據國外**報道,在前些天的黑客大賽上,windows 7環境下的ie和火狐瀏覽器先後被攻破,引發人們對windows 7作業系統安全效能的懷疑。對此,微軟辯護說,windows 7的安全防護措施並不能永久阻止所有攻擊,但至少可以給黑客帶來極大困難。
上週在加拿大溫哥華舉行的2023年pwn2own全球黑客大賽上,來自荷蘭的研究人員皮特·維萊格登希爾(peter vreugdenhil)和一位自稱尼爾斯(nils)的德國研究人員成功繞過windows 7作業系統的防護措施dep(資料執行保護)和aslr(位址空間隨機載入),在windows 7環境下分別攻破了ie8瀏覽器和火狐3.6瀏覽器,並各獲得了1萬美元的獎金。其中攻破ie8瀏覽器的維萊格登希爾表示,攻破ie8只需要2分鐘時間。
對此,微軟ie開發團隊的產品經理彼得·勒佩奇(pete lepage)表示,dep和aslr安全防護功能仍然可以有效防禦黑客攻擊。勒佩奇在提到dep和aslr以及另外一項ie防護功能「保護模式」(protected mode)時表示:「防護措施並不能夠永久阻止所有的黑客攻擊,但可以給黑客利用漏洞造成極大的困難。」
2023年微軟推出windows xp service pack 2時推出了dep功能,旨在阻止惡意**在不該執行的區域執行,以此來防止緩衝區溢位攻擊(buffer overflow attack)。而在三年前隨著windows vista作業系統面世的aslr防護功能旨在通過隨機載入關鍵儲存區的位置,減少攻擊**利用瀏覽器編寫、修改或刪除pc其它位置資料的機率,並且使黑客難以**他們的攻擊**是否能夠執行。
Pwn2Own黑色兩分鐘 win7安全性遭質疑
據國外 報道,本周二,微軟正式回應windows 7被黑客攻破事件,官方對windows 7保持樂觀態度,並強調系統中的dep aslr等防護機制仍然發揮作用。上週,加拿大溫哥華舉行了2010年度 pwn2own黑客大賽 據主辦方安全軟體公司3comtippingpoiny透露,兩天不到的時間內,i...
安全性測試 以使用者登入為例
以使用者登入為例,安全測試需要注意哪些方面 密碼問題 驗證儲存在後台的使用者密碼是否加密。驗證使用者密碼在網路中傳輸是否加密。驗證使用者面是否具有時效性,到期後是否提示使用者更改密碼。驗證密碼輸入框是否支援複製和貼上 驗證使用者密碼 使用者登入 沒有登陸的前提之下,在瀏覽器的位址列中直接輸入登入後的...
多執行緒 7 執行緒安全性,活躍性,效能問題
安全性 資料競爭 多個執行緒同時訪問乙個資料,並且至少有乙個執行緒會寫這個資料。競態條件 程式的執行結果依賴程式執行的順序。也可以按照以下的方式理解競態條件 程式的執行依賴於某個狀態變數,在判斷滿足條件的時候執行,但是在執行時其他變數同時修改了狀態變數。if 狀態變數 滿足 執行條件 活躍性 死鎖 ...