根據大名鼎鼎的SANS學會的年度安全報告的研究,微軟Office中基于Web的應用程序和安全漏洞成為互聯網用戶所面臨的最大威脅之一��。
根據SANS這個計算機培訓和安全組織的觀點�,開發人員并沒有使用安全編碼技術來創建應用程序���,這給了黑客們接觸其所連接的豐富信息數據庫的一個機會。
這份報告匯編了來自政府、安全公司和學院的安全威脅信息,本周三(11月29日)在倫敦將對它進行深入討論。
Web應用程序通過互聯網在PC機和服務器之間交換數據�,而黑客們能夠利用任何一端的漏洞來收集數據。對于網絡上在線銀行和電子商務應用程序,黑客們會使盡渾身解數來收集登錄名����、口令或信用卡數據��。
這份報告還發現了微軟Office的一些問題��。這個應用程序套件中的漏洞在2006到2007年間暴漲了300%,主要是因為Excel中發現了更多的新漏洞�。這些漏洞允許黑客構建一種危險的文檔�����,即在打開時能用惡意軟件感染計算機。
黑客們將這些惡意文檔附加在電子郵件中,并使用了社會工程技術,如附加一個具有誘惑力的文件,欺騙用戶相信這個文檔很重要或者來自某個他們認識的某個人��。
反垃圾郵件軟件和安全軟件能夠阻止這種帶有附件的電子郵件�����,不過微軟的程序和文件格式使用相當廣泛��,所以這樣做的效果微乎其微。
SANS認為,那些受騙的用戶也應受到指責�,因為它們經常很容易地就被人欺騙�,或者安裝他們不應當安裝的軟件����。
本年我們還看到間諜軟件或者秘密收集用戶計算機數據的程序猛增。Webroot,作為另外一家為SANS的報告作出貢獻的安全公司�,進一步談到��,隱藏著間諜軟件的Web站點在本年度增加了187%。
SANS說,只需花費5分鐘就可以攻擊一臺連接到互聯網的計算機。黑客們使用自動化的掃描工具來搜索未打補丁的個人電腦,進而利用其漏洞�。
SANS建議Web開發人員利用Web應用程序掃描工具來查找程序中的漏洞���。他們還應當使用安全的編碼測試工具�,實行一種滲透測試服務�,為應用程序的開發制定安全策略。
IT管理人員應該使用Web應用程序防火墻,還要維持一個積極的補丁計劃。
本篇文章來源于 安全中國-全球最大中文黑客門戶 原文鏈接:http://www.anqn.com/news/a/2007-12-04/a0990601.shtml
