fbpx
维基百科

漏洞

二月 08, 2023

漏洞[1]脆弱性[2](英語:Vulnerability),是指计算机系统安全方面的缺陷,使得系统或其应用数据的保密性完整性可用性访问控制等面临威胁。

在《GB/T 25069-2010 信息安全技术 术语》,将脆弱性定义为“资产中能被威胁所利用的弱点”[2]

许多安全漏洞是程序错误导致的,此时可叫做安全錯誤(英語:Security bug),但并不是所有的安全隐患都是程序安全錯誤导致的。

原因

  • 複雜:大型的複雜系統會增加缺陷以及未預期文件系统权限的可能性[3][4]
  • 熟悉:使用常見、著名的程式,軟體,作業系統及硬體,若沒有經常更新系統,容易被攻擊者找到缺陷進行攻擊.[5]
  • 互連:越來越多的實體連接、特權、通訊埠、通訊協定以及服務,每一項都會增加系統被攻擊的可能性[6]
  • 密碼管理缺陷:電腦使用者的密码若强度不足,可能會用暴力法破解[7]。電腦使用者將密碼放在電腦軟體可以存取的地方。使用者在不同的程式和網站上使用相同的密碼[3]
  • 基本操作系统設計缺陷:操作系統設計者選擇去強化用戶管理或程式管理上的非最佳政策。例如使用預設允許英语default permit政策的作業系統,給每一個使用者和軟體完整的權限可以存取整台電腦[3]。操作系统的缺陷讓病毒以及惡意軟體可以以管理者的身份執行指令[8]
  • 瀏覽網站;有些網站可能會有有害的间谍软件廣告軟體,在瀏覽後會自動安裝在電腦中。在瀏覽這些網站後,電腦即受到這些軟體的影響,可能會將個人資料傳送給第三方[9]
  • 程序错误:軟體開發者在軟體中留下了可利用的漏洞,攻擊者可以用這個漏洞來濫用應用程式[3]
  • 不適當的輸入驗證:程式假設所有使用者的輸入都是安全的,沒有檢查使用者輸入的程式,可能會因為無意或刻意的輸入而造成問題,例如缓冲区溢出SQL注入等問題[3]
  • 沒有從過去的錯誤中記取教訓[10][11]:例如大部份在IPv4通訊協定軟體上被發現的漏洞,又在IPv6版本中的重複出現[12]

研究已經證實大部份資訊系統中,最脆弱的部份是使用者、操作者、設計者或是其他的人[13];因此在分析時,人可能有不同的角色,例如資產、威脅、資訊資源等。社会工程学是目前越來越受重視的安全議題。

常见漏洞

参考文献

  1. ^ 国家信息安全漏洞库(CNNVD):漏洞分级规范
  2. ^ 2.0 2.1 中华人民共和国国家标准《GB/T 25069-2010 信息安全技术 术语》
  3. ^ 3.0 3.1 3.2 3.3 3.4 Kakareka, Almantas. 23. Vacca, John (编). Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. 2009: 393. ISBN 978-0-12-374354-1. 
  4. ^ Lagerström, Robert; Baldwin, Carliss; MacCormack, Alan; Sturtevant, Dan; Doolan, Lee. Exploring the Relationship Between Architecture Coupling and Software Vulnerabilities. Engineering Secure Software and Systems (ESSoS), Lecture Notes in Computer Science. June 2017 [31 May 2021]. doi:10.1007/978-3-319-62105-0_4. (原始内容于2021-06-02). 
  5. ^ Krsul, Ivan. Technical Report CSD-TR-97-026. The COAST Laboratory Department of Computer Sciences, Purdue University. April 15, 1997 [2021-07-09]. CiteSeerX 10.1.1.26.5435 . (原始内容于2021-07-09). 
  6. ^ "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006 互联网档案馆的,存档日期2014-11-18.;
  7. ^ Pauli, Darren. Just give up: 123456 is still the world's most popular password. The Register. 16 January 2017 [2017-01-17]. (原始内容于2019-11-14). 
  8. ^ The Six Dumbest Ideas in Computer Security. ranum.com. [2021-07-09]. (原始内容于2020-03-01). 
  9. ^ The Web Application Security Consortium / Web Application Security Statistics. webappsec.org. [2021-07-09]. (原始内容于2019-10-06). 
  10. ^ Ross Anderson. Why Cryptosystems Fail. Technical report, University Computer Laboratory, Cam- bridge, January 1994.
  11. ^ Neil Schlager. When Technology Fails: Significant Technological Disasters, Accidents, and Failures of the Twentieth Century. Gale Research Inc., 1994.
  12. ^ Hacking: The Art of Exploitation Second Edition
  13. ^ Kiountouzis, E. A.; Kokolakis, S. A. Information systems security: facing the information society of the 21st century. London: Chapman & Hall, Ltd. ISBN 0-412-78120-4. 

参见

二月 08, 2023
漏洞, 此條目可参照英語維基百科相應條目来扩充, 2020年6月21日, 若您熟悉来源语言和主题, 请协助参考外语维基百科扩充条目, 请勿直接提交机械翻译, 也不要翻译不可靠, 低品质内容, 依版权协议, 译文需在编辑摘要注明来源, 或于讨论页顶部标记, href, template, translated, page, html, title, template, translated, page, translated, page, 标签, 或脆弱性, 英語, vulnerability, 是指计算机系统安全方. 此條目可参照英語維基百科相應條目来扩充 2020年6月21日 若您熟悉来源语言和主题 请协助参考外语维基百科扩充条目 请勿直接提交机械翻译 也不要翻译不可靠 低品质内容 依版权协议 译文需在编辑摘要注明来源 或于讨论页顶部标记 a href Template Translated page html title Template Translated page Translated page a 标签 漏洞 1 或脆弱性 2 英語 Vulnerability 是指计算机系统安全方面的缺陷 使得系统或其应用数据的保密性 完整性 可用性 访问控制等面临威胁 在 GB T 25069 2010 信息安全技术 术语 将脆弱性定义为 资产中能被威胁所利用的弱点 2 许多安全漏洞是程序错误导致的 此时可叫做安全錯誤 英語 Security bug 但并不是所有的安全隐患都是程序安全錯誤导致的 目录 1 原因 2 常见漏洞 3 参考文献 4 参见原因 编辑複雜 大型的複雜系統會增加缺陷以及未預期文件系统权限的可能性 3 4 熟悉 使用常見 著名的程式 軟體 作業系統及硬體 若沒有經常更新系統 容易被攻擊者找到缺陷進行攻擊 5 互連 越來越多的實體連接 特權 通訊埠 通訊協定以及服務 每一項都會增加系統被攻擊的可能性 6 密碼管理缺陷 電腦使用者的密码若强度不足 可能會用暴力法破解 7 電腦使用者將密碼放在電腦軟體可以存取的地方 使用者在不同的程式和網站上使用相同的密碼 3 基本操作系统設計缺陷 操作系統設計者選擇去強化用戶管理或程式管理上的非最佳政策 例如使用預設允許 英语 default permit 政策的作業系統 給每一個使用者和軟體完整的權限可以存取整台電腦 3 操作系统的缺陷讓病毒以及惡意軟體可以以管理者的身份執行指令 8 瀏覽網站 有些網站可能會有有害的间谍软件或廣告軟體 在瀏覽後會自動安裝在電腦中 在瀏覽這些網站後 電腦即受到這些軟體的影響 可能會將個人資料傳送給第三方 9 程序错误 軟體開發者在軟體中留下了可利用的漏洞 攻擊者可以用這個漏洞來濫用應用程式 3 不適當的輸入驗證 程式假設所有使用者的輸入都是安全的 沒有檢查使用者輸入的程式 可能會因為無意或刻意的輸入而造成問題 例如缓冲区溢出 SQL注入等問題 3 沒有從過去的錯誤中記取教訓 10 11 例如大部份在IPv4通訊協定軟體上被發現的漏洞 又在IPv6版本中的重複出現 12 研究已經證實大部份資訊系統中 最脆弱的部份是使用者 操作者 設計者或是其他的人 13 因此在分析時 人可能有不同的角色 例如資產 威脅 資訊資源等 社会工程学是目前越來越受重視的安全議題 常见漏洞 编辑零日漏洞 SQL注入 缓冲区溢出 跨站脚本 死亡之Ping ARP欺骗 FREAK漏洞 Badlock参考文献 编辑 国家信息安全漏洞库 CNNVD 漏洞分级规范 2 0 2 1 中华人民共和国国家标准 GB T 25069 2010 信息安全技术 术语 3 0 3 1 3 2 3 3 3 4 Kakareka Almantas 23 Vacca John 编 Computer and Information Security Handbook Morgan Kaufmann Publications Elsevier Inc 2009 393 ISBN 978 0 12 374354 1 Lagerstrom Robert Baldwin Carliss MacCormack Alan Sturtevant Dan Doolan Lee Exploring the Relationship Between Architecture Coupling and Software Vulnerabilities Engineering Secure Software and Systems ESSoS Lecture Notes in Computer Science June 2017 31 May 2021 doi 10 1007 978 3 319 62105 0 4 原始内容存档于2021 06 02 Krsul Ivan Technical Report CSD TR 97 026 The COAST Laboratory Department of Computer Sciences Purdue University April 15 1997 2021 07 09 CiteSeerX 10 1 1 26 5435 原始内容存档于2021 07 09 An Introduction to Factor Analysis of Information Risk FAIR Risk Management Insight LLC November 2006 互联网档案馆的存檔 存档日期2014 11 18 Pauli Darren Just give up 123456 is still the world s most popular password The Register 16 January 2017 2017 01 17 原始内容存档于2019 11 14 The Six Dumbest Ideas in Computer Security ranum com 2021 07 09 原始内容存档于2020 03 01 The Web Application Security Consortium Web Application Security Statistics webappsec org 2021 07 09 原始内容存档于2019 10 06 Ross Anderson Why Cryptosystems Fail Technical report University Computer Laboratory Cam bridge January 1994 Neil Schlager When Technology Fails Significant Technological Disasters Accidents and Failures of the Twentieth Century Gale Research Inc 1994 Hacking The Art of Exploitation Second Edition Kiountouzis E A Kokolakis S A Information systems security facing the information society of the 21st century London Chapman amp Hall Ltd ISBN 0 412 78120 4 参见 编辑浏览器安全 电脑应急小组 漏洞扫描器 信息安全 计算机安全 网络安全 安全性測試 英语 Security testing 取自 https zh wikipedia org w index php title 漏洞 amp oldid 74470612, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。