哪些属于系统安全方案漏洞

来源:蜘蛛抓取(WebSpider) 时间:2018-05-01 17:20 标签: 信息安全软件有哪些
系统漏洞_百度百科
清除历史记录关闭
声明:百科词条人人可编辑,词条创建和修改均免费,绝不存在官方及代理商付费代编,请勿上当受骗。
(System vulnerabilities)是指或软件在上的缺陷或错误,被不法者利用,通过网络植入、等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。在不同种类的软、设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的问题。会影响到的范围很大,包括系统本身及其,网络客户和,和安全等。换而言之,在这些不同的软设备中都可能存在不同的问题。在不同种类的软、设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的问题。
系统漏洞原理
系统问题是与时间紧密相关的。一个系统从发布的那
相关书籍介绍
一天起,随着用户的深入使用,系统中存在的会被不断暴露出来,这些早先被发现的漏洞也会不断被系统供应商:发布的修补,或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有的同时,也会引入一些新的漏洞和错误。例如比较流行的是ani鼠标,他是由于利用了Windows系统对鼠标图标处理的缺陷,作者制造畸形从而溢出,木马就可以在用户毫不知情的情况下执行。
因而随着时间的推移,旧的系统会不断消失,新的漏洞会不断出现。系统问题也会长期存在。
系统漏洞漏洞对策
1.UPNP服务漏洞
默认启动的UPNP服务存在严重。UPNP(Universal Plug and Play)体系面向无线设备、PC机和智能应用,提供普遍的连接,在家用信息设备、办公用间提供TCP/IP连接和Web访问功能,该服务可用于检测和集成 UPNP。
UPNP服务漏洞
UPNP 协议存在安全,使攻击者可非法获取任何 的系统级访问、进行攻击,还可通过控制多台 XP 机器发起分布式的攻击。
(1)建议禁用UPNP服务。
(2)下载,网址如下所述:
2.升级程序漏洞
如将Windows XP升级至Windows XP Pro,IE 6.0即会重新安装,以前的将被全部清除。
Windows XP的升级不仅会删除IE的文件,还会导致的升级服务器无法正确识别IE是否存在缺陷,即Windows XP Pro系统存在两个潜在威胁,如下所述:
(1)某些网页或HTML邮件的可自动调用Windows的。
常用补漏洞程序
(2)可通过IE窥视用户的文件。
如未下载升级可至网站下载最新补丁。
3.帮助和支持中心漏洞
删除用户系统的文件。
提供集成工具,用户通过该工具获取针对各种主题的帮助和支持。在版本的 Windows XP存在,该漏洞使攻击者可跳过特殊的网页(在打开该网页时,调用错误的函数,并将存在的文件或文件夹的名字作为参数传送)来使上传文件或文件夹的操作失败,随后该网页可在网站上公布,以攻击访问该网站的用户或被作为 邮件传播来攻击。
该除使攻击者可外,不会赋予其他权利,攻击者既无法获取系统的权限,也无法读取或修改文件。
安装 的Service pack 1。
4.压缩文件夹漏洞
Windows XP 压缩文件夹可按攻击者的选择运行代码。
不接收不信任的邮件附件,也不下载不信任的文件。
5.服务拒绝漏洞
服务拒绝。
Windows XP支持的协议(PPTP),是作为实现的技术,由于在控制用于建立、维护和拆开 PPTP 连接的中存在未经检查的缓存,导致Windows XP 的实现中存在。通过向一台存在该的服务器发送不正确的 PPTP 控制数据,攻击者可损坏并导致系统失效,中断所有系统中正在运行的进程。
建议不默认启动PPTP。
6.Windows Media Player漏洞
可能导致用户信息的泄漏;调用;缓存路径泄漏。
Windows Media Player主要产生两个问题:一是信息泄漏漏洞,它给攻击者提供了一种可在用户系统上运行代码的方法,对其定义的严重级别为“严重”。二是执行漏洞,当用户选择播放一个特殊的媒体文件,接着又浏览一个特殊建造的网页后,攻击者就可利用该漏洞。由于该有特别的时序要求,因此利用该漏洞进行攻击相对就比较困难,它的严重级别也就比较低。
Windows Media Player的信息泄漏不会影响在上打开的媒体文件。因此,建议将要播放的文件先下载到本地再播放,即可不受利用此进行的攻击。脚本执行仅有完全按下面的顺序进行一系列操作,攻击者才可能利用该漏洞进行一次成功攻击,否则,攻击将不会成功。具体的操作如下:用户必须播放位于攻击者那边的一个特殊的媒体文件;播放该特殊文件后,该用户必须关闭Windows Media Player而不再播放其他文件;用户必须接着浏览一个由攻击者构建的网页。因此,只需用户不按照该顺序进行操作,即可不受攻击。
信息泄露并拒绝服务。
Windows 操作系统通过RDP(Remote Data Protocol)为提供远程终端会话。RDP 协议将终端会话的相关信息传送至远程,其如下所述:
(1)与某些 RDP 版本的会话加密实现有关的。
所有RDP 实现均允许对RDP 会话中的数据进行加密,然而在Windows 2000和Windows XP版本中,纯文本会话数据的校验在发送前并未经过加密,并记录 RDP 会话的攻击者可对该校验密码分析攻击并覆盖该会话传输。
(2)与Windwos XP中的 RDP 实现对某些不正确的数据包处理方法有关的。
当接收这些数据包时,服务将会失效,同时也会导致操作系统失效。攻击者只需向一个已受影响的系统发送这类数据包时,并不需经过系统验证。
Windows XP 默认并未启动它的远程桌面服务。即使远程桌面服务启动,只需在中屏蔽,即可避免该攻击。
可能造成信息泄露,并执行攻击者的代码。
攻击者可通过向 JDBC 类传送无效的参数使应用崩溃,攻击者需在网站上拥有恶意的Java applet 并引诱用户访问该站点。
恶意用户可在用户机器上安装任意DLL,并执行任意的本机代码,潜在地破坏或读取内存数据。
建议经常进行相关的安全更新。
9.热键漏洞
设置后,由于Windows XP的自注销功能,可使系统“假注销”,其他用户即可通过热键调用。
热键功能是系统提供的服务,当用户离开后,该计算机即处于未保护情况下,此时Windows XP会自动实施“自注销”,虽然无法进了,但由于热键服务还未停止,仍可使用热键启动应用。
(1)由于该被利用的前提为热键可用,因此需检查可能会带来危害的和服务的热键。
(2)启动,并设置密码。
(3)建议在离开时锁定计算机。
10.帐号快速切换漏洞
Windows XP快速切换功能存在问题,可被造成帐号锁定,使所有非帐号均无法登录。
Windows XP设计了快速切换功能,使用户可快速地在不同的帐号间切换,但其设计存在问题,可被用于造成帐号锁定,使所有非帐号均无法登录。
配合锁定功能,用户可利用帐号快速切换功能,快速重试登录另一个用户名,系统则会认为判别为暴力破解,从而导致非帐号锁定。
11.压缩账号拒绝服务漏洞
Windows XP 压缩文件夹可按攻击者的选择运行代码。
在安装“Plus!”包的Windows XP系统中,“压缩文件夹”功能允许将Zip文件作为普通文件夹处理。“压缩文件夹”功能存在两个漏洞,如下所述:
(1)在Zip文件时会有未经检查的缓冲存在于程序中以存放被解压文件,因此很可能导致崩溃或攻击者的代码被运行。
(2)解压缩功能在非用户指定目录中放置文件,可使攻击者在用户系统的已知位置中放置文件。
不接收不信任的邮件附件,也不下载不信任的文件。
12.代码文件自动升级漏洞
服务拒绝。
该漏洞可攻击任何一台提供 PPTP 服务的服务器,对于 PPTP的工作站,攻击者只需激活PPTP会话即可进行攻击。对任何遭到攻击的系统,可通过重启来恢复正常操作。
建议不默认启动PPTP。
本词条认证专家为
副理事长兼秘书长
中国通信学会
中国通信学会
原武汉邮电科学研究院
中国联通网络技术研究院
工业和信息化部电信研究院互联网中心
副院长兼总工程师
中国移动设计院
首席架构师业务总工程师
中兴通讯股份有限公司
百度公司发展研究中心
中国通信学会科普中国百科科学词条评审专家委员会
中国通信学会是全国通信...
提供资源类型:内容
清除历史记录关闭试卷年份2016年下半年
试题题型【单选题】
下列哪一些对信息安全漏洞的描述是错误的?()
A.漏洞是存在于信息系统的某种缺陷。
B.漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)。
C.具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和损失。
D.漏洞都是人为故意引入的一种信息系统的弱点
信管网参考答案:
D(仅供参考,欢迎评论交流)
信管网解析:
普通会员无法查看试题解析。[]
发表评论&&&&
信管网湖南省长沙市电信考友: <span style="color:#18/3/19 15:25:36 & zero_x的原帖: <span style="color:#18/3/5 16:15:161123 信管网zero_x: <span style="color:#18/3/5 16:15:16 & 1 信管网提莫少侠: <span style="color:#18/2/20 0:58:16 & 问题一
机密性:信息只有被授权方才能被访问
完整性:信息不得被未授权放方修改
可用性:信息可以被授权方使用
机密性 信管网: <span style="color:#18/2/5 16:19:38 & 1.机密性,完整性,可用性
2.不适用通常针对机密性
3. 信管网ziningx: <span style="color:#17/12/6 14:37:09 & 问题1:
机密性:对非授权的个体应是秘密的不可访问的。
完整性:不因偶然或认为的破坏造成数据的缺失。
可用性:数据和系统的在授权确认后可以使用的特性。
李老师:信息系统项目管理师、国家工信部和科技部专家、高级项目经理、12年培训经验,编写了多本教材,...
软考办网站
合作网站内容

我要回帖

更多关于 信息安全软件有哪些 的文章

 

随机推荐