‘壹’ 软件为什么有漏洞
问题一:什么是计算机漏洞,为什么会有漏洞呢? 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说,比如在 Intel Pentium芯片中存在的逻辑错误,在Sendmail早期版本中的编程错误,在NFS协议中认证方式上的弱点,在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用,威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。 漏洞与具体系统环境之间的关系及其时间相关特性 漏洞会影响到很大范围的软硬件设备,包括作系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。换而言之,在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。 漏洞问题是与时间紧密相关的。一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发现的漏洞也会不断被系统槐绝供应商发布的补丁软件修补,或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时,也会引入一些新的漏洞和错误。因而随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现。漏洞问题也会长期存在。 因而脱离具体的时间和具体的系统环境来讨论漏洞问题是毫无意义的。只能针对目标系统的作系统版本、其上运行的软件版本以及服务运行设置等实际环境来具体谈论其中可能存在的漏洞及其可行的解决办法。 同时应该看到,对漏洞问题的研究必须要跟踪当前最新的计算机系统及其安全问题的最新发展动态。这一点如同对计算机病毒发展问题的研究相似。如果在工作中不能保持对新技术的跟踪,就没有谈论系统安全漏洞问题的发言权,既使是以前所作的工作也会逐渐失去价值。 二、漏洞问题与不同安全级别计算机系统之间的关系 目前计算机系统安全的分级标准一般都是依据“橘皮书”中的定义。橘皮书正式名称是“受信任计算机系统评量基准”(Trusted puter System Evaluation Criteria)。橘皮书中对可信任系统的定义是这样的:一个铅敏姿由完整的硬件及软件所组成的系统,在不违反访问权限的情况下,它能同时服务于不限定个数的用户,并处理从一般机密到最高机密等不同范围的信息。 橘皮书将一个计算机系统可接受的信任程度加以分级,凡符合某些安全条件、基准规则的系统即可归类为某种安全等级。橘皮书将计算机系统的安全性能由高而低划分为A、B、C、D四大等级。其中: D级――最低保护(Minimal Protection),凡没有通过其他安全等级测试项目的系统即属于该级,如Dos,Windows个人计算机系统。 C级――自主访问控制(Discretionary Protection),该等级的安全特点在于系统的客体(如文件、目录)可由该系统主体(如系统管理员、用户、应用程序)自主定义访问权。例如:管理员可以决定系统中任意文件的权限。当前Unix、Linux、Windows NT等作系统都为此安全等级。 B级――强制访问控制(Mandatory Protection),该等级的安全特点在于由系统强制对客体进行安全保护,在该级安全系统中,每个系统客体(如文件、目录等资源)及主体(如系统管理员、用户、应用程序)都有自己的安全标签(Security Label),系统依据用户的安全等级赋予其对各个对象的访问拿知权限。 A级――可验证访问控制(Verified Protect......>> 问题二:为什么电脑每天都有漏洞? 因为所有软件设计出来都存在不同的缺陷和漏洞,之后微软针对家庭和各行业用得到的软件出台各类型的补丁,用来完善软件和修复漏洞。但是本人推荐只升级用得到的补丁,你用不到的补丁一般不需要安装,还有补丁安得越多电脑相对较慢,变慢程度取决于你电脑原始的速度。但即使安装所有补丁,该中病毒也中病毒,只是概率不同。有不明白的Q我835666822(“这非典型的问题,发自我的费府之言!”请不要复制我的答案。) 问题三:为什么程序总会有漏洞? 因为科技的发展中程序慢慢会暴露出一些缺陷,有的是因为设计思路,有的是因为设计工具,还有的可能因为算法。总之只有更好,没有最好 问题四:更新了一下软件漏洞,就这样了,怎么解决 这是更新死机了,没有更好的方法,按开关机键关机。系统打补丁的功能需要自动连网,这个功能本身也不好用,经常出错,没有更好的方法。 建议将自动更新关闭,用软件更新,自己的时间自己做主。下载超级兔子,让她帮助你下载补丁。你选择快速检测后,按安装按钮,她会自动帮助你下载安装,并且不需要重启。到目前为止,使用超级兔子打补丁全部成功(对于系统不需要安装全部补丁,因此超级兔子有快速检测(推荐)、全面检测、自定义,选择快速检测只安装对系统有严重安全漏洞的补丁打,你使用的杀毒、杀木马的软件都有这个功能)。 关闭自动更新的方法: 控制面板-Windows Update-(左边)更改设置-把重要更新下选项改为从不检查更新即可(Win78,或在这里重新设置打补丁的时候)。 这个方法也可以,请开始/运行输入gpedit.msc打开组策略,在左侧选用户配置/管理模板/Windows组件/Windows Update/在右侧选“删除使用所有Windows Update功能的访问”双击它,在打开的对话框中选择“已启用”然后按应用确定,重启电脑即可。 问题五:电脑中有系统漏洞和软件漏洞,对电脑有什么影响没有? 重要的危险漏洞是需要修复的,不修复会导致病毒入侵,一些小的漏洞就无所谓了 漏洞修复也可以使用腾讯电脑管家来修复 下载打开腾讯电脑管家,修复漏洞就可以对系统漏洞进行修复扫描了 非常便捷,而且腾讯电脑管家的漏洞全部来自微软官网,可靠安全 腾讯电脑管家还可以删除已修复的漏洞,即是说,如果你的电脑与最新的漏洞相冲突,只要在“已安装”中删除就不会有问题了。 问题六:win7系统装在360杀毒软件,为什么会有那么多漏洞?如何处理? 朋友系统安装杀毒软件与,漏洞多是两回事,系统漏洞是微软的问题,不过微软会发布修复的漏洞补丁,建议你使用360安全卫士修复一下漏洞就可以了,漏洞是谁的电脑也会有的。只要把那些高危漏洞修复了就可以了。 问题七:为什么360杀毒软件总是提醒有高危漏洞 它提醒的高危漏洞是系统的,当你看到这种提示之后,可以使用电脑管家来修复漏洞 它修复漏洞所使用的补丁是来自微软的,并且经过专业人员筛选的补丁,过滤掉了微软推送的不稳定的和用户不需要的补丁,如正版验证补丁,你可以放心的修复 问题八:APP的安全漏洞怎么检测,有什么工具可以进行检测? 目前我经常用的漏洞检测工具主要就是爱内测,因为爱内测会根据应用特性,对程序机密性会采取不同程度不同方式的检测,检测项目包括代码是否混淆,DEX、so库文件是否保护,程序签名、权限管理是否完整等;组件安全检测主要针对Activity、Broadcast Receiver、Service、WebView、Intent等是否存在漏洞,并给出针对性建议;数据安全会全面检测APP存在的数据泄漏漏洞和输出层、协议层等所有涉及数据安全的漏洞,确保APP里那些可能导致帐号泄露的漏洞被全部检测出。 问题九:迅雷软件助手,提醒有漏洞怎么办? 开启windows更新 更新呗 问题十:windows自动更新与杀毒软件更新漏洞有什么区别 您好,windows的自动更新是让您自己选择漏洞进行修复(需要一定电脑知识) 然而,杀毒软件的更新漏洞是自动帮您选择您需要的漏洞进行修复(电脑小白也可以修复) 在这里我推荐您使用腾讯电脑管家进行一键修复漏洞,步骤:电脑管家-工具箱-修复漏洞 希望我的回答能帮助到您!如有疑问请进入电脑管家企业平台!谢谢
‘贰’ 为什么网站和软件这样多的漏洞
其实所有的软件和程序,都肯定会有漏洞,不可能存在100%安全无漏洞的软件程序。同时,windows系统漏洞多这个说法可以说并不正确。而是说,使用和针对windows的人太多,所以被发现的漏洞就很多。打个比方吧,用500个人的团队来做一个软件,这500个人假如都是一样的理论水平和知识储备,然后做好后发布,分为两个不同的版本为A版和B版,但实际事实上A版和B版是完全一样的,没有任何差别。A软件发布给1000万用户来研究,B软件只发布给100万用户来研究,这1100万用户并不重复。那么A软件肯定会被找出更多的漏洞和问题,但这并不能说明什么,因为都是完全一样的软件,只不过一个人多一个人少罢了。为什么仍然有很多网站漏洞?据了解,大多数企业网站的漏洞包含OpenSSL、PHP和WordPress中的漏洞,这些漏洞主要是由于这些开源软件中存在着大量自定义组合以及缺乏测试和漏洞修复。本文中让我们看看如何从一开始以及整个开发生命周期中修复这些漏洞。很多网站的安全漏洞“很多网站(和Web应用程序)漏洞的主要原因是这些技术完全定制化开发的性质,”美国国家安全局前情报收集人员、现Masergy Communications公司主管David J. Venable表示,这样的结果会产生在很大程度上未经测试的网站和应用程序,它们没有像大多数商业软件(例如操作系统和服务器软件包)经过严格的彻底的测试。事实上,网站和网络应用程序中的漏洞要比企业其他地方的漏洞更多。这些安全漏洞包括PHP站点、第三方和自产软件中的漏洞,WordPress代码和安装以及OpenSSL、Single Sign-On及SQL和LDAP部署及技术中的漏洞。使用第三方软件的PHP网站存在固有的漏洞,因为第三方应用程序开发不受企业的掌控。Berkeley研究公司主管Joe Sremack表示:“你可以设计你的网站,以确保所有自制代码是完全安全的,但如果你需要使用第三方软件,那么你就可能引入漏洞。”WordPress是一个日益严重的问题,它有着无数的插件,需要不断的更新,这给中小型企业带来日益严重的威胁。Sremack表示:“企业想要WordPress的功能,但不幸的是,它也带来风险。”OpenSSL也面临相同的问题。随着人们不断创新该技术,这些创新带来新的漏洞,可让攻击者发现和利用。每年攻击者都会不断利用OpenSSL漏洞来作为大规模数据泄露的一部分,很多看似新的漏洞实际上是还未被发现的旧漏洞。即使编程者开发出安全的网站,他们的开发主要是基于他们已知的漏洞,而不是尚未确认的漏洞,而总是会出现新的漏洞。注入漏洞仍然很常见,攻击者已经调整了他们的攻击方法,以利用日益普及的单点登录。Sremack解释说:“单点登录在酒店里很常见,人们会使用单点登录来检查他们的账户和积分。新的LDAP注入技术会攻击漏洞,并传递参数到代码来控制其网络会话。”另一个攻击向量是本地和远程文件。Sremack称:“网站的代码可以调用本地服务器或远程公共服务器上的文件。通过使用注入技术,攻击者可以让网站显示信息,包括密码文件或者Web服务器中的用户名列表,并可以执行他们想要运行的代码。”修复网站安全漏洞Venable称:“企业必须从开发过程的最开始就坚持安全最佳做法,例如开放Web应用安全项目(OWASP)的最佳做法。”企业需要在生产前、代码变更后进行所有测试,包括应用程序评估、渗透测试以及静态分析,至少一年一次。为了实时发现和缓解攻击,企业需要对网站和网络应用程序部署WAF和IDS,并部署全天候监控小组。Sremack称:“在开发过程中,与安全团队合作来对受影响的代码和功能执行定期测试。”如果企业在更新当前的网站,应该让安全团队测试和确保新增的功能不会带来漏洞。开发团队还应该进行扫描和测试来隔离漏洞和修复漏洞。Sremack说道:“企业应该使用攻击者用来入侵网络的相同工具,例如Grabber、W3AF和Zed Attack Proxy。”虽然说,任何有着安全知识或安全工具的人都可以利用这些应用程序,基于测试的结果来发现网站漏洞,但企业需要安排专门的工作人员来做这个工作。“开发人员应该具体看看他们如何创建和维护网络会话,专门检查会话通过网站传输的输入,无论是通过网站还是输入字段,”Sremack称,“然后监测任何第三方代码中的漏洞,并查看来自供应商的漏洞利用声明。”总结网站越大,其功能和可视性越大,它也会使用更多第三方软件,同时,减少该网站中固有漏洞的过程也更加昂贵。企业必须在一天内多次监控和更新网站,以更好地抵御网络攻击者。这个过程应该包括变更管理、测试和正确的部署,以及新的专门的安全团队和指定的测试站点。网站的功能越丰富,企业越应该确保网站的安全性。现在也有很多开源免费软件工具可以帮助开发人员来了解新的漏洞和威胁。建议安装安全防护软件,如安全狗等,防护网站安全。
‘叁’ 软件有漏洞,手机有漏洞,那么究竟什么是漏洞,为什么会有漏洞,难道就有 没有漏洞的吗
所谓漏洞就是程序编制的不完善。比如一个密码门要求输入4位正确密码才能开门,结果程序员没把情况考虑全面,用户输入8位密码,门不知道该怎么办,然后就开门了。这就是漏洞的一种。电脑、手机系统都是有权限的,什么样级别的用户可以做什么样的时,如果别人利用漏洞获取了高权限,就可以远程操作你的电脑、手机,查看你的各种隐私信息。越复杂的软件就越有可能有漏洞,这个几乎无法避免。就好像再健全的制度也总有人会去钻空子一样。
声明:易商讯尊重创作版权。本文信息搜集、整理自互联网,若有来源标记错误或侵犯您的合法权益,请联系我们。我们将及时纠正并删除相关讯息,非常感谢!
