FTP服务器漏洞
服务器租用后通过FTP上传和下载文件是目前最常用的传输文件的方法之一,特别是对于企业用户来说,公司建立一个专门的FTP服务器供给给员工,让他们通过这个服务器共享资源是最方便的措施,然而FTP也存在安全问题。
默认情况下FTP站点信息是用明文进行传输的,没有进行任何加密,即当用户登录FTP站点输入用户名和密码时,这些信息是没有加密的,非法用户可以通过 sniffter等工具将这些信息还原成本来面目。
FTP服务器是以明文方法传输数据的,其用户名和密码传输的安全性极差,信息很容易被盗,虽然FTP供给了SSL加密的功效,不过默认情况下是没有启用的,如大家常用的Serv-UFIP服务器(简称Serv-U)因此,为了保证传输的数据信息不被随便窃取,有必要启用SSL功效,进步服务器数据传输的安全性。
因此,需要设置复杂的管理员账户和密码,同时为系统安装上最新的补丁或者选择最新版Serv-U等FTP搭建工具也是必要的。
数据库服务器漏洞
数据库服务器指运行在局域网中的一台或多台服务器盘算机上的数据库管理系统软件,数据库服务器为客户利用供给服务,这些服务是査询、更新、事务管理、索引、高速缓存、査询优化、安全及多用户存取把持等。
现代数据库系统具有多种特点和性能配置方法,在应用时可能会误用,或危及数据的保密性、有效性和完整性。首先,所有现代关系型数据库系统都是“可从端口寻址的”,这意味着任何人只要有合适的査询工具,就可以与数据库直接相连,并能躲开操作系统的安全机制。例如,可以用 TCP/IP协议从1521和1526端口访问 Oracle7.3和 Oracle8数据库。多数数据库系统还有众所周知的默认账号和密码,可支撑对数据库资源的各级访问。如果这两个简略的数据相联合,很多重要的数据库系统都可能受到要挟。而且高程度的入侵者还没有结束对数据库的攻击。
对 Sybase或SQL服务器的“sa”密码造成迫害的入侵者,有可能利用“扩大入驻程序”得到基础操作系统的应用权限。以“sa”的身份登录,入侵者应用扩大入驻程序 xp-cmdshell该程序容许 Sybase或SQL服务器的用户运行系统指令,就像该用户在服务器把持台上运行指令一样。
Oracle数据库系统还具有很多有用的特点,可用于对操作系统自带文件系统的直接访问。例如在合法访问时, UTL FILE软件包容许用户向主机操作系统进行读写文件的操作。 UTL_ FILE_DIR简略变量很容易配置毛病,或被故意设置为容许 Oracle用户应用UTL_FILE软件包在文件系统的任何处所进行写入操作,这样也会对主机操作系统构成潜在的要挟。
数据库服务器在企业的网络利用中盘踞着重要地位,黑客从来都没有结束过对其进行SQL注入式攻击。
利用程序漏洞
利用程序通俗地讲就是非系统本身自带的软件(含操作系统本身和自带的利用程序)。其他包含利用类的软件均可称为第三方软件,如 Realplayer、迅雷、暴风影音等。图1为2007年利用软件漏洞利用散布图。
利用程序漏洞是指一些第三方软件,由于自身软件设计的原因,在它们供给给用户的组件上(如IE浏览器支撑组件)存在一些漏洞,而这些漏洞会被黑客以及恶意网站利用。在用户浏览网页的过程中通过漏洞下载木马病毒入侵用户系统,进行远程把持、偷盗用户的账号和密码等,从而应用户遭遇丧失。
木马制作者经常看中第三方软件漏洞这一“隐蔽”的流传渠道,如被利用的第三方 ActiveX插件漏洞,涉及迅雷、暴风影音、百度超级搜霸、 Realplayer等多款常见软件的部分版本中。
例如,暴风影音Ⅱ漏洞产生在它的一个 Activex控件上,安装了暴风影音I的用户在浏览黑客精心结构的包含恶意代码的网页后,会下载任意程序在用户系统上以当前用户权限运行。利用此漏洞,许多网站成功地进行挂马并侵入了用户盘算机中。
