漏洞

  • 保障疫情防控下的数据安全
    毒。近期新增严重漏洞评述:1. 微软2022 年4 月的例行安全更新共涉及漏洞数118 个,其中严重等级的漏洞2 个,重要等级的漏洞87 个,中危等级的漏洞29 个。涉及的产品包括Windows 系统和Windows 组件、Microsoft Lightweight Directory Access、微软DNS 服务、Microsoft Dynamics 365 和Microsoft Dynamics、Microsoft Windows Local Sec

    中国教育网络 2022年5期2022-08-24

  • 网络安全漏洞管理与漏洞情报库建设方案探讨及研究
    随着各种网络安全漏洞的曝光和被利用,国家与企业蒙受了重大的经济损失,美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)发布了2001—2021年20年间漏洞数据统计情况,表明漏洞数量呈现逐年递增的态势,且高中危漏洞占比越来越高,仅2021年一年就报告网络安全漏洞18 378个。由网络安全漏洞引发的安全事件频发,及时发现并修复漏洞是各企事业单位面临的网络安全关键基础性工作,也是通

    通信电源技术 2022年1期2022-06-16

  • 统一漏洞管理平台研究设计
    严峻.其中,安全漏洞[1]作为网络安全中最为严重的威胁之一,其存在大大增加了硬件设备或应用系统的安全隐患,使其更容易受到网络攻击的威胁.因此,人们越来越重视安全漏洞的管理[2].与此同时,国家市场监督管理总局和国家标准化管理委员会更新发布了《信息安全技术 网络安全漏洞管理规范》(GB/T 30276—2020)[3],对漏洞的全生命周期管理提出了更高的要求.传统的漏洞管理流程是首先通过扫描器扫描或渗透测试的方式发现漏洞,定位漏洞所在设备或对应负责人;然后邮

    信息安全研究 2022年2期2022-01-28

  • 小心“漏洞
    炳杨子明先生的《漏洞》一文(《杂文月刊》2021年4月上原创版),说的是一群鲶鱼遇到溪流途中的拦水坝,试图越坝上游,找那美食世界,而钻进了老农在水坝制造的漏洞处拉起的大竹笼的故事。文章虽短,却寓意深刻。人生长河中,也会遇到一道道“拦水坝”,面临的“漏洞”也会不少。那些想投机取巧、寻找捷径的人,往往就误入有人设下的“漏洞”。有人不想苦读下功夫,又想得到金字招牌的文凭,于是就有兜售假学历文凭、假专业证书的“漏洞”等他钻;有人购物贪图便宜,不辨真假,结果就有假冒

    杂文月刊 2021年7期2021-09-05

  • 开源软件漏洞库综述
    0年发布的《开源漏洞安全现状》,开源代码和开源社区在过去的几年中迎来了大规模的增长,与此同时开源漏洞也随之爆发式的增长.开源代码是指用户可以根据许可进行访问和改进的源代码.开源软件和专有软件的区别在于,用户第1次使用专有软件时必须签署同意最终用户许可协议(EULA),同时这些协议会限制用户共享或修改产品本身,用户在使用开源软件时则需遵守开源许可条款,开源许可证控制着除发起者以外的其他人如何使用、修改和共享软件.从开源软件使用者的角度出发开源软件具有以下几个

    信息安全研究 2021年6期2021-06-04

  • 系统漏洞检测研究与安全分析
    102628)漏洞是指一个系统存在的弱点或缺陷,可能来自应用软件,也可能是操作系统设计时的缺陷,或者某种业务交互处理过程中的设计缺陷等。一个小小的漏洞,可能引发重大的安全问题或造成重要数据丢失、资料篡改等。因此,对于漏洞要及早发现,及时修补,以免遭到黑客的攻击。1 漏洞扫描的原理漏洞扫描是通过nmap、nessus、X-scan 等扫描工具或其他技术手段,对本地或者远程计算机系统的安全性进行检测,发现可利用漏洞的一种安全检测行为。通过漏洞扫描可以使网络管

    数字通信世界 2021年4期2021-05-07

  • 构建漏洞管理国际合作机制的思考和建议*
    33)0 引 言漏洞(vulnerability)是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而使攻击者能够在未授权的情况下访问、破坏或控制目标系统。从技术层面看,漏洞本身无法根除。漏洞的开发利用频繁,相对廉价快速,而漏洞发现后消除周期较长。如果大量漏洞长期暴露得不到及时有效的处置,那么新发现的漏洞与未消除的漏洞不断累加,网络安全风险将进一步叠加。漏洞管理(vulnerability management)通常定义为对操作系统(OS)、企业

    信息安全与通信保密 2021年8期2021-04-04

  • Nikto2
    Web 应用程序漏洞工具,可用于查找漏洞。该工具还可以在几个小时内找到数千个Web 应用程序中的漏洞。尽管它是一种付费的企业级漏洞工具,但它具有许多高级功能。它具有爬网技术,可通过爬网到应用程序中来查找漏洞。Netsparker 可以描述和建议缓解所发现漏洞的技术。此外,还提供用于高级漏洞评估的安全解决方案。下载地址: https://www.netsparker.comOpenVASOpenVAS 是功能强大的漏洞扫描工具,支持适用于组织的大规模扫描。您

    网络安全和信息化 2020年7期2020-12-30

  • 如何高效鉴别关键漏洞
    通用漏洞评分系统(CVSS)评分已被视为确定漏洞优先级的主要标准。漏洞的CVSS 分数范围从1 到10(严重性依次递增)。面对持续激增的漏洞,组织更倾向于依靠CVSS 评分来确定优先级。但是CVSS 评分也存在很多问题。例如,在组织中,通常将严重程度得分超过7 的漏洞都视为高风险,每年发现的总漏洞中有很大一部分属于此类别,但只有一小部分会在网络攻击中被利用。CVSS 分数将在发现漏洞后的两周内评定,并且不会再修改。有时,严重程度较低的漏洞在披露后被广泛利用

    网络安全和信息化 2020年12期2020-10-22

  • 金融机构漏洞管理实践探索
    ,近几年网络安全漏洞整体态势呈现出漏洞总数总体维持增长趋势,且0day漏洞大幅度增长更是加剧了企业网络安全运营压力[2],如图1所示。自网络安全强国战略实施以来,为了有效地应对网络安全威胁和风险,保障网络运行安全,国家层面相继发布了《国家网络空间安全战略》《中华人民共和国网络安全法》《网络安全等级保护条例》(征求意见稿)等相关法律和规定,要求网络安全运营者应能采取各类安全措施发现、识别、处置漏洞。同时,随着行业监管范围与深度的不断扩大,金融科技监管进入深水

    网络空间安全 2020年2期2020-06-20

  • 漏洞克星?Oday漏洞雷达系统解密
    司展示的Oday漏洞雷達系统让人防不胜防的Oday漏洞关注系统安全的朋友都知道,我们每个月几乎都要定期安装系统补丁来修补系统漏洞,这些漏洞有些是微软自己测试发现的,有些则是第三方发现的。一般第三方安全专家发现系统漏洞后都会将信息提供给微软,微软技术人员在测试后会提出相应的解决方案,然后定期发布在官网上并推送给用户进行安装,这就是我们每个月都安装的系统补丁(图2)。那么Oday漏洞又是一种什么样的漏洞?Oday的英文意为“0天”,也就是1天不到的意思,所以早

    电脑爱好者 2020年1期2020-04-28

  • 基于生命周期的新型漏洞管理平台设计
    全提供科学依据。漏洞扫描器就是风险评估的重要工具。2 漏洞扫描的意义漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定目标的脆弱性进行检测,发现可利用漏洞的一种安全检测设备。漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫等不同种类。网络漏洞扫描器可以根据不断完善的漏洞资料库,检测分析组织中工作站、服务器、数据库、防火墙等的漏洞,提出漏洞解决方案和修复建议,使得网络安全员能及时修复安全漏洞,在黑客攻击前进行防范,做到防患于未然。3 漏洞扫描器存在的问题当前市场上

    网络安全技术与应用 2020年4期2020-04-13

  • 定量和定性相结合的物联网漏洞分类方法研究*
    变种屡出,物联网漏洞和安全问题日趋严重。物联网系统软件和硬件异构同源、跨平台等特点,导致其漏洞分类方法发生新变化,在当前漏洞分类研究中关注较少,是亟需深入研究的新课题。文献[1]深入分析比较有代表性的Microsoft公司、CVE安全组织和Fortify Software公司的漏洞分类方法;文献[2]对漏洞分类的研究现状、漏洞分类模型等进行分析;文献[3]指出对信息系统漏洞进行分类的基本原则,并对25种漏洞分类方法进行了对比分析;文献[4]提出了一种基于星

    通信技术 2020年2期2020-03-26

  • 360全视之眼0day漏洞雷达系统发布
    如果漏洞是网络攻击的重要资源,那么0day漏洞就是威胁最大的资源,捕获0day漏洞攻击的能力是今天网络防护的关键点。看不见的攻击才是最可怕的。0day漏洞攻击不可预知、极难防御,是威胁网络安全的“隐形杀手”。2017年爆发的WannaCry勒索病毒,就利用了0day漏洞,危害巨大。0day漏洞也因此颇受APT组织这类国家级网络攻击力量青睐。360发布的《全球高级可持续性威胁2018年总结报告》显示,2018年,比较知名的APT活动0day漏洞在野利用事件就

    中国计算机报 2019年40期2019-12-09

  • 面向漏洞管理的工作流技术应用研究
    全问题与日俱增,漏洞、木马、病毒等不断出现,引发严重的网络安全事件,国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临严峻风险与挑战. 网络安全漏洞是网络空间的最大威胁之一,因此规范、高效的漏洞管理是保障网络安全的重要举措.网络安全漏洞[1]是信息技术、信息产品、信息系统在需求、设计、实现、配置、维护和使用等过程中,有意或无意产生的缺陷. 网络安全漏洞的存在本身并不能导致损害,但若被攻击者利用,就会对信息产品或系统造成安全损害,从而影响构建

    北京理工大学学报 2019年9期2019-10-21

  • 1999–2018年安全漏洞数据集
    息简介引 言安全漏洞(Vulnerability)是信息系统在设计、实现或部署等过程中产生的缺陷。这些缺陷以不同形式存在于信息系统的各个层次和环节之中,一旦被恶意主体所利用和进行攻击,就会对信息系统的安全造成损害,从而影响构建于信息系统之上的正常服务的运行,危害信息系统的安全,导致用户隐私信息被泄露,进而对用户、社会以及国家等造成重大损失[1]。近年来,随着网络系统大规模化和复杂性的增加,安全漏洞数量大幅增加,增多了恶意网络用户攻击网络设备的机会,同时也增

    中国科学数据(中英文网络版) 2019年4期2019-06-24

  • 论保障网络安全之漏洞扫描技术
    学 网络中心1 漏洞扫描技术的概述及重要性一个系统再“安全”,但它都存在漏洞,大多数的入侵者利用的都是常见的漏洞。通过一般的扫描手段容易找出我们发现过的漏洞,对于一些未知漏洞可能一般的扫描技术就可能漏报。应用软件漏洞和操作系统漏洞是服务器漏洞的两大类。万维网服务漏洞、文件传输协议服务漏洞、简单邮件传输协议服务漏洞、远程连接服务漏洞等,是应用软件漏洞。由于不同的服务程序可为相同的网络服务提供服务,因此,它们可能存在相同的漏洞,由于程序不同,可能漏洞有差异。操

    数码世界 2018年9期2018-12-21

  • 基于Sigmoid函数的软件漏洞风险评价算法
    时,需要根据软件漏洞扫描、挖掘和渗透测试的结果,计算得到软件产品的总体风险值,以对软件产品的整体漏洞风险情况进行把控[3].但在现有安全测试及渗透测试中,通常仅考虑风险值最高的漏洞,以该漏洞的风险等级作为整个软件产品的风险等级,而不考虑漏洞数量对软件产品漏洞风险的影响;另一方面,现有的风险评估方法中,计算模型过于复杂,评价参考因素过多,评价周期过长,不利于在有限时间内了解软件产品的安全风险[4]情况.因此,本文综合考虑效率和风险分析等方面因素,提出基于Si

    信息安全研究 2018年11期2018-11-15

  • 实现系统全量漏洞核查
    设备系统漏洞是导致系统风险、网络攻击等安全事件频繁发生的重要原因,目前企业IT系统主要以传统的漏洞检查工具对系统漏洞进行检查,而传统的漏洞检查工具采用远程方式发现漏洞,在发现的准确性、及时性和安全性上有较大隐患,而且错报、误报和影响业务正常运行的现象普遍存在,本文采用智能漏洞分析算法核查设备全量漏洞,实现了漏洞检测从“扫描”到“检查”质的飞跃,在漏洞发现的准确性、发现速度的及时性上都有巨大提升。本文研究的全量漏洞核查方法架构流程如图1所示,采用类搜索引擎的

    网络安全和信息化 2018年6期2018-11-07

  • Windows 10被曝新零日漏洞涉及3大版本
    曝出一个新的零日漏洞,该漏洞出现在Windows的数据共享服务(Data Sharing Service)中,提供应用程序之间的数据代理服务。该漏洞影响涉及Windows 10、Windows Server 2016和Windows Server 2019三大版本。据悉,发现此漏洞的就是曾在2018年8月曝过微软零日漏洞的安全研究人员SandboxEscaper,其还在GitHub上公布了概念性验证攻击程序。SandboxEscaper表示,骇客可通过此漏

    计算机与网络 2018年21期2018-09-10

  • 漏洞库现状分析及质量评价*
    程序中出现了安全漏洞,并被攻击者发现利用,对漏洞信息的研究越来越被人们重视。安全漏洞是网络安全攻击事件的核心所在,其对国家和社会带来的危害与日俱增。图1给出了国家信息安全漏洞共享平台CNVD统计的近10年新增安全漏洞数量和新增高危漏洞的变化趋势。从图1可以看出,在过去的2016年,全年新增漏洞数量增长近50%,漏洞数量增加意味着更多从业者在关注安全漏洞,关注安全产业;自2008年以来,高危漏洞数量无论是在数量还是所占比例上都呈现下降趋势,但在近两年出现了较

    信息通信技术与政策 2018年2期2018-03-22

  • 一种基于静态分析的漏洞分类方案
    种基于静态分析的漏洞分类方案◆刘嘉熹(云南大学软件学院 云南 650500)本文通过对漏洞挖掘技术的发展现状进行分析和研究,在对大量简单程序进行漏洞分析和对前人提出的漏洞挖掘软件的学习基础上,提出了一种通过IDA反汇编,进行静态分析的漏洞分类方案。漏洞挖掘;分类;静态分析;IDA0 引言在信息技术发展的历史上,漏洞一直是难以逃避的话题。随着互联网的普及,在越来越多的人接触到计算机科学技术的同时,基于现代操作系统的技术也使漏洞对于用户的影响变得越来越大。当系

    网络安全技术与应用 2018年8期2018-03-07

  • 健全我国网络安全漏洞管控机制
    月,白宫发布了《漏洞平衡策略》,规范了美国政府的零日漏洞发布流程。2018年5月,美众议院外交事务委员会提出“Hack Your State Department”法案,建议国务院建立漏洞赏金计划,引导联邦机构接受已在私营部门普遍实行的漏洞赏金活动。美国政府的漏洞挖掘、披露等行为日益规范化、常态化。与之相对,我国网络安全漏洞管控机制尚不健全,战略性零日漏洞外流现象较为严重。应借鉴美国经验,研究建立符合我国实际的网络安全漏洞管控机制。加强漏洞挖掘领域的法律规

    网络安全和信息化 2018年12期2018-03-03

  • 漏洞类型聚类的层次化漏洞修复模型*
    引言基于主机发现漏洞的最终目的是采用补丁修复方式对各类漏洞进行修复,以消除网络系统中的潜在威胁。只有修复真正威胁到系统的漏洞,合理地安装补丁才可以消除潜在威胁。如果发现系统漏洞而不及时给漏洞打补丁或者只是简单地选择修复高危漏洞,将导致漏洞的安全问题长期存在,因此选择合适的漏洞修复策略非常关键。传统的漏洞优先修复方案主要是使用基于通用漏洞评分系统(common vulnerability scoring system,CVSS)[1]评分推荐的优先修复策略。

    计算机与生活 2018年2期2018-02-05

  • QQ浏览器成黑客攻击帮手
    漏洞名称:“WormBrowser”漏洞漏洞危害:QQ浏览器是一款免费的网页浏览器,它包括电脑端和手机端等多个版本。最近在它的Android版本里面,发现存在一个名为“WormBrowser”的漏洞。这个漏洞主要是由于该应用在运行后,会在移动设备里面开放一个端口用于文件传输服务,而且未经用户授权即允许同一局域网下的其他设备连接到这个端口。黑客可以通过该端口利用该漏洞在设备中执行命令,强制进行上传数据、启动或安装应用,以及在ROOT的设备上静默安装应用等操作

    电脑爱好者 2016年22期2016-12-16

  • 从Windows 95就开始的超级漏洞
    漏洞危害:最近微软发布了一个高危漏洞的补丁,该漏洞是目前Windows历史上影响最广泛的漏洞,从Windows 95到Windows 10的操作系统都会受到影响。该漏洞主要是一系列各自单独设计的协议和特性协同工作导致的,所以说漏洞原因出在最原始的设计上面。正因为如此这个漏洞的利用变得非常简单,用户只需要打开一个网页链接,或者打开任意一种Office文件、PDF文件或者某些其他格式的文件,黑客都可以完成这个高危漏洞的利用操作。最终的结果就是,黑客可以轻松地劫

    电脑爱好者 2016年15期2016-08-30

  • 一种XSS漏洞检测方法的设计与实现
    4)一种XSS漏洞检测方法的设计与实现左丹丹王 丹付利华(北京工业大学计算机学院北京 100124)摘要跨站脚本(XSS)漏洞是近年来较为流行的一种漏洞,随着Ajax技术的广泛应用,其危害性及快速的传播能力也越来越强。现有的漏洞检测技术没有充分对该类漏洞漏洞注入点进行研究,使用的漏洞检测技术也没有充分考虑测试请求后响应的页面,导致漏洞检测率相对较低。针对现有漏洞检测技术的不足之处,加强对隐含页面的DOM结构分析,提出基于DOM状态改变的方式查找漏洞注入

    计算机应用与软件 2016年7期2016-08-05

  • Windows系统WebDAV提权漏洞
    漏洞名称:WebDAV提权漏洞漏洞危害:WebDAV是一种基于HTTP 1.1协议的通信协议,从Windows 2000系统以及软件就开始支持该协议。但是由于WebDAV客户端的验证输入不当,造成其中会存在一个特权提升漏洞,成功利用此漏洞的黑客可以使用提升的特权执行任意代码。不过黑客要想利用这个漏洞的话,首先必须登录到Windows系统,然后黑客可以运行一个利用此漏洞的黑客攻击软件,最终成功控制受影响的操作系统。由于黑客已经获取到了系统的最高控制权限,就可

    电脑爱好者 2016年8期2016-04-28

  • 不得不说的安全漏洞
    宇不得不说的安全漏洞文/姜开达 孙强 章思宇关于安全漏洞,你需要知道的那些事……对于计算机和互联网来说,安全漏洞是挥之不去的幽灵。去年4月份的心脏出血(Heartbleed)漏洞和Bash漏洞引发了互联网的剧烈震荡,Apache Struts2系列漏洞频发让无数Java应用系统躺着中枪,各类网站CMS和论坛漏洞引发的诸多拖库事件让互联网用户隐私无所遁形。安全漏洞分类安全漏洞是在软件、硬件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未充

    中国教育网络 2015年7期2015-12-22

  • 互联网企业理应重视安全漏洞
    企业理应重视安全漏洞|文/童斐一般来说大厂由于有相关的安全人员,在衡量漏洞危险等级方面应该还是挺专业的。可搜狗安全应急响应中心建立后不久,乌云上漏洞的Rank值突然降低到了0-5分的水平,而在建立之前,则一直浮动在5-10之间。对于互联网安全漏洞,目前中国企业都越来越重视。各大企业都纷纷建立了各种SRC(漏洞报告平台),从各个安全研究者手里“收购”各类安全漏洞。拿腾讯来举例子,并以第三方互联网漏洞平台乌云上的数据来做一些说明。乌云上腾讯的漏洞数量为1393

    消费者报道 2015年7期2015-12-05

  • 绕过苹果设备锁屏访问通讯录和图片
    漏洞危害:苹果公司不久以前刚刚发布了全新的iOS 9系统,可是有人发现只需要简单的几步操作,就可以绕过iOS 9的锁屏安全机制,从而就可以在很短的时间内访问设备中的照片和联系人。其关键的操作,是通过在输入错误密码时调出Siri,再通过Siri中的一些操作漏洞查看到相册中的所有图片。防范措施:这个漏洞看上去和很多年前Windows系统的输入法漏洞非常相似。要想防范这个漏洞,只需要在设置窗口中找到“锁定时允许访问”项,将其中的Siri选项关闭就可以了。当然及时

    电脑爱好者 2015年21期2015-09-10

  • XP停止服务后首个重大漏洞来袭
    览器出现一处高危漏洞,黑客可利用漏洞远程攻击用户电脑,进而删除或盗取受害用户数据。微软官方表态正在修复此漏洞,但Windows XP用户无法获得补丁更新,继续使用IE6-IE8浏览器的XP用户将面临严重风险。这是微软停止对XP支持后首个重大漏洞,安全软件正迎来第一次大考。危险的0day漏洞来了美国安全机构FireEye最早发现了该漏洞,微软稍后对此给予证实,称该漏洞影响IE 6至IE 11的所有版本IE浏览器。调研公司NetMarketShare数据显示,

    中国信息化周报 2014年17期2014-07-16

  • 基于W ooYun的视听新媒体网站漏洞统计分析
    的视听新媒体网站漏洞统计分析何晶(广播科学研究院互联网技术研究所,北京 100866)漏洞库是重要的信息安全基础设施,上面保存了大量网站信息安全风险样本。视听网站作为重要的信息发布平台,其信息安全性应受到极大的重视。通过对视听网站在乌云漏洞库(WooYun)中的漏洞信息进行统计分析,从漏洞数量、提交时间、危害等级和漏洞类型等方面进行多角度分析,发现其中一些共性的特点和问题,为我国视听领域的信息安全发展提供建议和参考。视听网站;漏洞库;统计分析;乌云漏洞库近

    电视技术 2014年16期2014-07-02

  • 漏洞一响,黄金万两
    ,给互联网公司找漏洞的黑客。比如说巴勒斯坦小伙子卡利尔,就靠给Facebook挑刺儿大赚了一笔。这位胖乎乎的巴勒斯坦程序员前段时间失业了,每天闲着无事在Facebook上乱逛,结果就撞上了网站漏洞。他给技术人员写了几次信,都没人搭理。没办法,他只好跑到Facebook老总马克·扎克伯格的主页上,利用自己发现的漏洞“黑”了他的网页留言说:“亲爱的扎克伯格,抱歉黑掉了你的页面,可是我没别的办法,我只是想告诉你们,我发现了一个漏洞。”别觉得卡利尔是在大惊小怪,这

    意林 2013年19期2013-05-14

  • 微软发布“Fix it”解决Office新漏洞
    fice一项重大漏洞,通过携带病毒的Word文档攻击消费者的电脑,为此,微软近日紧急发布了一个软件级补丁“Fix It”,作为临时补救措施。微软公司表示本次遭受攻击的用户主要集中在中东和南亚地区,但是受影响的用户数量非常有限,但是该公司并没有明确表示究竟有多少用户遭受到了攻击。微软表示,本次遭受攻击的目前 主 要 是 装 有 Office 2003、Office 2007以及在Windows XP及Server 2003下运行Office 2010的计算机

    计算机与网络 2013年21期2013-04-16

  • Websense关注IE漏洞
    浏览器上新的零日漏洞(CVE-2012-4792),Websense也在第一时间对该漏洞进行了分析。Websense的威胁搜索网络(ThreatSeeker Network)已经检测到该漏洞的应用实例,不出安全专家所料,它已被应用到可公开使用的Metasploit模型上,犯罪分子可能将它进行更广泛地利用,持续威胁人们的网络安全。Websense的客户在Websense ACE(高级分类引擎)的保护下,可以免受该威胁。

    数字通信世界 2013年1期2013-04-08

  • “乌云高校版”敦促漏洞修复
    生重大安全事件。漏洞多涉及高校二级网站近期,国内一个著名的安全漏洞共享平台成立了专门针对高校的漏洞发布平台——乌云高校版(http://edu.wooyun.org),用于发布与高校有关的安全漏洞。根据该平台的发布规则,这些漏洞在平台上发布之初会给相关学校一个漏洞确认及修复期(大约30天),也就是在前30天内漏洞的具体细节信息仅会提供给与漏洞有关的学校,而不会对外公布,直到该学校确认已经修补了该漏洞或是忽略该漏洞(超过30天无人应答该漏洞就默认为忽略),这

    中国教育网络 2012年10期2012-08-29

  • 信息安全漏洞全生命周期管理
    00032)1 漏洞漏洞,在维基百科中又称为计算机安全隐患,指计算机系统安全方面的缺陷,使得系统或其应用数据的保密性、完整性、可用性、访问控制、监测机制等面临威胁。漏洞难以避免,一个系统自发布之日起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补,或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时,也可能会引入一些新的漏洞和错误。因而随着时间的推移,旧的漏洞会不断消失

    电信工程技术与标准化 2012年12期2012-06-09

  • 视频、Office漏洞相继爆发
    存在一个严重安全漏洞,并已遭到黑客的攻击。这是微软继7月7日发现视频漏洞以来,一周内连续两次发布紧急通告。如此高频率的0day漏洞爆发,使7月成为最具威胁的“漏洞”月。而据国内安全企业统计,截至7月15日,Office漏洞被曝光以来,已导致1600多万人次遭到“挂马”攻击,而一周前开始爆发的微软MPEG-2视频漏洞攻击目前仍在持续爆发中。目前这两大微软高危漏洞已导致近7000万人次遭攻击,超过2.8万家网站被先后“挂马”。

    计算机世界 2009年27期2009-07-30

  • 教你安全专家常用的漏洞分析方法
    漏洞分析是指在代码中迅速定位漏洞。弄清攻击原理,准确地估计潜在的漏洞利用方式和风险等级的过程。扎实的漏洞利用技术是进行漏洞分析的基础,否则很可能将不可利用的bug判断成漏洞,或者将可以允许远程控制的高危漏洞误判成D.O.S型的中级漏洞。一般情况下,漏洞发现者需要向安全专家提供一段能够重现漏洞的代码。这段代码被称为POC(Proof of Concept)。POC可以是很多种形式,只要能够触发漏洞就行。例如,它可能是一个能够引起程序崩溃的畸形文件。也可能是一

    网络与信息 2009年8期2009-05-10