互联网在不断发展的同时,也面临着越来越严峻的安全问题。尤其是那些鱼龙混杂的第三方软件,往往容易成为黑客们攻击的主要对象。微软的统计数据表明,2008年,在出现的所有安全漏洞里面,与操作系统相关的漏洞少于6%;与此同时,与第三方应用软件相关的漏洞占了90%到94%。产生这一问题的原因在于:大的操作系统厂商在开发的过程中,特别注重在安全性方面的表现,产品的整体安全性得到了提高。对于黑客来说,攻击操作系统变得越来越困难,于是他们就把攻击的目标转移到应用软件,因为应用软件很多是由第三方来开发的,他们优先考虑的是实现功能,而不是它的安全性,由此就产生了一些安全漏洞。为了抵御第三方软件引起的漏洞,保证软件开发过程中的安全性和可靠性,微软创立了SDL(软件安全开发生命周期)这一方法论。它一共分为10个阶段,在软件开发的每一个阶段中,从安全教育、安全设计,到安全响应,微软都将安全性植入软件开发中,有效降低了安全漏洞和隐私问题的数量,以及残留漏洞的严重性。SDL作为独立于微软Windows平台的安全方法论,同样适用于Linux等开源系统,可以满足各种平台软件开发者的安全需求。微软战略安全官裔云天告诉记者:“在微软,这一方法论的贯彻使得微软产品的安全性取得了显着的提升。“微软第七期安全研究报告显示,2009 年上半年,在所有配置中,采用全新安全内核设计的微软操作系统Windows Vista 的感染率远远低于 Windows XP 的感染率。Windows Vista SP1 的感染率比 Windows XP SP3 低 61.9%。“所以,我们现在也推荐第三方软件开发商能使用SDL这一方法论来提升软件的安全性。”裔云天说。裔云天还说:“微软想把SDL作为信息安全国际标准CC(信息技术安全评价共同标准)的一个重要部分提出来,这样它将成为一个新的行业标准。”
与第三方应用软件相关的漏洞占了90%到94%
时间: 2024-09-20 16:24:36
与第三方应用软件相关的漏洞占了90%到94%的相关文章
大批酒店开房记录因存在第三方存储和系统漏洞而被泄露
摘要: 一份被泄露的酒店开房记录正在形成一团乌云,让牵涉其中的如家.华住和锦江之星等知名连锁酒店措手不及,上周末,它们都在忙着拟写声明. 日前,国内安全漏洞监测平台乌云网发 一份被泄露的酒店开房记录正在形成一团乌云,让牵涉其中的如家.华住和锦江之星等知名连锁酒店措手不及,上周末,它们都在忙着拟写声明. 日前,国内安全漏洞监测平台乌云网发布报告称,如家.汉庭等大批酒店的开房记录因存在第三方存储和系统漏洞而被泄露.昨日,如家.华住.港中旅.锦江之星等纷纷发表声明,称不涉及泄露资料. 法律界人士
智能手机的这两大漏洞让90%用户陷入危险
中介交易 SEO诊断 淘宝客 云主机 技术大厅 [摘要]这些漏洞可令黑客远程控制手机设备,安装恶意软件.访问数据. 腾讯科技讯 8月1日,据路透社报道,安全研究人员警告称,当前智能手机存在两大管理漏洞,可能让世界20亿用户中90%的人陷入危险中,包括密码.数据被偷,手机完全被黑客控制等. 丹佛网络安全公司Accuvant的手机研究人员马修·索尔尼克(Mathew Solnik)说,一个漏洞是苹果.谷歌(微博)Android以及黑莓等智能手机制造商执行模糊的行业标准,试图控制和管理一切,从网络连接
心脏起搏器中存在巨大安全隐患 或威胁患者生命
相信大家已经无数次从好莱坞大片中看到黑客通过操纵股市来获取收益.虽然这种误解相当可笑,但必须承认的是,确实有一部分黑客希望让这样的幻想成为现实,甚至也确实存在这类能够让幻想成为现实的安全漏洞. 事实上,在关键性金融乃至其它系统当中,一部分黑客正努力还原大片中的好莱坞式阴谋并最终借此获得极为可观的回报. 心中的后门才最为可怕 这一切已经开始影响到我们的现实生活,其中一例正是圣犹达医疗公司的心脏起搏器遭遇入侵.就在上周,新闻报道称该公司对于安全隐患的不作为态度已经导致病人死亡. 去年8月,卖空企业M
第三方Mac应用软件安全问题在哪?
苹果为用户打造了一个非常棒的生态系统,而几乎所有的用户都能在 App Store 中下载到自己想要的 App .当然,如果那些 iOS App 没有经过苹果的审核批准,那么它们将无法出现在 iPhone 或者 iPad 上.所以很多人都认为,谷歌的 Android 操作系统是恶意软件的有毒地狱.苹果的 iPhone 和 iPad 则是为生活带来更多娱乐的绝佳场所. 那么 Mac App Store 又是怎么样的呢?Mac App Store 同样提供了很多 App ,但是由于苹果的应用限制, P
跨站脚本执行漏洞详解与防护_木马相关
本文主要介绍跨站脚本执行漏洞的成因,形式,危害,利用方式,隐藏技巧,解决方法和常见问题 (FAQ),由于目前介绍跨站脚本执行漏洞的资料还不是很多,而且一般也不是很详细,所以希望本文能够 比较详细的介绍该漏洞.由于时间仓促,水平有限,本文可能有不少错误,希望大家不吝赐教. 声明,请不要利用本文介绍的任何内容,代码或方法进行破坏,否则一切后果自负! [漏洞成因] 原因很简单,就是因为CGI程序没有对用户提交的变量中的HTML代码进行过滤或转换. [漏洞形式] 这里所说的形式,实际上是指CG
烽火18台系列之十五: 工控资产普查与漏洞安全检测
2010年,首个武器级的病毒发现,也是第一个在真实世界中专门针对能源基础设施的病毒,其通过攻击伊朗的铀浓缩设备,令德黑兰的核计划拖后了两年,这个病毒被命名为"震网"(Stuxnet). 2015年,一个名为"黑暗力量"(BlackEnergy)的恶意软件,在诱骗乌克兰电力公司员工运行之后,控制了电力公司的主控电脑,将其与变电站断连,让乌克兰首都基辅的部分地区和乌克兰西部的140万名居民在圣诞节前感受了恐怖的黑暗力量. 当前黑客行为愈发产业化.组织化,网络安全攻防对抗
美国智库兰德公司“0day漏洞”研究证明“囤货”没有那么可怕
3月12日讯 美国著名智库机构兰德公司(RAND,以军事为主的综合性战略研究机构)当地时间上周四发布的研究报告称,近期对超过200个"零日漏洞"进行了研究和统计分析,囤积最新发现的"零日漏洞"并没有普遍认为的那么危险,因为其它人发现这些漏洞的几率很小.这项结果颠覆了人们对漏洞披露和囤积软件漏洞的传统认知. 美国智库兰德公司"0day漏洞"研究证明"囤货"没有那么可怕 - E安全 这项研究是首个公开发布的此类研究,其目的旨在检验
漏洞披露模式的法理与价值:记乌云白帽大会圆桌论坛
前不久,一名白帽子因在第三方漏洞平台提交世纪佳缘网漏洞涉案一事,在业内引起轩然大波,各方面相关人士对事件的看法不尽相同,争议四起. 在近日举行的乌云白帽大会上,包括法律.安全.公安.互联网公司.电子取证.漏洞收集平台.白帽子.媒体等8位不同领域的专家就世纪佳缘事件涉及的相关法律问题进行了深入探讨.现将此次讨论的内容编辑整理如下: 论坛主持:安全牛主编李少鹏 论坛嘉宾: 电子取证专家--中科院软件研究所研究员,中国电子学会计算机取证专委会主任委员,公安部三局特聘专家丁丽萍; 公安网监--江苏省公安
来自微软漏洞研究与防御BLOG的SQL注入防范
自去年下半年开始,很多网站被恶意代码说困扰,攻击者在动态网页的SQL数据库中注入恶意的HTML <script>标签.这种脚本攻击行为在2008年第一季度开始加速传播,并继续影响有漏洞的Web应用 . 这些Web应用存在以下几点共性: 使用ASP作为编程代码; 使用SQL Server数据库; 应用程序代码根据URI请求字符串生成动态SQL查询(http://consoto.com/widgets.asp? widget=sprocket). 这代表了一种新的SQL注入(SQL injecti