4.对嵌入式系统的无知

复印机、扫描仪以及VoIP电话中所包含的嵌入式Web服务器通常都存在一定的安全问题或是配置错误，因此当它们被安装被投入使用时，这些问题就会转化成潜在的威胁。"事实上这些设备都不应该被接入互联网。我实在想不出一台惠普的扫描仪有什么必要连网，"Michael Sutton评论道，他是Zscaler实验室安全研究部门副总裁，并于今年夏季将自己的调查成果在黑帽大会上与大家进行了分享。

Sutton发现，理光与夏普的复印机、惠普扫描仪以及Snom VoIP手机通常都能够从互联网上直接加以访问。而且这些设备往往归企业所在，而且整个机构压根不知道它们处于可在线查看的状态。

数字档案的影印本可能会被攻击者获取，而他们同样能够通过数据包捕获功能对嵌入式VoIP系统进行窃听。"如果(VoIP系统)处于可访问状态，我们自然就可以登录、开启、捕捉流量并且下载PCAP等等。而借助Wireshark，我们还能够对目标机构加以监听，"Sutton解释道。

关键是要在攻击者得逞之前发现这些存在漏洞的设备。Sutton打造了一款名为BREWS的免费工具，用于自动执行此类检测。

其它类型的网络设备中也有不少错误配置，同样可能让对此毫不知情的客户们陷入安全风险。根据HD Moore去年公布的研究结果，他发现有数以百计的DSL集线器、SCADA(即监测控制与数据采集)系统、VoIP设备以及交换机中存在用于 VxWorks系统的诊断服务功能。这是一种完全不应该在生产模式下被启用的功能，Moore(他是Rapid 7首席安全官，同时也是Metasploit的总设计师)警告说，因为它会允许外界访问并读取或写入设备内存及电源周期体系中的信息。

类似的问题同样见于如今配备了GSM或蜂窝接入装置的客户设备。iSec Partner公司安全顾问Don Bailey认为，GPS跟踪设备、汽车报警器甚至是SCADA系统传感器很容易受到来自网络的攻击。一旦攻击者在网络上搜索到此类设备，他们就有机会加以利用。

Bailey曾成功地侵入了一套当下流行的汽车防盗系统，并通过向其发送文本消息的方式远程启动了该车辆。而盗用SCADA传器器所带来的危害使人更加不寒而慄。

5.源代码或配置文件中的字符错误

Apache Web服务器(或其它Web平台)中缺失的正斜杠符号可能会让攻击者有机会侵入数据库、防火墙、路由器以及其它内部网络设备。最近在Apache服务器上出现的反向代理旁路攻击展示了配置文件中的单个字符如何造就或是摧毁整套安全体系。

来自Context信息安全公司的研究及开发部门经理Michael Jordon发现了这个问题，并声称这更是一种用户并不了解的错误配置现象：正斜杠在Apache Web代理中将激活"重写规则"。

"这是一个典型的案例，功能就摆在那里但人们却并不知情，也不了解这属于一种错误配置，"Jordon指出。

Apache在本月早些时候发布了针对这一问题的补丁，但Jordon认为这个问题很可能还在影响着其它Web平台。"补丁只能减少此类错误配置出现的可能性，"他解释道。

"任何其它重写URL的反向代理也许还面临着同样的问题。我们已经与其它Web服务器供应商取得了联系并向他们知会了此事，"他说道。

6.明显但却仍然普遍存在的问题：非常用系统补丁更新不及时

及时为系统打上补丁不仅是的种良好的使用范例，同时也应该被视作强制性原则，但这并不意味着所有机构都能及时、准确将其实施妥当，尤其是对于某些看似风险较低的系统更是如此。

就拿美国能源部来说吧，他们本周就荣幸地成为补丁更新的反面教材。根据美国能源部监察办公室的说法，能源部中有十五个不同的分支机构被发现仍在使用未实施已知漏洞补丁更新的桌面系统、网络系统以及运行应用程序的网络设备。正在运行操作系统或应用程序的桌面系统中，有46%没有安装最新补丁，监察主管在报告中称。

"这些应用程序中那些已知漏洞并没有及时被对应的补丁所修复，而事实上在我们着手测试的三个月之前这些补丁就已经提供下载了，"报告(PDF格式)中写道。

但联邦机构绝不是惟一疏于更新补丁的家伙：许多机构都在控制并处理自身运行环境的漏洞方面煞费苦心。来自Secunia的一份最新研究结果建议，企业只要能将严重性漏洞补丁的部署放在第一位，而不是过分关心哪些应用程序比较流行，他们就能获得安全方面的大幅度提升。

eEye数字安全公司CTO兼联合创始人Marc Maiffret指出，归根结底是由于大家对自己不了解的信息没有概念。"企业……没有这样的洞察力，因此他们不知道如何应对自身环境中所存在的缺陷。或者他们不知道如何着手进行，因此只能选择放弃。"Maiffret分析道。