1.瀏覽器漏洞

沒有哪個供應商能對層出不窮的web瀏覽器漏洞始終保持免疫力。最近的一個例子就是IE6,7和8感染的CSSbug(CVE-2010-3962)。該bug通過兩步鎖定目標電腦：第一，用戶在攜帶惡意代碼的網頁上點擊e-mail鏈接。惡意代碼在用戶毫無察覺的情況下開始運行，然后自動在電腦中安裝木馬。用戶不需要點擊鼠標，只需要訪問網頁就會被感染。公司要想不被感染，唯一可做的就是禁止使用那些沒有及時打上補丁的瀏覽器。

2.AdobePDF閱讀器，Flash和Java中的漏洞

使用較為普遍的工具和程序，如Adobe PDF閱讀器，Flash和Java，是容易受到攻擊的高危軟件。盡管這些軟件經常出現安全漏洞，但是大多數供應商都能很快提供補丁。

不過，企業仍然要確保這些補丁被及時安裝到所有電腦上才行。IT部門或許沒有意識到補丁的重要性，或許無法安裝補丁亦或是抱怨補丁安裝不成功。無論是以上哪種情況，如果員工訪問了自動發布的帶有Flash視頻的頁面，惡意代碼就可以在后臺自動運行。

由于用戶全然不知，所以木馬可以神不知鬼不覺地潛入電腦中，從而使該電腦成為僵尸網絡的一份子。雖然針對Windows的開發并不多，例如，有大量可用的Adobe，Java和Flash。尤其是Flash和Java已經在近幾個月的時間里，成為名副其實的惡意代碼傳播者。它們為木馬提供了很好的后臺切入點，木馬可以繞過所有病毒掃描器在電腦上安營扎寨。

私人用戶最好不使用這些程序，而公司應該采用標準的流程或策略來規范其使用。為了防御借Flash發起的攻擊，公司可以使用Flash攔截器(瀏覽器插件)，從而避免視頻自動播放。

3.Web2.0應用中的漏洞

最新的Web安全漏洞出現了一些新的攻擊方法，如跨站點腳本攻擊或SQL注入。導致這些漏洞的原因通常是Ajax的部署不夠精準或部署不當。Ajax是一個在服務器和瀏覽器之間進行數據異步傳輸的方法。這類漏洞已經被利用，例如，通過黑客創建的MySpace蠕蟲。

該漏洞大約一年前就發布了，黑客可以利用漏洞很快地獲取MySpace用戶的資料。另外，最近一次在Twitter上的“onmouseover”攻擊也屬于這一類。這次攻擊比較復雜，因為攻擊發起者在網頁中嵌入了可以自行傳播，轉發的惡意代碼，代碼只有140個字符，用戶甚至不需要點擊任何圖標，只是在Twitter頁面移動鼠標就會遭受攻擊。

很少有使用該應用的用戶能夠免受其攻擊，除非在安全威脅發布的時候就立刻停止使用該服務。因此，生產商有責任來確保自己的產品是否安全，運行是否良好——或者采取預警措施，通過Web應用防火墻來保護用戶數據。

4.非智能手機和智能手機中的安全漏洞

亞洲地區有無數手機用戶，而智能手機用戶的數量也在不斷增加。單就新加坡而言，每兩個居民就擁有三臺手機。這一事實說明新的安全威脅會在這一領域不斷出現。例如，新一代蠕蟲就瞄準了智能手機。最近，有發現表明ZeuS僵尸就是專門用來攻擊手機的。在被感染瀏覽器中使用被感染的HTML表單，手機號碼就會被其獲取，然后它會將攜帶惡意代碼SymbOS/Zitmo.A!tr的信息發送給這個號碼。惡意攻擊旨在攔截并轉移銀行交易，所以它會將自己隱藏在后臺。

許多蘋果用戶希望突破SIM卡對指定網絡運營商的限制或者使用蘋果軟件平臺沒有的應用程序執行一個名為“越獄”的進程，從而不受固于原機的使用限制和訪問權限。這一進程會讓用戶有能力訪問設備操作系統的命令行。

越獄的內在風險在于它會使許多設備易受攻擊;例如，大多數用戶在執行完越獄后不會更改SSH密碼——由于蘋果默認的密碼是“alpine”，很多人都知道這一點，所以這就是潛在的危險。如果不更改密碼，那么未授權的第三方也可以輕易訪問設備。

5.操作系統中的零日漏洞

零日攻擊是指那些利用未知漏洞或暫無補丁的漏洞發起的攻擊。換言之，系統生產商是在攻擊發生時或之后才意識到這一漏洞的存在。如此一來，黑客便可以很好地利用漏洞發起攻擊。由于黑客可以通過遠程訪問染指系統，所以這類針對操作系統的攻擊特別危險。這種攻擊不需要類似瀏覽器或Java之類的工具，只要目標電腦在線就可以了。目前還沒有什么辦法可以有效防御零日攻擊，因為廠商只能被動發布補丁和應急措施只。而且，并非只有使用微軟系統的電腦才存在這一問題，使用蘋果系統的電腦也逐漸成為零日攻擊的目標。

互聯網安全漏洞的內容還不止上述五種，希望大家多多學習這方面的知識，已應對各種威脅的攻擊，避免造成損失。

【編輯推薦】

1. 漏洞檢測工具Fimap的六種用法
2. 如何應對此起彼伏的PDF漏洞利用
3. 重新審視Ipv6的漏洞掃描和滲透測試
4. 測試表明多款常用防火墻存在黑客漏洞
5. Flash再曝天窗漏洞 黑客可輕易遠程攻擊