近几年，Web 漏洞发掘和渗透攻击也越来越多，黑客利用网站操作系统、中间件、Web 代码的漏洞进行攻击。Web 漏洞扫描可以作为检测 Web 漏洞的辅助工具之一，帮我们发现 Web 漏洞。扫描 器是通过网络 Fuzzing 功能来探测目标主机和目标服务是否存在漏洞的产品。Web 漏洞扫 描可以对 Web 服务器的多种项目进行全面的安全检测，检测 SQL 注入、XSS、CSRF 等漏 洞并提供解决方案。

当红视频会议软件Zoom被曝存在两个严重漏洞

据Security affairs消息，Google Project Zero安全研究人员近日发现视频会议软件Zoom存在两个重要漏洞，可能会让用户遭受攻击。

这两个漏洞会影响Windows、macOS、Linux、iOS 和 Android 平台上Zoom客户端，这意味着几乎所有的用户都处于漏洞的威胁之中。

第一个漏洞编号为CVE-2021-34423，是一个高严重性的缓冲区溢出漏洞，CVSS 基本得分为7.3分。第二个漏洞编号为CVE-2021-34424，是一个高严重性的内存损坏漏洞，CVSS 基本得分也是7.3分。

目前，Google已经将这两个漏洞已经分享给Zoom。Zoom 发布的安全公告承认了这两个漏洞，并表示，“部分产品发现了一个缓冲区溢出漏洞和内存损坏漏洞，这可能会让应用程序或服务崩溃，攻击者可利用这些漏洞执行任意代码，或暴露进程的内容状态等。”

此外，Zoom 用户还可以自主选择更新的频率。但此次更新“将目标受众扩大到包括非企业组织成员的所有个人用户”。

普普点评

Zoom的安全问题犹如一把达摩克利斯之剑，当它想要从普通用户转向需求更多、价值更高的B端企业用户和G端政府用户，这种重视“易用性”忽视“安全性”的产品思维和产品设计便成了致命的问题，毕竟相对个人来说，企业、政府都不会为有安全漏洞的视频会议产品买单，它们绝对不敢带着商业机密、政府秘密在互联网上裸奔，这也是NASA、谷歌、FBI等大用户光速禁用Zoom的重要原因。