十大安全漏洞

十大安全漏洞，是根据安全书籍摘录整理而来，供大家参考。

1，弱口令：弱的、易于被猜中的或重复使用的口令，都会对信息安全造成安全隐患，损害信息系统的安全。不要令测试账户拥有的口令强度弱且没有几乎没有有效监控。不要在系统或互联网站点，使用重复相同的安全口令。

2，软件补丁更新：没有打过安全补丁、过时的、有漏洞的或仍处于默认配置状态的软件。大多数漏洞都可以通过及时打上安全补丁和测试予以避免。

3，远程访问点：无安全措施或无监控的远程访问点，等于为企业网络被随意访问打开了一条“捷径”。最大的隐患是公司前雇员的账号没有关闭。

4，信息泄漏：信息泄漏使攻击者可以了解有关操作系统和应用程序的版本、用户、组、共享以及DNS的信息。使用诸如百度、谷歌、Facebook、校园网、QQ、微信诸如此类工具，可以为攻击者提供巨量的信息。

5，非必要的服务：运行不必要的服务（诸如：FTP、DNS、RPC等）的主机，为攻击者提供了更大的攻击面。

6，配置不当的防火墙：防火墙规则可能变得非常复杂，或许可能引发彼此互相冲突。常常增加的测试规则，或紧急情况时打上的补丁后来忘记删除，从而防火墙规则可能允许攻击者访问DMZ或内部网络。

7，配置不当的互联网服务器：互联网服务器配置不当，尤其是跨站脚本和SQL注入漏洞的网页服务器，更可能严重损害内部整个网络安全。

8，不充分的日志记录：由于互联网网关及主机的监控不足，攻击者有机会在你的网络环境中肆意妄为。所以必须考虑监控外流的通信流量，以便检测出网络中是否潜伏有高级和持久的“破或者”（黑客）。

9，过度宽松的文件和目录访问控制：Windows和UNIX内部的文件共享只有少量或者几乎没有访问控制，这样就让攻击者可以在网络中自由地导出乱窜，悄悄偷走最敏感的数据。

10，缺乏记录成册的安全策略：任意的或未记录成册的安全控制使得在系统或网络中执行不一致的安全标准，必然导致系统被攻破。

……往期也精彩……

河南省鼎信信息安全等级测评有限公司是经由河南省公安厅推荐、报公安部批准、授权的第三方信息安全等级测评机构，专业提供信息安全等级测评、信息安全风险评估、信息安全体系建设咨询、信息系统安全监理、渗透测试及信息安全培训等服务。

河南省鼎信信息安全等级测评有限公司
地址：郑州市金水区东风路与花园路交叉口向西200米路南世玺中心4号楼502-503室
电话： 0371-55958679/80/81   

传真：0371-55958680 

原文始发于微信公众号（鼎信安全）：十大安全漏洞