这里介绍的10大漏洞,是当今互联网上发现的最普遍而且风险最高的漏洞。这一10大漏洞清单主要来源于ISSX-Force安全小组的分析、用户的安全报告、ISS的
专业服务队伍和安全合作伙伴,10大漏洞表由ISS X-Force小组维护并以ISS安全警告汇编的形式每季度发布。 鉴于这10大漏洞的重要性和严重性,建议各个行业、企业、机构的安全主管机构充分重视这些安全问题,并将这些漏洞的解决办法和处理决策落实到安全策略中,建立更加有效、更加完善的信息安全防护体系。
1、拒绝服务攻击 | TFNTFN2KTrin00StacheldrahtFunTimeApocalypse |
2、脆弱的账号 | 缺省账户(路由器、防火墙)管理员账户admin/root的空口令或弱口令SNMPCommunityName的缺省设置 |
3、IIS(微软的Web服务器MicrosoftInternetnformationServer) | RDSHTR畸形headerPWS文件访问CGI圈套PHP3元字符PHPmlog.html读文件 |
4、数据库 | Oracle缺省账户/口令OraclesetuidrootoratclshSQLServerXp-sprintf缓存溢出SQLServerXp-cmdshell扩展 |
5、电子商务主页应用 | NetscapeGetBoHttpIndexserverPathFrontpageExtensionsFrontpagePwdAdministrators |
6、电子邮件系统 | Sendmail管道攻击SendmailMIMEbo |
7、文件共享 8、RPC | rpc.cmsdrpc-statdSadminAmdMountd |
9、BIND 10、Linux缓存溢出 | IMAPBOQpopperBO改写堆栈覆益WU-FTP缓存溢出 |
建议的修改步骤 在业务层次,通过组织来实施和管理安全部件,并且通过持续的保持警惕和对威胁的监控来降低新的风险。
ISS建议建立下面一些安全层次
2001-2007 Comsenz Inc.
