他的最新文章
他的热门文章
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
2015信息安全漏洞态势报告-CNNVD.pdf 80页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
你可能关注的文档：
··········
··········
信息安全漏洞态势报告
（2015 年度）
中国信息安全测评中心
二〇一六年一月
（本页为空白页）
一、概述 1
二、2015 年信息安全漏洞基本情况3
漏洞数量年度统计分析 3
漏洞类型分布统计分析 4
漏洞危害等级分布统计分析 6
漏洞影响产品分布统计分析 8
三、2015 年重点厂商主要产品漏洞情况 18
Apple 公司主要产品漏洞数据分析 21
Oracle 公司主要产品漏洞数据分析 27
Microsoft 公司主要产品漏洞数据分析 33
Cisco 公司主要产品漏洞数据分析 38
Adobe 公司主要产品漏洞数据分析 44
Google 公司主要产品漏洞数据分析 47
四、2015 年开源软件重大漏洞情况50
GNU Glibc 基于堆的缓冲区溢出漏洞 50
Samba Smbd 代码注入漏洞 52
ISC BIND 拒绝服务漏洞 53
QEMU Floppy Disk Controller
缓冲区溢出漏洞 54
Linux Kernel 基于栈的缓冲区溢出漏洞 55
Ubuntu Overlayfs 组件提权漏洞 56
Android Stagefright 缓冲区溢出漏洞 57
Xen 权限许可和访问控制漏洞 58
Redis 未授权访问漏洞 59
4.10 Java 反序列化过程远程命令执行漏洞 60
五、2015 年信息安全漏洞管控发展情况62
美将零日漏洞技术纳入出口管控 62
漏洞相关标准体系更加完善 64
漏洞交易的市场化成为常态 68
国内厂商纷纷成立安全应急响应部门 70
六、总结与展望75
附：国家信息安全漏洞库简介76
信息安全漏洞态势报告（2015 年度）
信息安全漏洞态势报告 （2015 年度）
随着网络和信息化建设的飞速发展，社交网络、移动互联网、大数据、云计
算、物联网等新技术与新应用不断涌现，网络安全和信息安全问题已成为事关国
家安全的重大问题，成为影响经济、政治、社会等诸多领域持续发展进步的关键
受限于现有计算机系统结构、产业基础、工程方法、开发周期、安全意识、
资金人力投入等诸多因素，信息技术产品及应用系统在设计、实现、部署、运行、
维护等阶段不可避免地存在各种安全缺陷，从而直接或间接地导致各种信息安全
事件的发生。信息安全漏洞主要指在信息技术、产品及系统在需求、设计、实现、
配置、维护和使用等过程中，所产生的安全缺陷。这些缺陷被利用，就会造成对
信息产品或系统的安全损害，从而影响正常服务运行，危害信息安全。
国外政府高度重视对漏洞资源的管控，通过建立完善的国家漏洞管理体系，
将漏洞资源纳入国家管控机制。2006
年，美国政府在 ICAT
（http://icat.nist.org ）的基础上建立了美国国家漏洞库 （National
Vulnerability
Database，NVD），由国土安全部（Department of Homeland Security，DHS）
研究部署并提供建设资金，由美国国家标准与技术研究院（National Institute of
Technology，NIST）负责技术开发和运维管理。2015 年5 月，
美国商务部工业与安全局公布了“瓦森纳协定”的一份补充协定，把黑客技术放
入全球武器贸
正在加载中，请稍后...2017Windows漏洞盘点报告：Office漏洞频遭黑产利用，修复成功率仅为15%
2017年是全球漏洞攻击异常活跃的一年。5月“WannaCry”勒索病毒利用“永恒之蓝”漏洞洗劫全球150多个国家;9月和11月多个Office高危漏洞曝光，各种野外利用案例层出不穷。漏洞就像暗藏在网络空间深处的“黑天鹅”，随时对用户安全虎视眈眈。继《2017年度互联网安全报告》发布后，腾讯安全于近日再次针对漏洞形势发布《2017年Windows漏洞盘点报告》(下简称《报告》)，详尽盘点了2017年Windows漏洞情况以及典型案例，并就漏洞防护提出专业建议。与此同时，腾讯电脑管家还推出12.11全新版本，针对系统急救箱、文档守护者、漏洞修复、诈骗信息查询四大安全能力进一步升级，为用户电脑安全构建更坚固的屏障。
2017年漏洞攻击威胁加大，超九成漏洞源自Windows平台
2017年木马病毒数量整体呈现下降趋势。据《2017年度互联网安全报告》显示，腾讯电脑管家在2017年总计拦截电脑端病毒近30亿次，相较2016年同比下降36.2%;感染病毒木马的用户电脑也相应减少，2017年腾讯电脑管家共发现6.3亿台用户电脑中病毒木马，相比2016年同比下降23.2%。
尽管木马病毒形势开始好转，但漏洞攻击威胁却呈现上升势头。据《2017年度互联网安全报告》显示，2017年漏洞危害日趋严重，其中超过九成的漏洞来自于Windows平台。
Windows全年发布安全更新558个，Office漏洞修复率仅为15%
面对严峻的漏洞利用攻击形势，漏洞防护的重要性被提升到一个新高度。据《2017年Windows漏洞盘点报告》显示，2017年Windows发布安全公告数量达558个。从补丁类型上来看，Office补丁占比高达50%。这一方面是由于Office牵涉产品与版本范围较广，另一方面由于Office相关漏洞被黑产人员频繁利用，影响巨大。
同时，《报告》指出，漏洞机器分布与国内电脑的地区分布基本保持一致。东南沿海发达地区、人口大省等地区电脑拥有量较多，未修复漏洞的机器数量也更为突出。其中广东省存在Windows漏洞电脑数量最多，以13%的占比位居全国省份第一。
在未修复的Windows漏洞中，Office软件漏洞修复率是最低的，仅为15%，而Flash软件漏洞的修复率最高，达到77%。值得一提的是，11月份微软宣布停止对Office2007及以下版本的Office提供技术支持，使得Office老版本用户无法对其产品进行更新修复。对此，腾讯电脑管家针对性推出独有的“女娲石”防御技术，为漏洞利用攻击树立了坚固的技术壁垒。
报告揭示2017年度典型漏洞，腾讯电脑管家“系统急救箱”助力查杀顽固病毒
除了补丁和漏洞情况之外，《报告》还着重盘点了2017年以来Windows系统的典型漏洞，揭示了多种漏洞利用的病毒传播方式与危害。
日“WannaCry”勒索病毒利用“永恒之蓝”漏洞洗劫全球150多个国家，30多万用户文档被加密，金融、能源、医疗等众多行业受到影响;6 月 13 日，微软在其官方网站曝光了LNK文件的远程代码执行漏洞。漏洞曝光几个月后，腾讯安全捕获到的一例典型攻击样本，其利用该漏洞漏通过网络共享路径传播，用户一旦中招便会被植入挖矿程序，成为不法黑客的敛财工具;同年11月，微软Office“公式编辑器”中的漏洞被公之于众。不到一个月，腾讯安全就发现一款针对外贸行业的“商贸信“病毒，利用该漏洞，将带有恶意利用代码的Word文档伪装成采购清单、帐单等文件，通过邮件在全球外贸行业内大量传播，仅一天时间国内就有约10万多用户收到此类钓鱼邮件。
对于日益频发的漏洞利用攻击，腾讯电脑管家12.11版本“漏洞修复”功能可实时监测Windows操作系统漏洞和部分第三方软件漏洞，一旦发现异常，将第一时间为用户提供修复方案。另外，若用户不慎被病毒利用漏洞侵入，普通木马病毒通过杀毒软件就可完全清除，而顽固木马由于破坏性极大，且部分拥有防卸载、防查杀的抗清除性，通过传统查杀方式极难根除。对此，腾讯电脑管家12.11版本对“系统急救箱”功能进一步升级，能够深入系统底层，对病毒样本高危行为实现精准拦截及查杀，可彻底清除顽固木马。此外，新版本也升级了文档守护者、诈骗信息查询二大安全能力，对勒索病毒的防御能力进一步增强，也为用户甄别网络诈骗提供了更有力的工具。
《报告》建议，用户需及时修复系统环境中存在的安全漏洞，这仍是最直接有效的防范漏洞攻击方法;正常开启腾讯电脑管家等安全软件，可以有效拦截利用漏洞触发传播的病毒;日常提高安全意识，不要轻易下载不明软件程序或打开邮件中夹带的可疑附件，并及时备份重要数据文件，防范病毒入侵。
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
今日搜狐热点如何免费下载漏洞类病毒相关数据报告？_百度知道
如何免费下载漏洞类病毒相关数据报告？
我有更好的答案
这个都是有免费的可以下载的
为您推荐：
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
漏洞实验报告.doc 22页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
漏洞实验报告.doc
你可能关注的文档：
··········
··········
南京工程学院
课 程 名 称
网络与信息安全技术
院（系、部、中心）
K网络工程111
学 生 姓 名
设 计 地 点
信息楼A216
指 导 教 师
实 验 时 间
实 验 成 绩
一：实验目的
1.熟悉X-Scan工具的使用方法
2.熟悉FTPScan工具的使用方法
3.会使用工具查找主机漏洞
4.学会对弱口令的利用
5.了解开启主机默认共享以及在命令提示下开启服务的方法
6.通过实验了解如何提高主机的安全性
二：实验环境
Vmware虚拟机，网络教学系统
三：实验原理
一．漏洞扫描简介
漏洞扫描是一种网络安全扫描技术，它基于局域网或Internet远程检测目标网络或主机安全性。通过漏洞扫描，系统管理员能够发现所维护的Web服务器的各种TCP/IP端口的分配、开放的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。漏洞扫描技术采用积极的、非破坏性的办法来检验系统是否含有安全漏洞。网络安全扫描技术与防火墙、安全监控系统互相配合使用，能够为网络提供很高的安全性。
漏洞扫描分为利用漏洞库的漏洞扫描和利用模拟攻击的漏洞扫描。
利用漏洞库的漏洞扫描包括：CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描和HTTP漏洞扫描等。
利用模拟攻击的漏洞扫描包括：Unicode遍历目录漏洞探测、FTP弱口令探测、OPENRelay邮件转发漏洞探测等。
二．漏洞扫描的实现方法
（1）漏洞库匹配法
基于漏洞库的漏洞扫描，通过采用漏洞规则匹配技术完成扫描。漏洞库是通过以下途径获取的：安全专家对网络系统的测试、黑客攻击案例的分析以及系统管理员对网络系统安全配置的实际经验。漏洞库信息的完整性和有效性决定了漏洞扫描系统的功能，漏洞库应定期修订和更新。
（2）插件技术（功能模块技术）
插件是由脚本语言编写的子程序，扫描程序可以通过调用它来执行漏洞扫描，检测系统中存在的漏洞。插件编写规范化后，用户可以自定义新插件来扩充漏洞扫描软件的功能。这种技术使漏洞扫描软件的升级维护变得相对简单。
三．弱口令
通常帐户包含用户名及对应的口令。当口令使用简单的数字和字母组合时，非常容易被破解，我们称这种口令为弱口令。X-Scan工具中涵盖了很多种弱口令扫描方法，包括FTP、SMTP、SSH、POP3、IMAP、TELNET、WWW等。
为消除弱口令产生的安全隐患，我们需要设置复杂的密码，并养成定期更换密码的良好习惯。复杂的密码包含数字，字母（大写或小写），特殊字符等。例如：123$%^jlcss$%^JLCSS2008。
四．Microsoft-ds漏洞
Windows系统存在一个拒绝服务漏洞，因为Windows默认开启的microsoft-ds端口（TCP 445）允许远程用户连接。当远程用户发送一个非法的数据包到microsoft-ds端口（TCP 445）时，核心资源被LANMAN服务占用，导致拒绝服务攻击，造成蓝屏。如一个攻击者发送一个连续的10k大小的NULL字串数据流给TCP端口445时，引起的最常见的症状是LANMAN服务将占用大量的核心内存，计算机发出的“嘀嘀嘀…”的告警声将被声卡驱动无法装载的错误状态所替代，IIS不能为asp的页面服务，作为管理员去重启服务器时，系统将会显示你没有权限关闭或重启计算机。严重的话，以后计算机只要一打开，就会自动消耗100%的CPU资源，根本无法进行正常的工作，而且很难恢复过来。
五. 工具简介
　　X-Scan是国内最著名的综合扫描器之一，它把扫描报告和安全焦点网站相连接，对扫描到的每个漏洞进行“风险等级”评估，并提供漏洞描述、漏洞溢出程序，方便网管测试、修补漏洞，X-Scan采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式，扫描内容包括：远程操作系统类型及版本，标准端口状
正在加载中，请稍后...