`
Qschecker
  • 浏览: 8265 次
  • 性别: Icon_minigender_2
  • 来自: 香港
文章分类
社区版块
存档分类
最新评论

某安全浏览器竟然也被查出高危漏洞?

阅读更多
随着开源社区的蓬勃发展,现在很难找到一款完全不包含任何开源组件的程序。而开源组件的安全性问题却没有得到足够重视,甚至有人认为开源软件都是安全的,其实不然。

开源安全的特点:
1. 由于源代码公开,所有发现的漏洞都会被第一时间公布,因此也容易被攻击者利用
2. 开源组件的作者通常都会在发现问题后立刻修复并发布新版本,而软件的最终用户往往得不到最及时的更新。
3. 在软件开发和验收过程中,人们往往无法准确判断软件里包含哪些开源组件,是否存在严重安全隐患。

中国开源安全联盟部分的解决了这些开源漏洞的定位问题。 联盟在其官网上提供免费二进制可执行文件扫描服务。可以对exe, jar, apk, ipk, iso, bin, dll, dmg, pkg等多种二进制文件进行扫描,不仅能定位开源漏洞并提供CVE编号和修补方案,还能分析出所使用的开源组件清单,据说使用的是国际上律师事务所和知识产权海关同样的分析技术。

在2006年的LinuxWorld大会上,Linux内核维护人考克斯强调,有相当数量的资金被用来攻击开放源代码系统。他警告说,许多开放源代码项目远谈不上安全,许多资金都被用来破坏开放源代码系统的安全。媒体上经常有这样的字眼:开放源代码软件更安全、更可靠,缺陷也更少。这是一种危险的观点。

CVE 是国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表,它是一个由企业界、政府界和学术界综合参与的国际性组织,采取一种非盈利的组织形式,其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。在风险评估中最重要也是最困难的两个环节就是风险的量化,以及找到风险项后如何寻找控制措施。CVE给了我们非常好的指导去进行风险评估中的技术评估。用户完全可以参考CVE字典和相应的数据库建立自己企业的风险评估指标体系,而且所有的这些风险项都可以通过CVE索引迅速地找到相应的修补控制措施。
分享到:
评论

相关推荐

    《2024攻防演练必修高危漏洞集合》

    值得注意的是,这仅仅是对部分漏洞的介绍,完整的《2024攻防演练必修高危漏洞集合》包含更多详细的信息和建议,可以帮助企业在攻防演练中更好地保护自己的网络安全。 最后,企业应持续关注网络安全领域的最新动态,...

    网络系统安全评估及高危漏洞.rar

    网络安全是信息化社会中至关重要的一个领域,而网络系统安全评估及高危漏洞的主题则直指这一领域的核心问题。网络系统安全评估旨在识别、分析和管理潜在的风险,确保系统的稳定运行和数据的安全。高危漏洞则是这些...

    安全相关-系统安全-高危漏洞免疫工具软件 v1.0.0.1003.zip

    在IT行业中,系统安全是至关重要的领域,尤其是对于企业及个人用户来说,防范高危漏洞是保障数据安全的基础。"安全相关-系统安全-高危漏洞免疫工具软件 v1.0.0.1003.zip" 提供的是一款专为解决这一问题设计的软件,...

    2023攻防演练必修高危漏洞集合

    高危漏洞一直是企业网络安全防护的薄弱点,也成为攻防演练期间红队的重要突破口。这些高危漏洞的存在会导致企业防御体系被突破、甚至靶标失守。 三、高危漏洞防护措施 为了防止高危漏洞的存在对企业造成风险,可以...

    2023年攻防演练利器之必修高危漏洞合集(包含详细修复建议)

    企业应定期检查其资产,确保所有系统和应用程序都打上了最新的安全补丁,并实施严格的安全策略以防止高危漏洞被利用。同时,配合自动化工具和专业服务,可以显著提高安全管理水平,降低网络安全风险。

    2020年9月安全监测报告「护网期间高危漏洞使用情况」1

    【2020年9月安全监测报告「护网期间高危漏洞使用情况」1】这份报告揭示了网络安全领域在2020年9月份的关键风险。奇安信CERT(网络安全应急响应中心)在该月监测到了74027个漏洞,新增2514个,其中969条触发了人工研...

    网络系统安全评估及高危漏洞.pptx

    网络系统安全评估及高危漏洞.pptx

    从高危漏洞看电商金融安全.pdf

    高危漏洞剖析 总结 受利益驱使,金融、电商行业被更多黑客“盯上”,厂商越早地 主动客观对待安全问题,才能避免更多的损失; 建议企业更多地关心业务逻辑层面安全问题,APP/API/微信接口 问题; 有人的地方就有江湖,有...

    2020年活跃高危安全漏洞盘点.pdf

    2020年活跃高危安全漏洞盘点.pdf

    亚信安全:2024攻防演练利器之必修高危漏洞合集免费下载

    2024国家级攻防演练在即,亚信安全服务团队结合自身的“外部攻击面管理”服务能力和专业的红队能力,正式发布《2024攻防演练必修高危漏洞合集》。《2024攻防演练必修高危漏洞合集》以资产覆盖率、漏洞影响面、漏洞...

    2024HW必修高危漏洞集合-v3.0

    针对这一现状,斗象情报中心基于其强大的漏洞数据资源——漏洞盒子、情报星球社区以及Freebuf安全门户的安全资讯,整合分析后发布了《2024HW必修高危漏洞手册》。本手册旨在帮助企业提前识别并处理可能存在的高危...

    【斗象科技】2024攻防演练HW必修高危漏洞集合v1.0.pdf

    【斗象科技】2024攻防演练HW必修高危漏洞集合v1.0.pdf【斗象科技】2024攻防演练HW必修高危漏洞集合v1.0.pdf【斗象科技】2024攻防演练HW必修高危漏洞集合v1.0.pdf【斗象科技】2024攻防演练HW必修高危漏洞集合v1.0.pdf...

    关于对Apache Tomcat 文件包含高危漏洞开展安全加固的预警通报(1).doc

    Apache Tomcat 文件包含高危漏洞(CVE-2020-1938 对应 CNVD-2020-10487)是近期发现的一项高危安全漏洞,该漏洞存在于 Tomcat 服务器的 AJP 协议中,攻击者可以通过构造特定参数的方式,读取服务器 webapp 目录下...

    2024HW必修高危漏洞集合-v4.0

    这些漏洞不仅是红队在攻防演练期间的重要攻击目标,也是导致企业网络安全防线被突破的关键因素之一。为了帮助企业更好地准备即将到来的HW攻防演练,斗象情报中心基于漏洞盒子的海量数据、情报星球社区的一手情报以及...

    护网高危漏洞POC-2024护网高危漏洞POC

    最新漏洞POC,护网行动高危POC ⼀、2023HW漏洞POC、EXP(动态更新) ⽹神 SecSSL 3600安全接⼊⽹关系统 任意密码修改漏洞 ⽹神 SecGate 3600 防⽕墙 obj_app_upfile 任意⽂件上传漏洞 某达OA sql注⼊漏洞 CVE-2023-...

    struts1.3.15.1高危漏洞修复版ssh包

    在Struts 1.x版本中,存在一个名为CVE-2017-9791的安全漏洞,这是一个高危级别的远程代码执行漏洞,攻击者可以利用这个漏洞执行任意系统命令,对服务器安全构成严重威胁。SSH(Spring、Struts、Hibernate)是一种...

    2023攻防演练必修高危漏洞集合.pdf

    随着网络安全的重要性日益增强,高危漏洞的存在已成为企业网络安全防护的薄弱点。为帮助企业降低因高危漏洞而“城池失守”的风险,斗象科技漏洞情报中心发布了 HW 必修高危漏洞集合报告。本报告整合了近两年在攻防...

    建筑行业的一把手是真正的高危职业?.docx

    建筑行业的一把手是真正的高危职业?.docx

    紧急高危漏洞类型客户认可度排名.xlsx

    漏洞认可度排名情况说明,可结合漏洞信息确定防护范围和边界

    高危漏洞专查工具合集.rar

    高危漏洞则是其中危害程度极高的类型,一旦被利用,可能导致严重的系统崩溃、数据泄露或者服务中断。 系统漏洞扫描工具是专门设计用来自动化检测这些漏洞的软件。它们通过模拟攻击、枚举服务、分析网络流量等方式,...

Global site tag (gtag.js) - Google Analytics