网站性能检测评分
注:本网站页面html检测工具扫描网站中存在的基本问题,仅供参考。
漏洞网站
搜遍Windows 微软要把漏洞纠出来 公司视频课程
微软计画搜遍Windows原始码找出和最近严重漏洞类似的瑕庛,并且更新其开发作业程式以防止未来产品再出现同样问题。
这只存在于WindowsMetaFile图片开启过程中的严重瑕庛和过去的安全弱点不太一样,微软安全回应中心总监KevinKean及DebbyFryWilson指出。一般弱点是程式间看不到的可让骇客乘虚而入并执行程式码的缝隙。而WMF的问题则存在于无意中使用到的软体功能中。
为因应新式威胁的产生,这家软体巨人表示将重新检视不论是新软体或旧软体的程式码,已避免类似的副作用再发生。
“现在我们知道有此类攻击,客户可以放心我们会检查软体中任何和此类攻击相关的弱点,”FryWilson说。
微软自2002年宣布信赖运算的大方向计画后,就不断试图改善其软体安全。WMF计画对该公司的努力不啻是一个反面宣传。“这问题应该几年前就解决了,”Gartner分析师NeilMacDonald说,“他们漏了图片档,才让WMF问题发生。”
分析师表示,微软现在正处于和网路罪犯竞赛中,他们也正积极找出同样的漏洞好先下手为强。
WMF档是在1980年代末期设计,用来使图片档包含可在PC上执行的电脑程式,可以使跑得较慢的机器开大型图档的速度较快,芬兰安全公司F-Secure研究总监MikkoHypponen指出,“它并不是一种臭虫,而是应当时之需而生的产品,不是很理想的设计。”他说。
而撰写出WMF漏洞修补程式的欧洲软体开发人员IlfakGuifanov表示,“WMF创造的那个年代资讯安全并不是软体设计最关心的问题。”
一个被安装修补程式的Windows机器只要一造访包含有恶意程式图片的网站,或打开一个包括该图片的邮件或Office文件档,就会遭到入侵。该漏洞被报导后已出现利用该漏洞的多项攻击行动,包括数千个恶意程式网站、木马程式、以及一件以上的即时通讯软体的病虫。德国马德堡大学防毒软体专员AndreasMarx表示至少已有上百万台电脑受害。
回应速度
微软FryWilson表示,微软仅仅在漏洞被公布十天之后就释出修补程式,是有史以来最快的一次。
虽然在修补上创了纪录,但该公司还是漏洞种类感到很意外。“这不是一般的缓冲溢位(bufferoverflow),一般软体可以预期使用行为,但我们没有料到会有这种用法,”Kean说。
而新学到的一课也有助于这家软体巨人生聚教训。微软将更新其为防止产品安全问题而设计让开发人员遵循的“安全开发生命周期”(SecurityDevelopmentLifeCycle,SDL)作业程序。程序包含该公司用以检查程式码问题的威胁模型系统(threat-modelingsystem)。
“我们会修改SDL中的资料,并重建威胁模型系统,以便找出任何类似的瑕庛。”FryWilson说。
微软的开发流程中会检查出一般开发人员会犯的错误,像是缓冲溢位、整数溢位(integeroverflow)及stackoverflow等漏洞。
SDL原本每六个月更新一次。微软并在数年前成立一个专门在研究问题的小组。有了这些安全程序,就可以不用把大量开发资源用于全面性的安全检查上。
安全专家表示,微软检视整个程式码并改善开发作业程式这件事做得很对。“微软在找出并修补漏洞上态度愈来愈积极,”SANSInstitute主任研究员JohannesUllrich说。
弱点管理公司nCricle弱点与攻击研究总监MikeMurray指出,“他们也只能这么做,因为这是一项新弱点,不管是好人或坏人都会想把它找出来。”
虽然微软指出,这是新的问题,但Guifanov并不这么认为。“太阳底下没有什么是真的新鲜事,这是设计上的瑕庛,程式检查不应该常常来,但偶一为之无妨。”
他指出,WMF问题和过去Office档案的巨集病毒类似,“资料包括程式码(code-in-data)很好用,但一不小心即会让你很头痛,控制机制应该要能关闭嵌入式程式码的执行。”
由于许多图片相当复杂,而且许多应用都得支援它,因而开启攻击者新的入侵之门。
而安全公司也正致力于寻找新种漏洞。例如F-Secure正在观察WindowsMobile软体是否也有WMF漏洞。“我不知道微软是不是会找到很多类似的漏洞,但我屏息以待。”Hypponen说。
支付宝控件漏洞——到底是谁在撒谎? 公司视频课程
文档创建:2007年02月09日
最后更改:2006年02月09日
regsvr32 /u %SystemRoot%\System32\aliedit\pta.dll
中小网站如何防止网页病毒和木马? 公司视频课程
什么是网页病毒?
它主要是利用网站的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序,JavaScript脚本语言程序,ActiveX软件部件网络交互技术支持可自动执行的代码程序,以强行修改用户操作系统的注册表设置及系统实用配置程序,或非法控制系统资源盗取用户文件,或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。现在流行的网页木马大多是:〈iframesrc=http://www.haogs.com/mm.htmwidth=0height=0> 这样的格式,通过隐藏在一些安全等级不高的网站内,只要浏览该网站的用户都可能中病毒和木马。这种非法恶意程序能够得以被自动执行,在于它完全不受用户的控制。你一旦浏览含有该病毒的网页,即可以在你不知不觉的情况下马上中招,给用户的系统带来一般性的、轻度性的、严重恶性等不同程度的破坏。令你苦不堪言,甚至损失惨重无法弥补。
网站被挂木马的主要原因
目前国内的大多数中小网站都是从网络上下载的免费系统建成的,如动网、动易、discuz等系统,这些系统在设计的时候存在或多或少的安全漏洞,如动网和动易以前都存在过上传漏洞,导致黑客可以上传木马至网站,轻易获得管理权限。同时Win2003本身也存在设计缺陷,如前段时间出现的新漏洞:“IIS6目录检查漏洞”。加之很多网站管理员的安全水平有限,目前网页病毒木马非常猖獗。
如何提高网站安全
作为网站的管理员,显示有必要防止黑客入侵,以防止给网站的用户带来安全风险,同时可能发生资料泄露、文件被删除等严重问题。目前大多数网站都是以虚拟主机的形式托管的,要提高网站安全,需要从两方面入手。一方面,网站管理员应及时给自己的网站程序打上最新的补丁,在开发的时候应加强安全意识,注意防止注入漏洞、上传漏洞等问题。另一方面,将网站托管在技术实力强、安全系数高、能主动帮客户解决安全的服务商处也可以加强您的网站安全。
笔者比较了国内目前在虚拟主机安全方面做的比较好的三家公司,进行一些对比分析,希望能对您有所帮助:
1.西部数码
西部数码是西部地区最大的虚拟主机域名注册服务商,名列全国10强。主要提供智能多线虚拟主机、域名注册、主机租用等服务。
西部数码的虚拟主机在安全方面是做的最好的,其控制面板中有40余项管理功能,其中关于网站安全的有10项功能,如:FSO自由开通关闭、
Ado.Stream关闭、整个网站写入权限关闭,单独目录可放写入权限。对重要的管理目录如/admin/可以设置IP限制,即使黑客获得了管理员密码也无法登录;对重要的目录如/bbs/UploadFile目录,可以关闭脚本执行权限,即使黑客通过漏洞上传了木马在里面也不能执行。
同时西部数码还独家提供 网页病毒木马在线查杀的功能,可以批量清除木马,及时发现隐藏的病毒。使用起来非常的方便。
2.联动天下
联动天下是中国最早开始提供域名注册,网站空间,企业邮局和网站建设专业提供商之一,免费支持wap虚拟主机无线上网.
联动天下凭借其强大的技术开发能力,完成一套功能强大的网站安全过滤系统,能很好的解决IIS的目录检测漏洞。网站安全过滤系统主要有以下几个方面的功能:
网站安全检测功能 此安全过滤系统会对访问者请求的网址进行安全检测,当某个浏览者访问我司服务器上的网站时,安全系统先会检测此页面的网址是否是放在有目录安全隐患的文件夹中,如果是则自动中止页面的执行,有效的防止黑客利用这个漏洞入侵网站系统,彻底解决IIS的目录安全问题。
程序错误侦测 此安全过滤系统独有的网页程序错误检测功能,用户可以通过虚拟主机控制面板查看程序的出错情况,大大方便了程序优化、程序排错的工作,避免用户去分析那些羞涩难懂、并且海量的网站日志文件。
3.三五互联
35互联是一家专业服务于全球中小企业和商务人士的互联网应用服务提供商(ASP),是中国首家获得ICANN认证和CNNIC首批认证的顶级域名注册服务机构.
三五互联的虚拟主机控制面板中也提供了很多关于网络安全方面的功能,如页面加密,ip地址限制(不能设置子目录)、文件保护功能可以防止重要文件如数据库被人下载。
当然国内还有其他一些公司也在主动加强网站安全方面有所突破,限于篇幅原因,不再介绍。大家在选购虚拟主机的时候,不要光看价格,找一家知名的品牌服务商,最好找能进行免费试用的主机,试用几天,一定能找到适合自己的虚拟主机产品。
只要网站管理员和虚拟主机服务商共同努力,一定能解决好目前网页木马病毒泛滥的问题。
