帝王谷资源网 Design By www.wdxyy.com
国际安全组织新发布:2004年十大网络应用漏洞
IT安全专业人士的开放网络应用安全计划组织(OWASP)发布的第二份年度十大网络应用安全薄弱环节列表中,增加了“拒绝提供服务”类型的隐患,因为在去年该类型的隐患已屡见不鲜。OWASP的主席兼“奠基石”(一家提供战略安全服务的公司)顾问会主任柯费·马克称:“我们预测:本年度,主要的电子商务网站将遭到拒绝提供服务的攻击,因为黑客已经对众多的用户密码感到厌烦。”比如:当一名掌握着大量电子邮件帐号的黑客发起攻击,致使电子商务网站上的用户密码被修改时,他便得手了。
当柯费在Charles
Schwab从事IT安全工作时,他和其他公司的同行组建了OWASP,并开始着手对与保护网站安全相关的重大问题进行评定。最终,在随后的一年他们发表了一份近200页的OWASP指导性文献。这份资料直接面向IT安全专业人士和编程人员,其下载次数多达150万次。
柯费说:“它被认可的程度远远超乎我们的估计。”但是,编程人员却说:他们需要某种能拿给CIO和其他主管人员看的东西,因此,去年该机构发布了它的第一份《十大网络应用安全薄弱环节列表》。此处是2004年的十大薄弱环节名列:
未经验证的参数:某信息在被一种网络应用软件使用之前未被验证其合法性,攻击者可以利用这种信息攻击后方应用软件组件。
失效的访问控制:控制各种授权用户的访问权限的限制性条件施用不当,造成攻击者利用这些漏洞访问其它用户的帐户或者使用非经授权的功能。
失效的帐户及对话管理:帐户证书和对话权标没有得到妥当的保护,导致攻击者对密码、密钥、对话信息或者权标实施非法操作,并以其它用户的身份通过认证;
跨站点脚本漏洞:网络应用软件可以被攻击者用作一种将攻击转移至终端用户的浏览器的装置。一次成功的攻击可以获取到终端用户的对话信息或可以伪造内容以欺骗用户。
缓冲溢出:以某些无法正确验证输入信息的语言编写的网络应用软件程序组件很可能会毁掉某个进程;同时,在某些情况下,也能被用于控制某个进程。这些组件可能包括公共网关接口(CGI)、程序库、驱动程序和网络应用软件服务器组件。
命令注入漏洞:当网络应用软件访问外部系统或者是本地操作系统时,网络应用软件可能会传递出一些参数。如果攻击者能够在这些参数中嵌入一些恶意命令,那么外部系统可能会以这种网络应用软件的名义来执行这些命令。
错误的非正确处理:在用户对系统进行正常操作的过程中出现一些错误,这些错误没有得到正确的处理。在这种情况下,攻击者能够利用这些错误获取到详细的系统信息、拒绝服务、引起安全系统瘫痪或者摧毁服务器。
非安全存储:使用加密功能来保护信息和证书的网络应用软件,业已经过证实难以正常进行编码,从而导致保护功能的弱化。
拒绝提供服务:如上所述,攻击者极度消耗网络应用资源,以致其他合法用户再无法利用这些资源或使用应用程序。攻击者还可以封锁用户的帐户或导致无法进行帐户申请。
非安全的配置管理:拥有一个过得硬的服务器配置标准对于保护网络应用软件来说是至关重要的。这些服务器有许多可以影响到安全的配置选项,如果选择错误将使其失去安全性。“网络应用安全面临着各种挑战,”柯费说。“许多问题是人的逻辑问题,这些问题是永远无法用技术手段找得到的。没有什么灵丹妙药。它是一道逻辑上的难题,一类有待解决的新问题。”
IT安全专业人士的开放网络应用安全计划组织(OWASP)发布的第二份年度十大网络应用安全薄弱环节列表中,增加了“拒绝提供服务”类型的隐患,因为在去年该类型的隐患已屡见不鲜。OWASP的主席兼“奠基石”(一家提供战略安全服务的公司)顾问会主任柯费·马克称:“我们预测:本年度,主要的电子商务网站将遭到拒绝提供服务的攻击,因为黑客已经对众多的用户密码感到厌烦。”比如:当一名掌握着大量电子邮件帐号的黑客发起攻击,致使电子商务网站上的用户密码被修改时,他便得手了。
当柯费在Charles
Schwab从事IT安全工作时,他和其他公司的同行组建了OWASP,并开始着手对与保护网站安全相关的重大问题进行评定。最终,在随后的一年他们发表了一份近200页的OWASP指导性文献。这份资料直接面向IT安全专业人士和编程人员,其下载次数多达150万次。
柯费说:“它被认可的程度远远超乎我们的估计。”但是,编程人员却说:他们需要某种能拿给CIO和其他主管人员看的东西,因此,去年该机构发布了它的第一份《十大网络应用安全薄弱环节列表》。此处是2004年的十大薄弱环节名列:
未经验证的参数:某信息在被一种网络应用软件使用之前未被验证其合法性,攻击者可以利用这种信息攻击后方应用软件组件。
失效的访问控制:控制各种授权用户的访问权限的限制性条件施用不当,造成攻击者利用这些漏洞访问其它用户的帐户或者使用非经授权的功能。
失效的帐户及对话管理:帐户证书和对话权标没有得到妥当的保护,导致攻击者对密码、密钥、对话信息或者权标实施非法操作,并以其它用户的身份通过认证;
跨站点脚本漏洞:网络应用软件可以被攻击者用作一种将攻击转移至终端用户的浏览器的装置。一次成功的攻击可以获取到终端用户的对话信息或可以伪造内容以欺骗用户。
缓冲溢出:以某些无法正确验证输入信息的语言编写的网络应用软件程序组件很可能会毁掉某个进程;同时,在某些情况下,也能被用于控制某个进程。这些组件可能包括公共网关接口(CGI)、程序库、驱动程序和网络应用软件服务器组件。
命令注入漏洞:当网络应用软件访问外部系统或者是本地操作系统时,网络应用软件可能会传递出一些参数。如果攻击者能够在这些参数中嵌入一些恶意命令,那么外部系统可能会以这种网络应用软件的名义来执行这些命令。
错误的非正确处理:在用户对系统进行正常操作的过程中出现一些错误,这些错误没有得到正确的处理。在这种情况下,攻击者能够利用这些错误获取到详细的系统信息、拒绝服务、引起安全系统瘫痪或者摧毁服务器。
非安全存储:使用加密功能来保护信息和证书的网络应用软件,业已经过证实难以正常进行编码,从而导致保护功能的弱化。
拒绝提供服务:如上所述,攻击者极度消耗网络应用资源,以致其他合法用户再无法利用这些资源或使用应用程序。攻击者还可以封锁用户的帐户或导致无法进行帐户申请。
非安全的配置管理:拥有一个过得硬的服务器配置标准对于保护网络应用软件来说是至关重要的。这些服务器有许多可以影响到安全的配置选项,如果选择错误将使其失去安全性。“网络应用安全面临着各种挑战,”柯费说。“许多问题是人的逻辑问题,这些问题是永远无法用技术手段找得到的。没有什么灵丹妙药。它是一道逻辑上的难题,一类有待解决的新问题。”
帝王谷资源网 Design By www.wdxyy.com
广告合作:本站广告合作请联系QQ:858582 申请时备注:广告合作(否则不回)
免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件! 如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件! 如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
帝王谷资源网 Design By www.wdxyy.com
暂无评论...
《魔兽世界》大逃杀!60人新游玩模式《强袭风暴》3月21日上线
暴雪近日发布了《魔兽世界》10.2.6 更新内容,新游玩模式《强袭风暴》即将于3月21 日在亚服上线,届时玩家将前往阿拉希高地展开一场 60 人大逃杀对战。
艾泽拉斯的冒险者已经征服了艾泽拉斯的大地及遥远的彼岸。他们在对抗世界上最致命的敌人时展现出过人的手腕,并且成功阻止终结宇宙等级的威胁。当他们在为即将于《魔兽世界》资料片《地心之战》中来袭的萨拉塔斯势力做战斗准备时,他们还需要在熟悉的阿拉希高地面对一个全新的敌人──那就是彼此。在《巨龙崛起》10.2.6 更新的《强袭风暴》中,玩家将会进入一个全新的海盗主题大逃杀式限时活动,其中包含极高的风险和史诗级的奖励。
《强袭风暴》不是普通的战场,作为一个独立于主游戏之外的活动,玩家可以用大逃杀的风格来体验《魔兽世界》,不分职业、不分装备(除了你在赛局中捡到的),光是技巧和战略的强弱之分就能决定出谁才是能坚持到最后的赢家。本次活动将会开放单人和双人模式,玩家在加入海盗主题的预赛大厅区域前,可以从强袭风暴角色画面新增好友。游玩游戏将可以累计名望轨迹,《巨龙崛起》和《魔兽世界:巫妖王之怒 经典版》的玩家都可以获得奖励。
更新日志
2024年12月22日
2024年12月22日
- 小骆驼-《草原狼2(蓝光CD)》[原抓WAV+CUE]
- 群星《欢迎来到我身边 电影原声专辑》[320K/MP3][105.02MB]
- 群星《欢迎来到我身边 电影原声专辑》[FLAC/分轨][480.9MB]
- 雷婷《梦里蓝天HQⅡ》 2023头版限量编号低速原抓[WAV+CUE][463M]
- 群星《2024好听新歌42》AI调整音效【WAV分轨】
- 王思雨-《思念陪着鸿雁飞》WAV
- 王思雨《喜马拉雅HQ》头版限量编号[WAV+CUE]
- 李健《无时无刻》[WAV+CUE][590M]
- 陈奕迅《酝酿》[WAV分轨][502M]
- 卓依婷《化蝶》2CD[WAV+CUE][1.1G]
- 群星《吉他王(黑胶CD)》[WAV+CUE]
- 齐秦《穿乐(穿越)》[WAV+CUE]
- 发烧珍品《数位CD音响测试-动向效果(九)》【WAV+CUE】
- 邝美云《邝美云精装歌集》[DSF][1.6G]
- 吕方《爱一回伤一回》[WAV+CUE][454M]