沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

是谁让你在网上裸奔?

        本报记者 武晓莉

        安全漏洞一直是用户最为担心的问题,尤其是智能移动互联网时代,人们生活的方方面面都和网络搭上了关系。今年上半年相继爆发的十大安全漏洞,显示了互联网安全的严峻性。日前,业界安全专家、长城重点安全实验室主任陈亮对这十大安全漏洞进行了分析。

        OpenSSL“心脏出血”漏洞

        爆发于4月份的Heartbleed漏洞,可以直译为“心脏出血”,是OpenSSL源代码中存在的一个重大安全漏洞。

        OpenSSL是互联网应用最广泛的安全传输方法,被各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站所广泛使用。此漏洞被普遍认为是近年来危害最严重的安全漏洞。该漏洞可以让黑客轻松在http开头的网址服务器上,实时抓取用户的账号密码。从该漏洞被公开到漏洞被修复的这段时间内,已经有一些网站用户信息被黑客非法获取。未来一段时间内,黑客可能会利用获取到的这些用户信息,在互联网上再次进行其他形式的恶意攻击,针对用户的如网络诈骗等“次生危害”可能会大量集中显现。

        从影响上看,加拿大税务局因该漏洞关闭了电子服务网站,维基也提醒用户更换密码。

        目前所知,国内如下系统如果运营维护不当,会导致可能存在随机登录银联账户并获取服务器敏感信息:淘宝主站、微信网页版和公众账号版、中国银联、12306新版订票系统、比特币中国、搜狗通行证服务器、乐视网、凤凰网、京东某分站(存在此漏洞导致敏感信息泄露及已证明全站随机用户可登录)、搜狐畅游和联想官网。

        Struts2-021补丁绕过漏洞

        4月23日晚,安全人员研究发现Apache公司提供的升级版本并未完全修复漏洞,补丁中的相关安全机制仍可被黑客绕过。中国建设银行、中国工商银行、中国银行、淘宝、京东、中国移动官网等都采用Struts2框架,此漏洞对上述网站服务器构成了拒绝服务和远程控制的威胁。

        攻击者利用此漏洞,可以远程对目标服务器执行任意系统命令,轻则可窃取网站数据信息,重则可取得网站服务器控制权,从而造成信息泄露并给网站运行带来严重的安全威胁;特别是政府、公安、交通、金融和运营商等尤其需要重视。

        苹果GotoFail漏洞

        2月份出现的GotoFail漏洞,会使苹果应用程序易受中间人攻击,无法保障网络信息传输的安全性。

        对该漏洞享有网络特权位置的攻击者将有可能会获取或者修改SSL/TLS所保护的数据。该漏洞会使用户发送的信息可被攻击者截获,包括网站登录密码、网银支付密码、电子邮件和聊天记录等重要信息,从而对网银、网游、网上交易等造成极大的威胁,进而易给用户带来财产损失与精神损失。而且,在通讯两端都在使用公共WiFi的情况下,最易受到攻击。

        IE秘狐漏洞

        4月份的IE秘狐漏洞是XP停服后爆出的首个重大漏洞。利用此漏洞,黑客就可以远程植入木马病毒,完全控制受影响的系统,进行删除数据、安装恶意软件以及创建完整权限账户等恶意操作。该漏洞影响IE6-IE11全线版本。

        由于IE全球市场份额高达55%,导致超过半数网民受此漏洞影响。按照微软惯例,每月第二个星期的星期二是其补丁发布的日期。但由于“秘狐”漏洞高度危险,漏洞攻击代码又已在网上公开,木马产业链很可能闻风而动,大规模地在互联网上进行远程攻击。所以微软破例提前推出补丁,包括已经停服的XP也支持修复此高危漏洞。

        Windows上的内核级漏洞

        通过7月份爆发的Windows上的内核级漏洞,黑客可提升Windows系统权限,入侵服务器。成功利用此漏洞的黑客可以完全控制受影响的系统,同时也可以通过这个漏洞将原本的用户权限账户提升为系统管理员,从而进行账户创建、安装木马等操作。而对于网站服务器来说,此漏洞更是一种灾难。因为攻击者通过利用网站程序的漏洞拿到服务器的Webshel后,如果只有普通的用户权限,只能对网站中的文件进行操作,无法影响服务器的安全。然而利用此漏洞,便可以拿到服务器权限,从而入侵整台服务器。

        Chrome任意内存读写漏洞

        Chrome任意内存读写漏洞是今年3月份爆发的。GoogleChrome是一款流行的Web浏览器,它所使用的V8引擎存在安全漏洞。远程攻击者可利用此漏洞构建恶意Web页,并通过Chrome浏览器对用户电脑内存进行任意读写,致使应用程序崩溃或执行任意代码,从而窃取用户隐私、盗用手机话费、获取地理位置、通讯录信息、图片等,给用户带来严重的财产损失和精神损失。

        Safari任意代码执行漏洞

        3月份爆发的该漏洞可以让黑客在用户不知情的情况下执行任意恶意代码,并且手机木马可利用该漏洞变身为系统超级用户,从而完全控制手机,可以盗用话费、窃取短信、通讯录等隐私甚至可以监听通话,进而造成用户的隐私泄露和财产损失。

        Safari是苹果操作系统MacOSX中的浏览器,使用了 KDE的KHTML作为浏览器的运算核心。OSX平台上Safari7.0.2存在安全漏洞,可使远程攻击者执行任意代码。

        Linux/Andriod本地提权漏洞

        今年6月份爆发的Linux内核漏洞,会影响三星GalaxyS5和很多Linux发行版。

        该漏洞出现在Linux的futex系统调用中,攻击者便可读写内核内存,造成本地提权。提权后,攻击者可以远程控制用户的移动设备,比如将移动设备里的用户隐私信息传送回指定服务器后再清空你的设备;也可以记录键盘输入,然后将用户输入的任何信息定时上传到他们的服务器中,包括用户输入的银行账户和密码,可以随意替换或删除移动设备中的相关数据。简单概括起来就是,可以让攻击者对移动设备做任何的事情。

        AdobeFlashPlayer漏洞

        7月爆发的AdobeFlashPlayer是一个集成的多媒体播放器。远程攻击者可以利用此漏洞获取敏感信息,也可以冒用用户的名义发送邮件、消息,盗取银行账号,甚至于购买商品,虚拟货币转账等,致使个人隐私泄露带来财产安全隐患。此类漏洞造成的后果都是十分严重的。

        WordPressDDoS攻击漏洞

        3月以来,国内外均监测到大量利用该漏洞发动的DDoS攻击。超过16.2万家 WordPress网站被黑客利用,向目标网站进行了 DDoS攻击。目前国内大部分中小博客网站都采用了WordPress博客平台,因此都存在被黑客利用的潜在威胁。此类攻击是分布式洪水攻击,其向服务器发送每秒高达数百次的请求。所有请求都是随机值,因而绕过了缓存,并且每回都迫使页面重新加载,于是目标服务器很快就宕机了。

        DDoS的攻击方式有很多种,最基本的DDoS攻击就是利用合理的服务请求,来占用过多的服务资源,从而使合法用户无法得到服务的响应。

        版权所有: 非特殊声明,均为本网站原创文章,转载请指明出处: 企业网D1net

发表评论