的安全漏洞，并且提供了詳盡的提示，以便用戶對問題加以及時修正。 

　　許多漏洞已經出現在過去發布的列表中，但據該列表的研究主任Ross Patel 稱，今天的列表中有一些出人意料的東西。Patel指出，文件共享應用和即時消息分別位列Windows 列表中的第7位和第10位，它們都是比較新的漏洞類別。

　　Patel說：“專家們幾乎一致認為文件共享和P2P是值得擔憂的問題?！焙图磿r消息一樣，文件共享應用非常簡單，而且易于使用，因此用戶往往會忽略它們可能引發的安全問題。 

　　Web瀏覽器位居Windows列表的第6位，而且該應用多年來一直是一個非常熱門的安全話題。

　　Patel說：“對于世界任何一個角落的專家來說，Windows中唾手可得的Web瀏覽器是多數問題的來源，而且也是各種爭議的焦點?！庇捎谖④浀腎E瀏覽器存在的漏洞數量眾多，因此許多安全專家在今年年初建議用戶應當放棄IE瀏覽器而選擇其他的瀏覽器，但負責本列表的專家卻對該問題持有保留意見。 

　　眾所周知，這“最危險的20種漏洞”需要立即得到修補。這份列表是數十位頂級安全專家苦心研究的結果。這些專家來自英國、美國和新加坡等國家的最關注安全問題的政府機構、領先的安全軟件廠商和咨詢企業、頂級的大學安全項目，還有許多其他的用戶組織和SANS研究院。在這份文檔的結尾處列出了該項目中所有的參與者名單。

　　企業不再手忙腳亂

　　網絡安全企業Qualys公司首席技術官Gerhard Eschelbeck認為，今年的“最危險的20種漏洞”列表將被企業廣泛地使用，并且會成為企業考慮安全問題的基準。 

　　Eschelbeck說：“業界和學術界的專家都一致認為，該列表中列出的都是一些最關鍵的漏洞。目前，每周新公布的漏洞數量達到了50個，也就是說每年就有2500個漏洞，因此企業如果想確定對哪些漏洞加以特別關注，就必須面臨巨大的挑戰。SANS的列表正好可以幫助他們優先處理那些危害最大的漏洞?！?nbsp;

　　SANS主任Alan Paller說：“當您要求自己的系統人員對數千個漏洞進行測試時，您的企業肯定會陷于停頓。而這份‘20個最危險的漏洞’列表則可以每年為您提供一份參考，幫助您著手修復系統中最關鍵的漏洞?！?/P>

　　Paller指出：“由于問題的范圍相對較小，因此可以把這些問題交給系統管理員，并且給他們幾個月的時間來解決問題，這樣才是合理的方式?！?/P>

　　用戶可以在SANS的網站上獲得這份列表。

Windows系統中最危險的漏洞 原文轉自：http://www.kjueaiud.com 相關文章 解密阿里云之飛天平臺內核 解析Google集群資源管理系統Omega kvm 虛擬機的詳細說明 好的系統管理員應該是個瞎子 查看IIS中應用程序池相對應的網站 Apache設置web 緩存 周排行 月排行 下載 先測試再開發？TDD測試驅動 全網最詳細的接口測試實戰 自動化測試架構 軟件測試架構師的知識能力 大數據平臺測試方法 用不同的測試模型來構建測 當軟件測試遇上ChatGPT：軟件 先測試再開發？TDD測試驅動 全網最詳細的接口測試實戰 自動化測試架構 軟件測試架構師的知識能力 大數據平臺測試方法 用不同的測試模型來構建測 當軟件測試遇上ChatGPT：軟件 MBT基于模型的測試介紹資料 iso29119相關介紹性資料 HP QTP 10 中文版官方中文補丁 HP QTP 10 英文版 下載地址 HP ALM 11 官方 中文版下載地址 Quality Center 9.0中文版 下載地 HttpWatch Basic Edition Version 7. WIN2003+ORACLE11G+QC11(ALM11) 安裝 WIN2003+SQL2005(SP3)+QC11(ALM11) 安 軟件測試沙龍 More>> 新浪微博More>> 熱門標簽 功能測試 性能測試 安全測試 本地化測試 游戲測試 web測試 單元測試 敏捷測試 測試用例 測試模版 測試管理 測試工具 關于領測軟件測試網 | 誠聘英才 | 廣告服務 | 投稿指南 | 聯系我們 | 網站地圖| 友情鏈接 版權所有(C) 2003－2021 Ltesting(領測軟件測試網)|領測國際科技（北京）有限公司 |軟件測試培訓網 All Rights Reserved 京ICP備2023014753號-2 | 京公網安備11010602004416號-1 技術支持和業務聯系：info@ltesting.com.cn 電話：010-51297073 老湿亚洲永久精品ww47香蕉图片_日韩欧美中文字幕北美法律_国产AV永久无码天堂影院_久久婷婷综合色丁香五月