利用应用软件漏洞 安全安全的新途径

利用应用软件漏洞 安全安全的新途径 安全安全大多会利用系统漏洞，这已经为大家所熟悉，正因为如此，安全查杀产品以及管理人员的防护精力也都集中到这一点上，但是，新的趋势显示，安全传播开始大量利用一些通用的应用软件漏洞，如即时通信软件等，并由此威胁用户系统和网上交易的安全。

　　举例来说，近来出现的“安全代理”变种就是一个典型的例子，该安全最大的特点就是利用国内某知名即时通信软件漏洞进行疯狂传播，盗取包括网络游戏、网络银行帐号密码等私密信息，与此同时，安全作者还利用这一漏洞不断更新代码，从而造成更大范围的破坏。

　　该安全之所以频频得手，并不是安全技术本身有了很大得变化，很重要一点就是该安全不再通过常用的MS060-14、MS07-17和MS07-004等系统漏洞进行“挂马”，而是着眼于流行的即时通信这类的应用软件漏洞，而很多用户往往只是注意修补系统漏洞，而对于应用软件的升级和漏洞修补往往疏于防护。实际上，这也是今天网络安全领域广泛面临的一个问题。在过去的几年中，虽然我们的软件编写和测试技术更加成熟，开发人员也更加注意安全问题，但被发现和公布的关键漏洞仍然呈直线上升，其中很要的原因，就是应用程序正以前所未有的速度复杂化和多样化，与此同时，漏洞安全的手段也不断翻新。

　　仅从Web应用程序遭受的安全来看，过去主要就是SQL 注入、跨站脚本(XSS)类安全，而现在像文件漏洞隐藏、HTTP 响应拆解、会话窃取、过期页面绕行访问、XML注入等新的安全方式不断增多。所以，虽然我们常见的一些漏洞如内存安全等已经受到遏制，但新增的应用程序给安全带来了新安全途径，我们的注意力和警惕性也应该尽早转换过来。