日韩欧美一区在线,欧美日韩国产在线看,日韩中文字幕视频网

主頁 > 知識庫 > 2004年十大網絡安全漏洞

2004年十大網絡安全漏洞

國際安全組織新發布：2004年十大網絡應用漏洞
　　
IT安全專業人士的開放網絡應用安全計劃組織(OWASP)發布的第二份年度十大網絡應用安全薄弱環節列表中，增加了“拒絕提供服務”類型的隱患，因為在去年該類型的隱患已屢見不鮮。OWASP的主席兼“奠基石”(一家提供戰略安全服務的公司）顧問會主任柯費·馬克稱：“我們預測：本年度，主要的電子商務網站將遭到拒絕提供服務的攻擊，因為黑客已經對眾多的用戶密碼感到厭煩。”比如：當一名掌握著大量電子郵件帳號的黑客發起攻擊，致使電子商務網站上的用戶密碼被修改時，他便得手了。

當柯費在Charles
Schwab從事IT安全工作時，他和其他公司的同行組建了OWASP，并開始著手對與保護網站安全相關的重大問題進行評定。最終，在隨后的一年他們發表了一份近200頁的OWASP指導性文獻。這份資料直接面向IT安全專業人士和編程人員，其下載次數多達150萬次。

柯費說：“它被認可的程度遠遠超乎我們的估計。”但是，編程人員卻說：他們需要某種能拿給CIO和其他主管人員看的東西，因此，去年該機構發布了它的第一份《十大網絡應用安全薄弱環節列表》。此處是2004年的十大薄弱環節名列：

未經驗證的參數：某信息在被一種網絡應用軟件使用之前未被驗證其合法性，攻擊者可以利用這種信息攻擊后方應用軟件組件。

失效的訪問控制：控制各種授權用戶的訪問權限的限制性條件施用不當，造成攻擊者利用這些漏洞訪問其它用戶的帳戶或者使用非經授權的功能。

失效的帳戶及對話管理：帳戶證書和對話權標沒有得到妥當的保護，導致攻擊者對密碼、密鑰、對話信息或者權標實施非法操作，并以其它用戶的身份通過認證；

跨站點腳本漏洞：網絡應用軟件可以被攻擊者用作一種將攻擊轉移至終端用戶的瀏覽器的裝置。一次成功的攻擊可以獲取到終端用戶的對話信息或可以偽造內容以欺騙用戶。

緩沖溢出：以某些無法正確驗證輸入信息的語言編寫的網絡應用軟件程序組件很可能會毀掉某個進程；同時，在某些情況下，也能被用于控制某個進程。這些組件可能包括公共網關接口(CGI)、程序庫、驅動程序和網絡應用軟件服務器組件。

命令注入漏洞：當網絡應用軟件訪問外部系統或者是本地操作系統時，網絡應用軟件可能會傳遞出一些參數。如果攻擊者能夠在這些參數中嵌入一些惡意命令，那么外部系統可能會以這種網絡應用軟件的名義來執行這些命令。

錯誤的非正確處理：在用戶對系統進行正常操作的過程中出現一些錯誤，這些錯誤沒有得到正確的處理。在這種情況下，攻擊者能夠利用這些錯誤獲取到詳細的系統信息、拒絕服務、引起安全系統癱瘓或者摧毀服務器。

非安全存儲：使用加密功能來保護信息和證書的網絡應用軟件，業已經過證實難以正常進行編碼，從而導致保護功能的弱化。

拒絕提供服務：如上所述，攻擊者極度消耗網絡應用資源，以致其他合法用戶再無法利用這些資源或使用應用程序。攻擊者還可以封鎖用戶的帳戶或導致無法進行帳戶申請。

非安全的配置管理：擁有一個過得硬的服務器配置標準對于保護網絡應用軟件來說是至關重要的。這些服務器有許多可以影響到安全的配置選項，如果選擇錯誤將使其失去安全性。“網絡應用安全面臨著各種挑戰，”柯費說。“許多問題是人的邏輯問題，這些問題是永遠無法用技術手段找得到的。沒有什么靈丹妙藥。它是一道邏輯上的難題，一類有待解決的新問題。”

您可能感興趣的文章:

PHPShop存在多個安全漏洞
計算機網絡系統安全漏洞分類研究
逐一偵破網上銀行安全漏洞
VBScript開發自動化測試腳本的方法分析
android monkey自動化測試改為java調用monkeyrunner Api
Android 自動化測試經驗分享 UiObejct.getFromParent()的使用方法
Python自動化測試工具Splinter簡介和使用實例
python自動化測試實例解析
實現android應用程序自動化測試的批處理腳本
JavaScript 常見安全漏洞和自動化檢測技術

標簽：忻州沈陽無錫紅河河源阜陽青海哈密

巨人網絡通訊聲明：本文標題《2004年十大網絡安全漏洞》，本文關鍵詞 2004年,十大,網絡,安全漏洞,；如發現本文內容存在版權問題，煩請提供相關信息告之我們，我們將及時溝通與處理。本站內容系統采集于網絡，涉及言論、版權與本站無關。

婷婷综合国产,91蜜桃婷婷狠狠久久综合9色 ,九九九九九精品,国产综合av

2004年十大網絡安全漏洞