計算機中軟體漏洞有哪些

『壹』 軟體故障有哪些

發生原因：1.軟體不兼容：有些軟體在運行時與其它軟體發生沖突，相互不能兼容。如果這兩個軟體同時運行，可能會中止系統的運行，嚴重的將會使系統崩潰。比較典型的例子是系統中存在多個殺毒軟體，如果同時運行很容易造成電腦死機。
2.非法操作：非法操作是由用戶操作不當造成，如缺載軟體時不使用缺載程序，而直接將程序所在的文件夾刪除，這樣不僅不能完全缺載該程序，反而會給系統留下大量的垃圾文件，成為系統故障隱患。
3.誤操作：誤操作是指用戶在使用電腦時，無意中刪除了系統文件或執行了格式化命令。這樣會導致硬碟中重要的數據丟失，甚至不能啟動電腦。
4.病毒的破壞：有的電腦病毒會感染硬碟中的文件，使某程序不能正常運行；有的病毒會破壞系統文件，造成系統不能正常啟動；還有的病毒會破壞電腦的硬體，使用戶蒙受更大的損失。
排除方法：
1.注意提示：軟體發生故障時，系統一般都會給出錯誤提示，仔細閱讀並根據提示來排除故障常常可以事半功倍。
2.重新安裝應用程序：如果在使用應用程序時出錯，可將這個程序完全缺載後重新安裝，通常情況下，重新安裝可解決很多程序出錯引起的故障。同樣，重新安裝驅動程序也可修復電腦部件因驅動程序出錯而發生的故障。
3.利用殺毒軟體：一些版本低的程序存在漏洞（特別是操作系統），容易在運行時出錯。因此，如果一個程序在運行中頻繁出錯，可通過升級該程序的版本來解決。
4.尋找丟失的文件：如果系統提示某個系統文件找不到了，可以從操作系統的安裝光碟或使用正確的電腦中提取原始文件到相應的系統文件夾中。

『貳』 Web應用常見的安全漏洞有哪些

Web應用常見的安全漏洞：

1、SQL注入

注入是一個安全漏洞，允許攻擊者通過操縱用戶提供的數據來更改後端SQL語句。當用戶輸入作為命令或查詢的一部分被發送到解釋器並且欺騙解釋器執行非預期的命令並且允許訪問未授權的數據時，發生注入。

2、跨站腳本攻擊 （XSS）

XSS漏洞針對嵌入在客戶端（即用戶瀏覽器而不是伺服器端）的頁面中嵌入的腳本。當應用程序獲取不受信任的數據並將其發送到Web瀏覽器而未經適當驗證時，可能會出現這些缺陷。

3、跨站點請求偽造

CSRF攻擊是指惡意網站，電子郵件或程序導致用戶的瀏覽器在用戶當前已對其進行身份驗證的受信任站點上執行不需要的操作時發生的攻擊。

4、無法限制URL訪問

Web應用程序在呈現受保護的鏈接和按鈕之前檢查URL訪問許可權 每次訪問這些頁面時，應用程序都需要執行類似的訪問控制檢查。通過智能猜測，攻擊者可以訪問許可權頁面。攻擊者可以訪問敏感頁面，調用函數和查看機密信息。

5、不安全的加密存儲

不安全的加密存儲是一種常見的漏洞，在敏感數據未安全存儲時存在。用戶憑據，配置文件信息，健康詳細信息，信用卡信息等屬於網站上的敏感數據信息。

(2)計算機中軟體漏洞有哪些擴展閱讀

web應用漏洞發生的市場背景：

由於Web伺服器提供了幾種不同的方式將請求轉發給應用伺服器，並將修改過的或新的網頁發回給最終用戶，這使得非法闖入網路變得更加容易。

許多程序員不知道如何開發安全的應用程序。他們的經驗也許是開發獨立應用程序或Intranet Web應用程序，這些應用程序沒有考慮到在安全缺陷被利用時可能會出現災難性後果。

許多Web應用程序容易受到通過伺服器、應用程序和內部已開發的代碼進行的攻擊。這些攻擊行動直接通過了周邊防火牆安全措施，因為埠80或443（SSL，安全套接字協議層）必須開放，以便讓應用程序正常運行。

『叄』 系統漏洞.安全漏洞.軟體漏洞分別是什麼

系統漏洞
開放分類： 操作系統、計算機安全、補丁

系統漏洞是指應用軟體或操作系統軟體在邏輯設計上的缺陷或在編寫時產生的錯誤，這個缺陷或錯誤可以被不法者或者電腦黑客利用，通過植入木馬、病毒等方式來攻擊或控制整個電腦，從而竊取您電腦中的重要資料和信息，甚至破壞您的系統。

Windows XP默認啟動的UPNP服務存在嚴重安全漏洞。UPNP(Universal Plug and Play)體系面向無線設備、PC機和智能應用，提供普遍的對等網路連接，在家用信息設備、辦公用網路設備間提供TCP/IP連接和Web訪問功能，該服務可用於檢測和集成 UPNP 硬體。
UPNP 協議存在安全漏洞，使攻擊者可非法獲取任何 Windows XP 的系統級訪問、進行攻擊，還可通過控制多台 XP 機器發起分布式的攻擊。
對策
(1)建議禁用UPNP服務。
(2)下載補丁程序，網址如下所述：http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-059.asp
2.升級程序漏洞
漏洞描述
如將Windows XP升級至Windows XP Pro，IE 6.0即會重新安裝，以前的補丁程序將被全部清除。
解釋
Windows XP的升級程序不僅會刪除IE的補丁文件，還會導致微軟的升級伺服器無法正確識別IE是否存在缺陷，即Windows XP Pro系統存在兩個潛在威脅，如下所述:
(1)某些網頁或HTML郵件的腳本可自動調用Windows的程序。
(2)可通過IE漏洞窺視用戶的計算機文件。
對策
如IE瀏覽器未下載升級補丁可至微軟網站下載最新補丁程序。

3.幫助和支持中心漏洞
漏洞描述
刪除用戶系統的文件。
解釋
幫助和支持中心提供集成工具，用戶通過該工具獲取針對各種主題的幫助和支持。在目前版本的 Windows XP 幫助和支持中心存在漏洞，該漏洞使攻擊者可跳過特殊的網頁(在打開該網頁時，調用錯誤的函數，並將存在的文件或文件夾的名字作為參數傳送)來使上傳文件或文件夾的操作失敗，隨後該網頁可在網站上公布，以攻擊訪問該網站的用戶或被作為 郵件傳播來攻擊。
該漏洞除使攻擊者可刪除文件外，不會賦予其他權利，攻擊者既無法獲取系統管理員的許可權，也無法讀取或修改文件。
對策
安裝 Windows XP的Service pack 1。

4.壓縮文件夾漏洞
漏洞描述
Windows XP 壓縮文件夾可按攻擊者的選擇運行代碼。
解釋
在安裝「Plus！」包的Windows XP系統中，「壓縮文件夾」功能允許將Zip文件作為普通文件夾處理。「壓縮文件夾」功能存在兩個漏洞，如下所述：
(1)在解壓縮Zip文件時會有未經檢查的緩沖存在於程序中以存放被解壓文件，因此很可能導致瀏覽器崩潰或攻擊者的代碼被運行。
(2)解壓縮功能在非用戶指定目錄中放置文件，可使攻擊者在用戶系統的已知位置中放置文件。
建議
不接收不信任的郵件附件，也不下載不信任的文件。

5.服務拒絕漏洞
漏洞描述
服務拒絕。
解釋
Windows XP支持點對點的協議(PPTP)，是作為遠程訪問服務實現的虛擬專用網技術，由於在控制用於建立、維護和拆開 PPTP 連接的代碼段中存在未經檢查的緩存，導致Windows XP 的實現中存在漏洞。通過向一台存在該漏洞的伺服器發送不正確的 PPTP 控制數據，攻擊者可損壞核心內存並導致系統失效，中斷所有系統中正在運行的進程。
該漏洞可攻擊任何一台提供 PPTP 服務的伺服器，對於 PPTP 客戶端的工作站，攻擊者只需激活PPTP會話即可進行攻擊。對任何遭到攻擊的系統，可通過重啟來恢復正常操作。
對策
建議不默認啟動PPTP。

6.Windows Media Player漏洞
漏洞描述
可能導致用戶信息的泄漏；腳本調用；緩存路徑泄漏。
解釋
Windows Media Player漏洞主要產生兩個問題：一是信息泄漏漏洞，它給攻擊者提供了一種可在用戶系統上運行代碼的方法，微軟對其定義的嚴重級別為「嚴重」。二是腳本執行漏洞，當用戶選擇播放一個特殊的媒體文件，接著又瀏覽一個特殊建造的網頁後，攻擊者就可利用該漏洞運行腳本。由於該漏洞有特別的時序要求，因此利用該漏洞進行攻擊相對就比較困難，它的嚴重級別也就比較低。
對策
Windows Media Player的信息泄漏漏洞不會影響在本地機器上打開的媒體文件。因此，建議將要播放的文件先下載到本地再播放，即可不受利用此漏洞進行的攻擊。腳本執行漏洞僅有完全按下面的順序進行一系列操作，攻擊者才可能利用該漏洞進行一次成功攻擊，否則，攻擊將不會成功。具體的操作如下：用戶必須播放位於攻擊者那邊的一個特殊的媒體文件；播放該特殊文件後，該用戶必須關閉Windows Media Player而不再播放其他文件；用戶必須接著瀏覽一個由攻擊者構建的網頁。因此，只需用戶不按照該順序進行操作，即可不受攻擊。

7.RDP漏洞
漏洞描述
信息泄露並拒絕服務。
解釋
Windows 操作系統通過RDP(Remote Data Protocol)為客戶端提供遠程終端會話。RDP 協議將終端會話的相關硬體信息傳送至遠程客戶端，其漏洞如下所述：
(1)與某些 RDP 版本的會話加密實現有關的漏洞。
所有RDP 實現均允許對RDP 會話中的數據進行加密，然而在Windows 2000和Windows XP版本中，純文本會話數據的校驗在發送前並未經過加密，竊聽並記錄 RDP 會話的攻擊者可對該校驗密碼分析攻擊並覆蓋該會話傳輸。
(2)與Windwos XP中的 RDP 實現對某些不正確的數據包處理方法有關的漏洞。
當接收這些數據包時，遠程桌面服務將會失效，同時也會導致操作系統失效。攻擊者只需向一個已受影響的系統發送這類數據包時，並不需經過系統驗證。
對策
Windows XP 默認並未啟動它的遠程桌面服務。即使遠程桌面服務啟動，只需在防火牆中屏蔽3389埠，即可避免該攻擊。

8.VM漏洞
漏洞描述
可能造成信息泄露，並執行攻擊者的代碼。
解釋
攻擊者可通過向 JDBC 類傳送無效的參數使宿主應用程序崩潰，攻擊者需在網站上擁有惡意的Java applet 並引誘用戶訪問該站點。
惡意用戶可在用戶機器上安裝任意DLL，並執行任意的本機代碼，潛在地破壞或讀取內存數據。
對策
建議經常進行相關軟體的安全更新。

9.熱鍵漏洞
漏洞描述
設置熱鍵後，由於Windows XP的自注銷功能，可使系統「假注銷」，其他用戶即可通過熱鍵調用程序。
解釋
熱鍵功能是系統提供的服務，當用戶離開計算機後，該計算機即處於未保護情況下，此時Windows XP會自動實施「自注銷」，雖然無法進了桌面，但由於熱鍵服務還未停止，仍可使用熱鍵啟動應用程序。
對策
(1)由於該漏洞被利用的前提為熱鍵可用，因此需檢查可能會帶來危害的程序和服務的熱鍵。
(2)啟動屏幕保護程序，並設置密碼。
(3)建議在離開計算機時鎖定計算機。

10.帳號快速切換漏洞
漏洞描述
Windows XP快速帳號切換功能存在問題，可被造成帳號鎖定，使所有非管理員帳號均無法登錄。
解釋
Windows XP設計了帳號快速切換功能，使用戶可快速地在不同的帳號間切換，但其設計存在問題，可被用於造成帳號鎖定，使所有非管理員帳號均無法登錄。
配合帳號鎖定功能，用戶可利用帳號快速切換功能，快速重試登錄另一個用戶名，系統則會認為判別為暴力破解，從而導致非管理員帳號鎖定。

『肆』 計算機裡面0day漏洞是什麼

計算機的0DAY漏洞，是最早的破解是專門針對軟體的漏洞，叫做WAREZ，後來才發展到游戲，音樂，影視等其他內容的。
0day中的0表示zero，現在我們已經引申了這個含義，只要是在軟體或者其他東西發布後，在最短時間內出現相關破解的，都可以叫0day。 0day是一個統稱，所有的破解都可以叫0day。
漏洞概念：
0Day的概念最早用於軟體和游戲破解，屬於非盈利性和非商業化的組織行為，其基本內涵是「即時性」。Warez被許多人誤認為是一個最大的軟體破解組織，而實際上，Warez如黑客一樣，只是一種行為。0Day也是。當時的0Day是指在正版軟體或游戲發布的當天甚至之前，發布附帶著序列號或者解密器的破解版，讓使用者可以不用付費就能長期使用。因此，雖然Warez和0Day都是反盜版的重要打擊對象，卻同時受到免費使用者和業內同行的推崇。盡管Warez和0Day的擁護者對以此而謀利的盜版商不齒，但商業利益的驅動還是將破解行為的商業化推到了高峰。而眼下的0Day，正在對信息安全產生越來越嚴重的威脅。
「0day」其實就是Warez的一種傳播形式，「0day」不是說那些破解專家不到1天就「搞定」某個軟體，而是說他在最短的時間內迅速地「解鎖」，並在網上發布。0day的真正意思是「即時發布」（盡管不是真的當天發布），大家可以把它看作是一種精神。
「0day」是一種自發的網路運動而已，「warez」是對破解的泛稱；如果有人說他屬於「0day組織」，並不是說他真的在一個叫做「0day」的破解組織里幹活，其真正涵義是他屬於某個破解組織，而這個組織經常向0day發布作品。很多人說「0day」是一個邪惡的組織，其實他們只是將自己的破解作品以「0day」的發行形式發布，分享給全世界的人。
「0day」的主要目的是交換，完全是非商業化、非盈利、志願的行為。如果有人將0day的東西拿去做成盜版光碟，那麼與0day的本意無關。
0day漏洞，是已經被發現(有可能未被公開),而官方還沒有相關補丁的漏洞。

『伍』 計算機中各種漏洞是怎麼形成的

是程序錯誤形成的。因為每次一安裝完微軟的office辦公軟體，它就是新的，對於電腦來說，但對於殺毒軟體來說，辦公軟體沒有得到更新，所以就會修復漏洞，辦公軟體的漏洞。

發展

20 世紀70年代中期，美國啟動的PA (Protection Analysis Project)和RISOS(Research in Secured Operating Systems)計劃被公認為是計算機安全研究工作的起點。1980美國密執安大學的B.Hebbard小組使用「滲透分析」方法成功地發現了系統程序中的部分漏洞。

1990年，美國伊利諾斯大學的發表了關於軟體漏洞的Marick調查報告，對軟體漏洞的形成特點做了統計分析。1993年，美國海軍研究實驗室的Landwher等人收集了不同操作系統的安全缺陷。

『陸』 電腦安檢的時候會出現軟體漏洞和系統漏洞,這兩個都說的是什麼呀怎麼分別

系統漏洞是指應用軟體（一般是指微軟系統自帶的軟體）或操作系統軟體在邏輯設計上的缺陷或在編寫時產生的錯誤，這個缺陷或錯誤可以被不法者或者電腦黑客利用，通過植入木馬、病毒等方式來攻擊或控制整個電腦，從而竊取您電腦中的重要資料和信息，甚至破壞您的系統。
軟體漏洞是軟體開發者開發軟體時的疏忽，或者是編程語言的局限性，比如c家族比java效率高但漏洞也多，電腦系統幾乎就是用c編的，所以常常要打補丁 ，軟體漏洞有時是作者日後檢查的時候發現的，然後出補丁修改；還有一些人專門找別人的漏洞以從中做些非法的事，當作者知道自己的漏洞被他人利用的時候就會想辦法補救
現在有許多第三方軟體都可以查出並修復這些漏洞，比如：360安全衛士，金山清理專家等

『柒』 web 應用的常見 漏洞有哪些

web常見的幾個漏洞
1. SQL注入
SQL注入攻擊是黑客對資料庫進行攻擊的常用手段之一。
2. XSS跨站點腳本
XSS是一種經常出現在web應用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。
3. 緩沖區溢出
緩沖區溢出漏洞是指在程序試圖將數據放到及其內存中的某一個位置的時候，因為沒有足夠的空間就會發生緩沖區溢出的現象。
4. cookies修改
即使 Cookie 被竊取，卻因 Cookie 被隨機更新，且內容無規律性，攻擊者無法加以利用。另外利用了時間戳另一大好處就是防止 Cookie 篡改或重放。
5. 上傳漏洞
這個漏洞在DVBBS6.0時代被黑客們利用的最為猖獗，利用上傳漏洞可以直接得到WEBSHELL，危害等級超級高，現在的入侵中上傳漏洞也是常見的漏洞。
6. 命令行注入
所謂的命令行輸入就是webshell 了，拿到了許可權的黑客可以肆意妄為。

『捌』 什麼和應用軟體的漏洞是電腦比較脆弱

操作系統和應用軟體的漏洞就像是電腦脆弱的後門,病毒和惡意軟體可以通過這個脆弱的後門乘虛而入。

『玖』 常見的漏洞類型有哪些

一、SQL 注入漏洞

SQL 注入攻擊（ SQL Injection ），簡稱注入攻擊、SQL 注入，被廣泛用於非法獲取網站控制權， 是發生在應用程序的資料庫層上的安全漏洞。在設計程序，忽略了對輸入字元串中夾帶的SQL 指令的檢查，被資料庫誤認為是正常的SQL 指令而運行，從而使資料庫受到攻擊，可能導致數據被竊取、更改、刪除，以及進一步導致網站被嵌入惡意代碼、被植入後門程序等危害。

通常情況下， SQL 注入的位置包括：

（1）表單提交，主要是POST 請求，也包括GET 請求；

（2）URL 參數提交，主要為GET 請求參數；

（3）Cookie 參數提交；

（4）HTTP 請求頭部的一些可修改的值，比如Referer 、User_Agent 等；

（5）一些邊緣的輸入點，比如.mp3 文件的一些文件信息等。

SQL 注入的危害不僅體現在資料庫層面上， 還有可能危及承載資料庫的操作系統；如果SQL 注入被用來掛馬，還可能用來傳播惡意軟體等，這些危害包括但不局限於：

（1）資料庫信息泄漏：資料庫中存放的用戶的隱私信息的泄露。作為數據的存儲中心，資料庫里往往保存著各類的隱私信息， SQL 注入攻擊能導致這些隱私信息透明於攻擊者。

（2）網頁篡改：通過操作資料庫對特定網頁進行篡改。

（3）網站被掛馬，傳播惡意軟體：修改資料庫一些欄位的值，嵌入網馬鏈接，進行掛馬攻擊。

（4）資料庫被惡意操作：資料庫伺服器被攻擊，資料庫的系統管理員帳戶被篡改。

（5）伺服器被遠程式控制制，被安裝後門。經由資料庫伺服器提供的操作系統支持，讓黑客得以修改或控制操作系統。

（6）破壞硬碟數據，癱瘓全系統。

解決SQL 注入問題的關鍵是對所有可能來自用戶輸入的數據進行嚴格的檢查、對資料庫配置使用最小許可權原則。通常使用的方案有：

（1 ）所有的查詢語句都使用資料庫提供的參數化查詢介面，參數化的語句使用參數而不是將用戶輸入變數嵌入到SQL 語句中。當前幾乎所有的資料庫系統都提供了參數化SQL 語句執行介面，使用此介面可以非常有效的防止SQL 注入攻擊。

（2 ）對進入資料庫的特殊字元（ '"<>&*; 等）進行轉義處理，或編碼轉換。

（3 ）確認每種數據的類型，比如數字型的數據就必須是數字，資料庫中的存儲欄位必須對應為int 型。

（4）數據長度應該嚴格規定，能在一定程度上防止比較長的SQL 注入語句無法正確執行。

（5）網站每個數據層的編碼統一，建議全部使用UTF-8 編碼，上下層編碼不一致有可能導致一些過濾模型被繞過。

（6）嚴格限制網站用戶的資料庫的操作許可權，給此用戶提供僅僅能夠滿足其工作的許可權，從而最大限度的減少注入攻擊對資料庫的危害。

（7）避免網站顯示SQL 錯誤信息，比如類型錯誤、欄位不匹配等，防止攻擊者利用這些錯誤信息進行一些判斷。

（8）在網站發布之前建議使用一些專業的SQL 注入檢測工具進行檢測，及時修補這些SQL 注入漏洞。

二、跨站腳本漏洞

跨站腳本攻擊（ Cross-site scripting ，通常簡稱為XSS）發生在客戶端，可被用於進行竊取隱私、釣魚欺騙、竊取密碼、傳播惡意代碼等攻擊。XSS 攻擊使用到的技術主要為HTML 和Javascript ，也包括VBScript和ActionScript 等。XSS 攻擊對WEB 伺服器雖無直接危害，但是它藉助網站進行傳播，使網站的使用用戶受到攻擊，導致網站用戶帳號被竊取，從而對網站也產生了較嚴重的危害。

XSS 類型包括：

（1）非持久型跨站： 即反射型跨站腳本漏洞， 是目前最普遍的跨站類型。跨站代碼一般存在於鏈接中，請求這樣的鏈接時，跨站代碼經過服務端反射回來，這類跨站的代碼不存儲到服務端（比如資料庫中）。上面章節所舉的例子就是這類情況。

（2）持久型跨站：這是危害最直接的跨站類型，跨站代碼存儲於服務端（比如資料庫中）。常見情況是某用戶在論壇發貼，如果論壇沒有過濾用戶輸入的Javascript 代碼數據，就會導致其他瀏覽此貼的用戶的瀏覽器會執行發貼人所嵌入的Javascript 代碼。

（3）DOM 跨站（DOM XSS ）：是一種發生在客戶端DOM （Document Object Model 文檔對象模型）中的跨站漏洞，很大原因是因為客戶端腳本處理邏輯導致的安全問題。

XSS 的危害包括：

（1）釣魚欺騙：最典型的就是利用目標網站的反射型跨站腳本漏洞將目標網站重定向到釣魚網站，或者注入釣魚JavaScript 以監控目標網站的表單輸入，甚至發起基於DHTML 更高級的釣魚攻擊方式。

（2 ）網站掛馬：跨站時利用IFrame 嵌入隱藏的惡意網站或者將被攻擊者定向到惡意網站上，或者彈出惡意網站窗口等方式都可以進行掛馬攻擊。

（3）身份盜用： Cookie 是用戶對於特定網站的身份驗證標志， XSS 可以盜取到用戶的Cookie ，從而利用該Cookie 盜取用戶對該網站的操作許可權。如果一個網站管理員用戶Cookie 被竊取，將會對網站引發巨大的危害。

（4）盜取網站用戶信息：當能夠竊取到用戶Cookie 從而獲取到用戶身份使，攻擊者可以獲取到用戶對網站的操作許可權，從而查看用戶隱私信息。

（5）垃圾信息發送：比如在SNS 社區中，利用XSS 漏洞借用被攻擊者的身份發送大量的垃圾信息給特定的目標群。

（6）劫持用戶Web 行為：一些高級的XSS 攻擊甚至可以劫持用戶的Web 行為，監視用戶的瀏覽歷史，發送與接收的數據等等。

（7）XSS 蠕蟲：XSS 蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網上數據、實施DDoS 攻擊等。

常用的防止XSS 技術包括：

（1）與SQL 注入防護的建議一樣，假定所有輸入都是可疑的，必須對所有輸入中的script 、iframe 等字樣進行嚴格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入介面，也包括HTTP 請求中的Cookie 中的變數， HTTP 請求頭部中的變數等。

（2 ）不僅要驗證數據的類型，還要驗證其格式、長度、范圍和內容。

（3）不要僅僅在客戶端做數據的驗證與過濾，關鍵的過濾步驟在服務端進行。

（ 4）對輸出的數據也要檢查， 資料庫里的值有可能會在一個大網站的多處都有輸出，即使在輸入做了編碼等操作，在各處的輸出點時也要進行安全檢查。

（5）在發布應用程序之前測試所有已知的威脅。

三、弱口令漏洞

弱口令(weak password) 沒有嚴格和准確的定義，通常認為容易被別人（他們有可能對你很了解）猜測到或被破解工具破解的口令均為弱口令。設置密碼通常遵循以下原則：

（1）不使用空口令或系統預設的口令，這些口令眾所周之，為典型的弱口令。

（2）口令長度不小於8 個字元。

（3）口令不應該為連續的某個字元（例如： AAAAAAAA ）或重復某些字元的組合（例如： tzf.tzf. ）。

（4）口令應該為以下四類字元的組合，大寫字母(A-Z) 、小寫字母(a-z) 、數字(0-9) 和特殊字元。每類字元至少包含一個。如果某類字元只包含一個，那麼該字元不應為首字元或尾字元。

（5）口令中不應包含本人、父母、子女和配偶的姓名和出生日期、紀念日期、登錄名、E-mail 地址等等與本人有關的信息，以及字典中的單詞。

（6）口令不應該為用數字或符號代替某些字母的單詞。

（7）口令應該易記且可以快速輸入，防止他人從你身後很容易看到你的輸入。

（8）至少90 天內更換一次口令，防止未被發現的入侵者繼續使用該口令。

四、HTTP 報頭追蹤漏洞

HTTP/1.1 （RFC2616 ）規范定義了HTTP TRACE 方法，主要是用於客戶端通過向Web 伺服器提交TRACE 請求來進行測試或獲得診斷信息。當Web 伺服器啟用TRACE 時，提交的請求頭會在伺服器響應的內容（Body ）中完整的返回，其中HTTP 頭很可能包括Session Token 、Cookies 或其它認證信息。攻擊者可以利用此漏洞來欺騙合法用戶並得到他們的私人信息。該漏洞往往與其它方式配合來進行有效攻擊，由於HTTP TRACE 請求可以通過客戶瀏覽器腳本發起（如XMLHttpRequest ），並可以通過DOM 介面來訪問，因此很容易被攻擊者利用。防禦HTTP 報頭追蹤漏洞的方法通常禁用HTTP TRACE 方法。

五、Struts2 遠程命令執行漏洞

Apache Struts 是一款建立Java web 應用程序的開放源代碼架構。Apache Struts 存在一個輸入過濾錯誤，如果遇到轉換錯誤可被利用注入和執行任意Java 代碼。網站存在遠程代碼執行漏洞的大部分原因是由於網站採用了Apache Struts Xwork 作為網站應用框架，由於該軟體存在遠程代碼執高危漏洞，導致網站面臨安全風險。CNVD 處置過諸多此類漏洞，例如：「 GPS 車載衛星定位系統」網站存在遠程命令執行漏洞(CNVD-2012-13934) ；Aspcms 留言本遠程代碼執行漏洞（ CNVD-2012-11590 ）等。

修復此類漏洞，只需到Apache 官網升級Apache Struts 到最新版本

六、框架釣魚漏洞（框架注入漏洞）

框架注入攻擊是針對Internet Explorer 5 、Internet Explorer 6 、與Internet Explorer 7 攻擊的一種。這種攻擊導致Internet Explorer 不檢查結果框架的目的網站，因而允許任意代碼像Javascript 或者VBScript 跨框架存取。這種攻擊也發生在代碼透過多框架注入，肇因於腳本並不確認來自多框架的輸入。這種其他形式的框架注入會影響所有的不確認不受信任輸入的各廠商瀏覽器和腳本。如果應用程序不要求不同的框架互相通信，就可以通過完全刪除框架名稱、使用匿名框架防止框架注入。但是，因為應用程序通常都要求框架之間相互通信，因此這種方法並不可行。因此，通常使用命名框架，但在每個會話中使用不同的框架，並且使用無法預測的名稱。一種可行的方法是在每個基本的框架名稱後附加用戶的會話令牌，如main_display 。

七、文件上傳漏洞

文件上傳漏洞通常由於網頁代碼中的文件上傳路徑變數過濾不嚴造成的，如果文件上傳功能實現代碼沒有嚴格限制用戶上傳的文件後綴以及文件類型，攻擊者可通過Web 訪問的目錄上傳任意文件，包括網站後門文件（ webshell ），進而遠程式控制制網站伺服器。因此，在開發網站及應用程序過程中，需嚴格限制和校驗上傳的文件，禁止上傳惡意代碼的文件。同時限制相關目錄的執行許可權，防範webshell 攻擊。

八、應用程序測試腳本泄露

由於測試腳本對提交的參數數據缺少充分過濾，遠程攻擊者可以利用洞以WEB 進程許可權在系統上查看任意文件內容。防禦此類漏洞通常需嚴格過濾提交的數據，有效檢測攻擊。

九、私有IP 地址泄露漏洞

IP 地址是網路用戶的重要標示，是攻擊者進行攻擊前需要了解的。獲取的方法較多，攻擊者也會因不同的網路情況採取不同的方法，如：在區域網內使用Ping 指令， Ping 對方在網路中的名稱而獲得IP；在Internet 上使用IP 版的QQ直接顯示。最有效的辦法是截獲並分析對方的網路數據包。攻擊者可以找到並直接通過軟體解析截獲後的數據包的IP 包頭信息，再根據這些信息了解具體的IP。針對最有效的「數據包分析方法」而言，就可以安裝能夠自動去掉發送數據包包頭IP 信息的一些軟體。不過使用這些軟體有些缺點， 譬如：耗費資源嚴重，降低計算機性能；訪問一些論壇或者網站時會受影響；不適合網吧用戶使用等等。現在的個人用戶採用最普及隱藏IP 的方法應該是使用代理，由於使用代理伺服器後，「轉址服務」會對發送出去的數據包有所修改，致使「數據包分析」的方法失效。一些容易泄漏用戶IP 的網路軟體(QQ 、MSN 、IE 等)都支持使用代理方式連接Internet ，特別是QQ 使用「 ezProxy 」等代理軟體連接後， IP 版的QQ 都無法顯示該IP 地址。雖然代理可以有效地隱藏用戶IP，但攻擊者亦可以繞過代理， 查找到對方的真實IP 地址，用戶在何種情況下使用何種方法隱藏IP，也要因情況而論。

十、未加密登錄請求

由於Web 配置不安全， 登陸請求把諸如用戶名和密碼等敏感欄位未加密進行傳輸， 攻擊者可以竊聽網路以劫獲這些敏感信息。建議進行例如SSH 等的加密後再傳輸。

十一、敏感信息泄露漏洞

SQL 注入、XSS、目錄遍歷、弱口令等均可導致敏感信息泄露，攻擊者可以通過漏洞獲得敏感信息。針對不同成因，防禦方式不同。

『拾』 什麼是軟體漏洞有何危害、表現形式、修補措施有哪些

軟體漏洞是指可被利用的軟體缺陷或錯誤，及時修補漏洞可大大降低被盜號木馬入侵的危險，從而保障用戶在線生活的安全。· 漏洞有什麼危害？Windows 操作系統、IE瀏覽器以及眾多常用應用軟體合計起來， 幾乎每個月里都會有新的漏洞被發現。每當一個新的漏洞被發現，不法分子會在很短的時間內惡意利用漏洞製作新的盜號木馬。微軟公司每個月會對系統漏洞製作漏洞補丁程序，用戶可以下載漏洞補丁程序修補漏洞。主流應用軟體廠商也會不定期發布應用軟體漏洞補丁程序，或提供修補漏洞的更新版本的應用軟體。如果用戶沒有及時安裝補丁程序或升級應用程序，一旦碰上利用這些漏洞的盜號木馬，用戶的計算機就會被快速入侵。 因此，用戶非常有必要及時修補漏洞和技術升級有安全更新的應用軟體。 · 漏洞有哪些形式？漏洞主要有兩種類型：系統漏洞和應用程序漏洞。系統漏洞是指操作系統（如Windows）在邏輯設計上的缺陷或錯誤，成為不法分子製作盜號木馬利用系統漏洞入侵電腦的入口。應用程序漏洞是指應用軟體（如 Office軟體，Flash軟體，播放器軟體，P2P軟體等各類常用軟體）邏輯設計的缺陷或錯誤，導致該程序本身可被利用進行攻擊，或成為攻擊和控制用戶電腦系統的通道。 · 漏洞修補的方法有哪些？無論是修補系統漏洞還是修補應用程序漏洞，基本的檢查技術都需要打開程序文件檢查該軟體的版本號等信息。用戶可通過以下方式修復漏洞：
1) 使用微軟提供的Windows Update技術，檢查安裝微軟官方發布系統補丁，各應用軟體廠商主動發布補丁或最新版本；
2) 使用安全輔助軟體修補，如QQ電腦管家、QQ軟體管理、金山毒霸、瑞星殺毒等，方便檢查計算機里相關系統文件和應用文件的版本是否最新，是否需要修補漏洞、升級版本；
3) QQ2010內置最新漏洞檢查提醒功能，能對最新的各類漏洞提醒用戶修補。