的是Web 应用的安全。IE或IIS 的漏洞,以及Web 应用的瑕庇,可以导致电子商务网站交易信息被任意存取。例如,信息隐码攻击(SQL injection )就是可以在输入任意字串的Web 应用中搞鬼,一旦不幸中标,就可让有心人士存取该网站服务器甚至数据库。
漏洞安全日益严重。2004年上半,赛门铁克报告有1237个新漏洞,平均每周有48新漏洞被发现。其中96% 是属于中度到高度风险,其中有 46% 被列为高度风险。而在所有漏洞中,超过一半不用撰写程序就可以发动攻击。前述的Web 应用漏洞,也从去年下半占总漏洞数量的31% 提升为38.7%。
另一个骇人的趋势是,漏洞公诸于世到该漏洞的相关攻击,时间差平均只差5.8 天,比前半年的报告天数(7 天)又更为缩短。这显示黑客撰写攻击源代码的速度不断加快,相对地,一个未加修补的漏洞的风险又更高。
恶意程序也升级?2004上半年赛门铁克的报告中,显示有4 ,496 个新发现的Win32 毒虫。相较之下,2003上、下半年发现了994 个及1, 702 个Win32 毒虫。Win 32毒虫只会攻击Windows NT、2000及XP以上的操作系统;而Windows 95、98则是16位的操作系统。MyDoom和 Netsky 是2004上半年爆发的蠕虫之中,最重大也最受注意的页码:[1] [2] [3] [4] [5] [6] 第2页、共6页 |
