這里介紹的10大漏洞，是當(dāng)今互聯(lián)網(wǎng)上發(fā)現(xiàn)的最普遍而且風(fēng)險(xiǎn)最高的漏洞。這一10大漏洞清單主要來源于ISSX-Force安全小組的分析、用戶的安全報(bào)告、ISS的專業(yè)服務(wù)隊(duì)伍和安全合作伙伴，10大漏洞表由ISS X-Force小組維護(hù)并以ISS安全警告匯編的形式每季度發(fā)布。

鑒于這10大漏洞的重要性和嚴(yán)重性，建議各個(gè)行業(yè)、企業(yè)、機(jī)構(gòu)的安全主管機(jī)構(gòu)充分重視這些安全問題，并將這些漏洞的解決辦法和處理決策落實(shí)到安全策略中，建立更加有效、更加完善的信息安全防護(hù)體系。

1、拒絕服務(wù)攻擊

TFN
TFN2K
Trin00
Stacheldraht
FunTimeApocalypse

2、脆弱的賬號(hào)

缺省賬戶(路由器、防火墻)
管理員賬戶admin/root的空口令或弱口令
SNMPCommunityName的缺省設(shè)置

3、IIS(微軟的Web服務(wù)器MicrosoftInternetnformationServer)

RDS
HTR
畸形header
PWS文件訪問
CGI圈套
PHP3元字符
PHPmlog.html讀文件

4、數(shù)據(jù)庫(kù)

Oracle缺省賬戶/口令
Oraclesetuidrootoratclsh
SQLServerXp-sprintf緩存溢出
SQLServerXp-cmdshell擴(kuò)展

5、電子商務(wù)主頁(yè)應(yīng)用

NetscapeGetBo
HttpIndexserverPath
FrontpageExtensions
FrontpagePwdAdministrators

6、電子郵件系統(tǒng)

Sendmail管道攻擊
SendmailMIMEbo

7、文件共享

NetBIOS
NFS

8、RPC

rpc.cmsd
rpc-statd
Sadmin
Amd
Mountd

9、BIND

BINDnxt
BINDqinv

10、Linux緩存溢出

IMAPBO
QpopperBO
改寫堆棧覆益
WU-FTP緩存溢出

建議的修改步驟

在業(yè)務(wù)層次，通過組織來實(shí)施和管理安全部件，并且通過持續(xù)的保持警惕和對(duì)威脅的監(jiān)控來降低新的風(fēng)險(xiǎn)。

ISS建議建立下面一些安全層次

安全策略
安全管理層(比如內(nèi)聯(lián)網(wǎng))
安全軟件(基于主機(jī)的評(píng)估和入侵檢測(cè))
安全網(wǎng)絡(luò)部件OS/net/db/web