網路安全弱口令的危害

① WWW弱口令怎麼利用

利用某些特殊構造的SQL語句插入SQL的特殊字元和指令，提交一段資料庫查詢代碼（一般是在瀏覽器地址欄進行，通過正常的www埠訪問），操縱執行後端的DBMS查詢並獲得本不為用戶所知數據的技術，也就是SQL Injection（SQL注入）。

SQL注入是從正常的WWW埠通過對頁面請求訪問，而且表面看起來跟一般的Web頁面訪問沒什麼區別，所以目前市面的防火牆很少會對SQL注入發出警報，如果管理員沒查看IIS日誌的習慣，可能被入侵很長時間都不會發覺。

SQL注入的手法相當靈活，可以根據具體情況進行分析，構造巧妙的SQL語句，從而獲取想要的數據。

程序存在SQL注入，追其原因，是因為代碼或者編碼的不完善。但說到底，是程序員的惰性。代碼的不完善，往往是因為在程序編寫的過程中，沒有考慮到代碼的健壯性及安全性的結果，就國內現狀來看，大多數網站使用的腳本語言，用ASP+Access或SQLServer的佔70%以上，PHP+MySQL佔20%，其他的不足10%，並且因為開發者水平的參差不齊,代碼編寫的過程考慮不夠周全，程序代碼的安全性值得懷疑，而程序腳本被注入也成為必然。

當然，程序運行環境的先天缺陷也是人為的，這種現象無法完全杜絕避免。從攻擊者的角度來看，使用SQL注入能夠避免絕大多數防火牆的防禦，不留攻擊痕跡，攻擊手法多種多樣，因此才會導致SQL注入攻擊手段的興起。

3.1.2、SQL注入的原理及分類

SQL-Injection的原理

SQL是一種用於關系資料庫的結構化查詢語言。它分為許多種，但大多數都鬆散地基於美國國家標准化組織最新的標准SQL-92。SQL語言可以修改資料庫結構和操作資料庫內容。當一個攻擊者能夠通過往查詢中插入一系列的SQL操作數據寫入到應用程序中去，並對資料庫實施了查詢，這時就已經構成了SQL-Injection。

SQL-Injection的分類

由於SQL-injection攻擊出要發生在B/S結構的應用程序上，而這些程序大部分都屬於互聯網的web站點，在這種情況下SQL-Injection同樣需要遵循HTTP協議，形成了兩種分類： POST方式注入和GET方式注入

3.1.3、SQL-Injection的攻擊方法

常規注入方法 SQL注入攻擊本身就是一個常規性的攻擊，它可以允許一些不法用戶檢索你的數據，改變伺服器的設置，或者在你不小心的時候黑掉你的伺服器。

旁註 顧名思義就是從旁註入，也就是利用主機上面的一個虛擬站點進行滲透 ，此類手法多出現與虛擬主機站點。

盲注 通過構造特殊的SQL語句，在沒有返回錯誤信息的情況下進行注入。

跨站注入 攻擊者利用程序對用戶輸入過濾及判斷的不足，寫入或插入可以顯示在頁面上對其他用戶造成影響的代碼。跨站注入的高級攻擊就屬於這種攻擊。

3.1.4、SQL注入的危害

SQL注入通過網頁對網站資料庫進行修改。它能夠直接在資料庫中添加具有管理員許可權的用戶，從而最終獲得系統管理員許可權。黑客可以利用獲得的管理員許可權任意獲得網站上的文件或者在網頁上加掛木馬和各種惡意程序，對網站的正常運營和訪問該網站的網友都帶來巨大危害。

3.1.5、SQL注入漏洞的風險

由於SQL注入是從正常的WWW埠訪問，而且表面看起來跟一般的Web頁面訪問沒什麼區別，所以目前市面的防火牆都不會對SQL注入發出警報，如果管理員沒查看IIS日誌的習慣，可能被入侵很長時間都不會發覺。它能夠直接在資料庫中添加具有管理員許可權的用戶，從而最終獲得系統管理員許可權。黑客可以利用獲得的管理員許可權任意獲得網站上的文件或者在網頁上加掛木馬和各種惡意程序，對網站和訪問該網站的網友都帶來巨大危害。

無論你有多強壯的防火牆規則設置或者非常勤於補漏的修補機制，如果你的網路應用程序開發者沒有遵循安全代碼進行開發，攻擊者將通過80埠進入你的系統。

例如，如果一個網站的資料庫系統為SQL Server 2000資料庫，同時沒有在資料庫的許可權設置上做好安全限制，將導致嚴重的後果。SQL注入意味著資料庫也會被攻破，入侵者得到當前資料庫許可權的同時，也獲得了整個資料庫伺服器的管理許可權，入侵者可通過資料庫管理許可權得到系統許可權，並為所欲為。

再者，很多網站的管理後台都可經由公網直接訪問到後台管理登錄頁面，並且可通過暴力猜解等方式對後台管理賬戶進行猜解。對於任何一個網站的後台管理登錄頁，安全的做法應該是限制訪問。尤其是對於政府及銀行網路來說，更不應該將後台管理頁面放置到公網上任由訪問，這樣的話安全系數會大大減少，遭受攻擊的機會卻大大增加了。

3.2、網路釣魚

網路釣魚(Phishing)一詞，是「Fishing」和「Phone」的綜合體，由於黑客始祖起初是以電話作案，所以用「Ph」來取代「F」，創造了」Phishing」，Phishing 發音與 Fishing相同。 「網路釣魚」就其本身來說，稱不上是一種獨立的攻擊手段，更多的只是詐騙方法，就像現實社會中的一些詐騙一樣。

攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，誘騙訪問者提供一些個人信息，如信用卡號、賬戶用和口令、社保編號等內容（通常主要是那些和財務，賬號有關的信息，以獲取不正當利益），受騙者往往會泄露自己的財務數據。

詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌，因此來說，網路釣魚的受害者往往也都是那些和電子商務有關的服務商和使用者。

3.2.1、網路釣魚工作原理

現在網路釣魚的技術手段越來越復雜，比如隱藏在圖片中的惡意代碼、鍵盤記錄程序，當然還有和合法網站外觀完全一樣的虛假網站，這些虛假網站甚至連瀏覽器下方的鎖形安全標記都能顯示出來。網路釣魚的手段越來越狡猾，這里首先介紹一下網路釣魚的工作流程。通常有五個階段：

網路釣魚的工作原理

3.2.2、「網路釣魚」的主要手法

a、發送電子郵件，以虛假信息引誘用戶中圈套

詐騙分子以垃圾郵件的形式大量發送欺詐性郵件，這些郵件多以中獎、顧問、對賬等內容引誘用戶在郵件中填入金融賬號和密碼，或是以各 種緊迫的理由要求收件人登錄某網頁提交用戶名、密碼、身份證號、信用卡號等信息，繼而盜竊用戶資金。

例如今年2月份發現的一種騙取美邦銀行(Smith Barney)用戶的賬號和密碼的「網路釣魚」電子郵件，該郵件利用了IE的圖片映射地址欺騙漏洞，並精心設計腳本程序，用一個顯示假地址的 彈出窗口遮擋住了IE瀏覽器的地址欄，使用戶無法看到此網站的真實地址。當用戶使用未打補丁的Outlook打開此郵件時，狀態欄顯示的鏈接是虛假的。

當用戶點擊鏈接時，實際連接的是釣魚網站http://**.41.155.60:87/s。該網站頁面酷似Smith Barney銀行網站的登陸界面，而用戶一旦輸入了自己的賬號密碼，這些信息就會被黑客竊取。

b、建立假冒網上銀行、網上證券網站，騙取用戶賬號密碼實施盜竊

犯罪分子建立起域名和網頁內容都與真正網上銀行系統、網上證券交易平台極為相似的網站，引誘用戶輸入賬號密碼等信息，進而通過真正的網上銀行、網上證券系統或者偽造銀行儲蓄卡、證券交易卡盜竊資金;還有的利用跨站腳本，即利用合法網站伺服器程序上的漏洞，在站點 的某些網頁中插入惡意html代碼，屏蔽住一些可以用來辨別網站真假的重要信息，利用cookies竊取用戶信息。

如曾互聯網上出現過的某假冒銀行網站，網址為http://www.1cbc.com.cn/，而真正銀行網站是http://www.icbc.com.cn/，犯罪分子利用數字1和字母i非常相近的特點企圖蒙蔽粗心的用戶。

又如2004年7月發現的某假公司網站(網址為http://www.1enovo.com/)，而真正網站為 http://www.lenovo.com/，詐騙者利用了小寫字母l和數字1很相近的障眼法。詐騙者通過QQ散布「XX集 團和XX公司聯合贈送QQ幣」的虛假消息，引誘用戶訪問。

c、利用虛假的電子商務進行詐騙

此類犯罪活動往往是建立電子商務網站，或是在比較知名、大型的電子商務網站上發布虛假的商品銷售信息，犯罪分子在收到受害人的購物匯款後就銷聲匿跡。如2003年，罪犯佘某建立「奇特器材網」網站，發布出售間諜器材、黑客工具等虛假信息，誘騙顧主將購貨款匯入其用虛假身份在多個銀行開立的賬戶，然後轉移錢款的案件。

除少數不法分子自己建立電子商務網站外，大部分人採用在知名電子商務網站上，如「易趣」、「淘寶」、「阿里巴巴」等，發布虛假信息，以所謂「超低價」、「免稅」、「走私貨」、「慈善義賣」的名義出售各種產品，或以次充好，以走私貨充行貨，很多人在低價的誘惑下上當受騙。網上交易多是異地交易，通常需要匯款。不法分子一般要求消費者先付部分款，再以各種理由誘騙消費者付餘款或者其他各種名目的款項，得到錢款或被識破時，就立即切斷與消費者的聯系。

d、利用木馬和黑客技術等手段竊取用戶信息後實施盜竊活動

木馬製作者通過發送郵件或在網站中隱藏木馬等方式大肆傳播木馬程序，當感染木馬的用戶進行網上交易時，木馬程序即以鍵盤記錄的方式獲取用戶賬號和密碼，並發送給指定郵箱，用戶資金將受到嚴重威脅。

如去年網上出現的盜取某銀行個人網上銀行賬號和密碼的木馬Troj_HidWebmon及其變種，它甚至可以盜取用戶數字證書。又如去年出現的木馬「證券大盜」，它可以通過屏幕快照將用戶的網頁登錄界面保存為圖片，並發送給指定郵箱。黑客通過對照圖片中滑鼠的點擊位置，就很有可能破譯出用戶的賬號和密碼，從而突破軟鍵盤密碼保護技術，嚴重威脅股民網上證券交易安全。

e、利用用戶弱口令等漏洞破解、猜測用戶賬號和密碼

不法分子利用部分用戶貪圖方便設置弱口令的漏洞，對銀行卡密碼進行破解。如2004年10月，三名犯罪分子從網上搜尋某銀行儲蓄卡卡號，然後登陸該銀行網上銀行網站，嘗試破解弱口令，並屢屢得手。

實際上，不法分子在實施網路詐騙的犯罪活動過程中，經常採取以上幾種手法交織、配合進行，還有的通過手機簡訊、QQ、msn進行各種各 樣的「網路釣魚」不法活動。

3.3、跨站攻擊

XSS又叫CSS(Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入Web裡面的html代碼會被執行，從而達到攻擊者的特殊目的。XSS屬於被動式的攻擊，因為其被動且不好利用，所以許多人經常忽略其危害性。

就攻擊者而言，可以把XSS攻擊分成兩類，一類是來自內部的攻擊，主要指的是利用程序自身的漏洞，構造跨站語句，如:DVBBS的showerror.asp存在的跨站漏洞。另一類則是來自外部的攻擊，主要指的攻擊者構造XSS跨站漏洞網頁或者尋找非目標機以外的有跨站漏洞的網頁。如當攻擊者要滲透一個站點，攻擊者構造一個有跨站漏洞的網頁，然後構造跨站語句，通過結合其它技術，如社會工程學等，欺騙目標伺服器的管理員打開。

傳統的跨站利用方式一般都是攻擊者先構造一個跨站網頁，然後在另一空間里放一個收集cookie的頁面，接著結合其它技術讓用戶打開跨站頁面以盜取用戶的cookie，以便進一步的攻擊。這種方式太過於落後，比較成熟的方法是通過跨站構造一個表單，表單的內容則為利用程序的備份功能或者加管理員等功能得到一個高許可權。

當發動CSS攻擊或檢測一個網站漏洞的時候, 攻擊者可能首先使簡單的HTML標簽如<b>(粗體),<i>(斜體)或<u>(下劃線)，或者他可能嘗試簡單的script標簽如<script>alert("OK")</script>。因為大多數出版物和網路傳播的檢測網站是否有css漏洞都拿這個作為例子。這些嘗試都可以很簡單的被檢測出來。

然而，高明點的攻擊者可能用它的hex值替換整個字元串。這樣<script>標簽會以%3C%73%63%72%69%70%74%3E出 現。 另一方面，攻擊者可能使用web代理伺服器像Achilles會自動轉換一些特殊字元如<換成%3C>換成%3E。這樣攻擊發生時，URL 中通常以hex等值代替角括弧。

3.4、溢出漏洞

溢出漏洞是一種計算機程序的可更正性缺陷。溢出漏洞的全名為「緩沖區溢出漏洞」。因為它是在程序執行的時候在緩沖區執行的錯誤代碼，所以叫緩沖區溢出漏洞。它一般是由於編成人員的疏忽造成的。具體的講，溢出漏洞是由於程序中的某個或某些輸入函數（使用者輸入參數）對所接收數據的邊界驗證不嚴密而造成。

根據程序執行中堆棧調用原理，程序對超出邊界的部分如果沒有經過驗證自動去掉，那麼超出邊界的部分就會覆蓋後面的存放程序指針的數據，當執行完上面的代碼，程序會自動調用指針所指向地址的命令。根據這個原理，惡意使用者就可以構造出溢出程序。

大多數應用程序保存數據的存儲地址大小是固定的。如果攻擊者向這些存儲區域之一中發送了過量數據，而程序沒有檢查數據的大小，則會發生溢出。攻擊者針對這一特點發出的攻擊稱為緩沖區溢出攻擊。

緩沖區是用戶為程序運行時在計算機中申請得的一段連續的內存，它保存了給定類型的數據。緩沖區溢出指的是一種常見且危害很大的系統攻擊手段，通過向程序的緩沖區寫入超出其長度的內容，造成緩沖區的溢出，從而破壞程序的堆棧，使程序轉而執行其他的指令，以達到攻擊的目的。

而人為的溢出則是有一定企圖的，攻擊者寫一個超過緩沖區長度的字元串，然後植入到緩沖區，而再向一個有限空間的緩沖區中植入超長的字元串可能會出現兩個結果，一是過長的字元串覆蓋了相鄰的存儲單元，引起程序運行失敗，嚴重的可導致系統崩潰；另有一個結果就是利用這種漏洞可以執行任意指令，甚至可以取得系統root特級許可權。大多造成緩沖區溢出的原因是程序中沒有仔細檢查用戶輸入參數而造成的。

緩沖區溢出問題並非已成古老的歷史，緩沖區溢出攻擊已成為最常用的黑客技術之一。引起緩沖區溢出問題的根本原因是C（與其後代C++）本質就是不安全的，沒有邊界來檢查數組和指針的引用，也就是開發人員必須檢查邊界（而這一行為往往會被忽視），否則會冒遇到問題的風險。標准C庫中還存在許多非安全字元串操作，包括：strcpy()、sprintf()、gets()等，這些都是程序員需要注意的。

3.5、拒絕服務攻擊

網路安全中，拒絕服務攻擊（DOS）以其危害巨大，難以防禦等特點成為駭客經常採用的攻擊手段。DoS是Denial of Service的簡稱，即拒絕服務，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網路無法提供正常的服務。

3.5.1、被拒絕服務攻擊時的現象

最常見的DoS攻擊有計算機網路帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網路，大量攻擊包導致網路帶寬被阻塞，合法網路包被虛假的攻擊包淹沒而無法到達主機，使得所有可用網路資源都被消耗殆盡，最後導致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機，通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網路服務，使得所有可用的操作系統資源都被消耗殆盡，最終伺服器無法再處理合法用戶的請求。

如何判斷網站是否遭受了流量攻擊呢？可通過Ping命令來測試，若發現Ping超時或丟包嚴重(假定平時是正常的)，則可能遭受了流量攻擊，此時若發現和你的主機接在同一交換機上的伺服器也訪問不了了，基本可以確定是遭受了流量攻擊。當然，這樣測試的前提是你到伺服器主機之間的ICMP協議沒有被路由器和防火牆等設備屏蔽，否則可採取Telnet主機伺服器的網路服務埠來測試，效果是一樣的。不過有一點可以肯定，假如平時Ping你的主機伺服器和接在同一交換機上的主機伺服器都是正常的，突然都Ping不通了或者是嚴重丟包，那麼假如可以排除網路故障因素的話則肯定是遭受了流量攻擊，再一個流量攻擊的典型現象是，一旦遭受流量攻擊，會發現用遠程終端連接網站伺服器會失敗。

相對於流量攻擊而言，資源耗盡攻擊要容易判斷一些，假如平時Ping網站主機和訪問網站都是正常的，發現突然網站訪問非常緩慢或無法訪問了，而Ping還可以Ping通，則很可能遭受了資源耗盡攻擊，此時若在伺服器上用netstat -an命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態存在，而ESTABLISHED很少，則可判定肯定是遭受了資源耗盡攻擊。還有一種屬於資源耗盡攻擊的現象是，Ping自己的網站主機Ping不通或者是丟包嚴重，而Ping與自己的主機在同一交換機上的伺服器則正常，造成這種原因是網站主機遭受攻擊後導致系統內核或某些應用程序CPU利用率達到100%無法回應Ping命令，其實帶寬還是有的，否則就Ping不通接在同一交換機上的主機了。

3.5.2、總結為以下幾個典型特徵：

被攻擊主機上有大量等待的TCP連接
網路中充斥著大量的無用的數據包，源地址為假
製造高流量無用數據，造成網路擁塞，使受害主機無法正常和外界通訊
利用受害主機提供的服務或傳輸協議上的缺陷，反復高速的發出特定的
服務請求，使受害主機無法及時處理所有正常請求
嚴重時會造成系統死機
在2006年，拒絕服務攻擊已經被提升到了利用僵屍網路BotNet進行大批量攻擊的層次，其嚴重程度已經達到了阻塞國內網路的程度。根據今年上半年監測的數據，中國擁有的「僵屍網路」電腦數目最多，全世界共有470萬台，而中國就佔到了近20%。而據國內不完全統計，中國擁有的「僵屍網路」電腦數量達到120萬台，其嚴重性已不可忽視。

3.6、社會工程學

我們通常把基於非計算機的欺騙技術叫做社會工程。社會工程中，攻擊者設法設計讓人相信它是其他人。這就像攻擊者在給人打電話時說自己是某人一樣的簡單。因為他說了一些大概只有那個人知道的信息，所以受害人相信他。

社會工程的核心是，攻擊者設法偽裝自己的身份並設計讓受害人泄密私人信息。這些攻擊的目標是搜集信息來侵入計算機系統的，通常通過欺騙某人使之泄露出口令或者在系統中建立個新帳號。其他目標使偵察環境，找出安裝了什麼硬體和軟體，伺服器上裝載了什麼補丁等等。

通過社會工程得到的信息是無限的，其嚴重程度亦可從大量用戶被網路釣魚事件中窺見一斑，攻擊者可利用網路釣魚獲得的信息嘗試用戶信箱及即時通訊工具的賬戶，從而獲取有用的信息。

4、2007年黑客攻擊水平會發展到驚人的程度之上

雖然Botnet在最近幾個月引發了大量的垃圾郵件，但是，安全研究人員更警惕的是垃圾郵件的高級水平。安全人員警告說，有針對性的釣魚攻擊正在進入企業電子郵件伺服器。

垃圾郵件已經達到了我們通常所說的商業級產品的水平。我們已經看到了這種活動的變化。現在，Botnet發出大量單獨的垃圾郵件。

根據MessageLabs的統計，今年11月份全球垃圾郵件的通信量已經增長到了佔全球電子郵件通信量的90%。這個百分比預計在今年12月份將繼續保持下去。

此外，在200封電子郵件中至少有一封電子郵件包含釣魚攻擊的內容。最近攔截的惡意電子郵件中，有68%以上的惡意郵件是釣魚攻擊郵件，比過去的幾個月增長了。

安全研究人員預計，2007年將是攻擊的高級程度發展到驚人的水平的一年。

攻擊者將搜索MySpace等社交網路網站，竊取地址、地區號碼和其他身份數據以便使釣魚攻擊電子郵件讓受害者看起來像真的一樣。

在許多情況下，壞分子可能使用銀行的地址，讓受害者以為電子郵件是從銀行發出來的，從而使釣魚攻擊獲得成功。這些壞分子將搶劫大型社交網路團體的資料庫，利用垃圾郵件成功地實施攻擊。

安全公司賽門鐵克的高級工程經理Alfred Huger說，每一天發生的釣魚攻擊的企圖高達700多萬起，並稱，不成熟的釣魚攻擊已經顯著增加到了每天900起以上。

攻擊者將從住在同一個地區的人們那裡收集電子郵件地址。然後，攻擊者向受害者發出一封釣魚攻擊電子郵件。這種電子郵件表面上看好像是從那個地區的銀行或者其它金融機構那裡發來的。進入到2007年，Huger預測，釣魚攻擊將變得更加有針對性並且更難發現其欺騙性。

可信賴的因素非常高，人們更容易成為這種攻擊的獵物，因為人們想不到自己的銀行會參與這種事情。

隨著具有電子郵件和其它消息功能的手機的應用，使用簡訊實施的釣魚攻擊在2007年也將增長。我們的手機現在已經成為微型的計算機，任何在台式電腦上發生的事情都可能對我們的手機產生影響。一些企業已經開始制定有關移動設備

使用的政策，還有一些企業沒有制定這種政策。中間地帶並不大。

企業和消費者能夠採取基本的措施進行反擊。金融機構將改善身份識別功能和加強教育的努力，以便幫助客戶理解他們的銀行什麼時候將與他們進行合法的聯系。消費者可以向賽門鐵克反釣魚攻擊網站舉報釣魚網站以便與網路詐騙作斗爭。

Rootkit在增長

攻擊者在2006年更廣泛地應用rootkit技術。這種技術的應用在2007年將繼續增長。rootkit是一種軟體工具集，能夠讓網路管理員訪問一台計算機或者一個網路。一旦安裝了rootkit，攻擊者就可以把自己隱藏起來，在用戶計算機中安裝間諜軟體和其它監視敲擊鍵盤以及修改記錄文件的軟體。雖然微軟發布的Vista操作系統能夠減少某些rootkit的應用，但是，rootkit的使用在2007年將成為標准。據賽門鐵克稱，用戶模式rootkit策略目前已經非常普遍。內核模式rootkit的使用也在增長。

Rootkit是一種功能更強大的工具。我們將看到更多的rootkit，因為安全產品正在變得越來越強大，攻擊者不得不提高賭注。

② 網路安全問題有哪些

（1）操作系統沒有進行相關的安全配置

不管使用的是哪一種操作系統，安裝不完全的情況下都會存在一些安全問題，只有專門針對操作系統安全性進行相關的和嚴格的安全配置，才能達到一定的安全程度。千萬不要以為操作系統預設安裝後，只要自己設置的密碼很強就沒有問題。網路軟體的漏洞和「後門」是進行網路攻擊的首選目標。

（2）沒有進行CGI程序代碼審計

如果是通用的CGI問題，防範起來還稍微容易一些，但是對於網站或軟體供應商專門開發的一些CGI程序，很多存在嚴重的CGI問題，對於電子商務站點來說，會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。

（3）拒絕服務（DoS，DenialofService）攻擊

現在的網站對於實時性的要求是越來越高，DoS或DDoS對網站的威脅越來越大。如果一個網路攻擊是以網路癱瘓為目標的，那麼它的襲擊效果是很強烈的，破壞性很大，造成危害的速度和范圍也是我們預料不到的，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經消失得無影無蹤。

（4）安全產品使用不當

雖然很多網站都採用了基本的網路安全設備，但由於安全產品本身的問題或使用問題，這些產品並沒有發揮到應有的作用。很多安全廠商的產品對配置人員的技術要求很高，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統改動，需要改動相關安全產品的設置時，很容易產生許多安全問題。

（5）缺少嚴格的網路安全管理制度

網路安全最重要的還是要有相應的制度去保障，建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。

③ 發現系統中的弱口令有何危害如何修改

弱口令就是密碼太簡單,容易被黑客用軟體破解或猜出來的.如果用戶名和密碼都被破解了當你上網以後就有可能被別人非法進入你的電腦進行操作.點開始-設置-控制面板-用戶帳戶,打開你用的帳戶,更改密碼,先輸入現在的密碼,再輸入兩次新密碼就行了.最好數字和字母結合,8-10位.可以用你的名字的聲母加家裡的電話等.比如lxm65548721

④ 弱口令的危害

在當今很多地方以用戶名(帳號)和口令作為鑒權的世界，口令的重要性就可想而知了。口令就相當於進入家門的鑰匙，當他人有一把可以進入你家的鑰匙，想想你的安全、你的財物、你的隱私......害怕了吧。因為弱口令很容易被他人猜到或破解，所以如果你使用弱口令，就像把家門鑰匙放在家門口的墊子下面，是非常危險的。

⑤ 存在sqlserver弱口令有什麼危害

容易中招，取得sqlserver許可權後可以對你的機器為所欲為

⑥ 中學生上網存在哪些不好問題

1、網路成癮

報告指出，網路成癮不僅影響人的心理，還影響人的身體健康，尤其是引起植物神經紊亂，體內激素水平失衡，使免疫功能降低，引發心血管疾病，胃腸神經官能病，緊張性頭疼，焦慮，憂郁等，甚至可能導致死亡。

同時，由於玩游戲時全神貫注，身體始終處於一種姿態，眼睛長時間注視顯示屏，會導致視力下降，眼睛疼痛、怕光、暗適應能力降低，脖子酸痛，頭暈眼花等。本次調查顯示：玩電子游戲後感到眼睛痛的佔36%；脖子酸痛的佔27%；頭暈的佔15%。

同時，沉迷於網路游戲，容易使未成年人減少人際間交流，產生自閉傾向，甚至會患上"電腦自閉症"。

2、在校生成績下降

在校生因迷戀網路游戲造成學習成績下降，甚至曠課、逃學的現象日益普遍。調查數據顯示：認為容易上癮，很難控制自己的佔65%；玩起來就沒完，自己控制不了的佔18.1%；總想玩游戲，不想上學也不願做作業的佔5%；認為花很多時間和精力玩游戲會使學習成績受影響的佔73.4%。

3、社會難題

電子游戲一般以"攻擊、戰斗、競爭"為主要成分。未成年人長期玩飛車、砍殺、爆破、槍戰等游戲，會使他們模糊道德認知，淡化游戲虛擬與現實生活的差異，誤認為這種通過傷害他人而達到目的的方式是合理的。

引導

作為家長要掌握一定的電腦網路知識，善用網路，當好孩子的引路人，引導孩子選擇有利於他們成才的網站。只有這樣才能有針對性地做好疏導工作，才能向孩子推薦健康、文明、有益有趣的網站，才能掌握孩子的網上心理及動向。

要正確看待網路，積極利用它的現代化的手段好的一面，引導孩子去避免他不好的那一面。

要記住：網路對於學習利大於弊，反之，網路對於玩游戲弊大於利。

以上內容參考：

網路-網路的利與弊

⑦ 青少年常見的網路安全問題有哪些

青少年由於年齡小，好奇心強，心理生理發育尚未成熟，在網路誘惑面前往往缺乏辨別力、自製力與自覺性。中國互聯網路信息中心發布的報告顯示：「58.4％的中國青少年網民對互聯網非常依賴或比較依賴，60.1％的青少年網民信任互聯網上的信息，54.6％的青少年網民認為中國網路環境安全，比例均高於網民總體水平。」

就目前的網路環境和網路資源以及平台來說，影響青少年網路安全問題有以下幾類：

一：不具備或者說擁有較少的網路安全常識

1. 瀏覽陌生網站，違法網站，不健康網站（對青少年危害最大，需引起足夠的重視），隨意下載安裝網路上的應用程序。

2. 對陌生人發來的郵件附件，不明文件（圖片，office文檔等）不經過安全軟體的查殺隨意打開，警惕性低。

3. 輕易相信網路上「好友」的花言巧語，易被詐騙，錢財損失；觀看違法，低俗，色情視頻。

二：不具備安全意識，安全意識差

1.攝像頭等視頻設施不關閉，一旦被非法入侵者截獲，通過社工可能會照成加重財產丟失。

2.自己的社交網站帳號密碼等強度不夠，多數為弱口令（123456，123456abc）等，如一杯非法入侵者破解利用

3.沒有養成良好的上網習慣，隔很長時間才會查殺病毒。在網站保存COOKIES和表單數據密碼等個人數據。

⑧ 企業網路主要存在哪些安全漏洞和安全隱患，面臨黑客哪些滲透攻擊

安全漏洞主要有1.系統級漏洞2.網站所採用的建站系統的通用型漏洞，此漏洞危害巨大
隱患有1.員工和管理員安全意識淡泊，出現弱密碼漏洞等低級漏洞2.網站許可權控制不嚴格，過濾不嚴格3.對用戶提交數據過於信任
攻擊，主要有1.sql注射 2.dos或ddos等暴力攻擊 3.xss跨站腳本攻擊 4.csrf跨站請求偽造 5第三方網站的掛馬攻擊 6.cms爆出的exp，0day攻擊 7.釣魚，社會工程學的攻擊

⑨ 弱口令是什麼意思

弱口令我們可以簡單的理解為能讓別人隨意就猜到的密碼，比如abc、111、123、123456、88888888等等諸如此類的密碼。
除此之外大家都能知道的密碼稱之為弱口令。還有以下的幾點也如果不達到要求也可以稱之為弱口令：
①空口令，沒有設置密碼
②口令小於8個字元且較為簡單
③口令為連續的字母或者單純數字
④口令為本人相關的名字字母，生日，易被發現的郵箱號，賬號名昵稱名，都可以稱為弱口令，可以定義為針對你的弱口令，而不是普遍的弱口令。
弱口令一旦被破解將面臨很嚴重的資產風險，在網路安全方面，我們的雲主機，伺服器一旦暴露了我們的登錄密碼則會導致我們的主機被入侵，導致我們網站，app，主機載體的內容受到損壞，可能導致不可逆的破壞和嚴重的經濟損失。
同時不僅僅是主機、伺服器，弱口令還涉及到我們日常的各類登錄密碼郵箱，微信、qq、web注冊頁面等等都是我們需要留意的，賬號價值高的賬戶一定要設置安全復雜口令。
復雜口令建議：8字元以上且包含英文大小寫+數字+符號的組合，同時一旦有暴露口令的風險一定要及時更換口令。

⑩ 企業如何解決弱口令安全隱患

可以通過寧盾MFA多因素身份驗證和統一身份管理，統一所有系統賬號入口並增加一層動態密碼防護，解決企業的弱口令安全隱患問題。寧盾MFA多因素身份驗證能對接雲桌面、網路設備、伺服器、堡壘機、網路認證等不同應用場景，有效保障企業賬號登錄的安全性。