漏洞:修订间差异
删除的内容 添加的内容
添加{{Expand language}}标记 |
小 翻譯外文連結 |
||
第7行: | 第7行: | ||
许多安全漏洞是[[程序错误]]导致的,此时可叫做{{link-en|安全缺陷|Security bug}}({{lang-en|Security bug}}),但并不是所有的安全隐患都是程序安全缺陷导致的。 |
许多安全漏洞是[[程序错误]]导致的,此时可叫做{{link-en|安全缺陷|Security bug}}({{lang-en|Security bug}}),但并不是所有的安全隐患都是程序安全缺陷导致的。 |
||
==原因== |
|||
*複雜:大型的複雜系統會增加缺陷以及未預期[[文件系统权限]]的可能性<ref name=Vacca23/><ref>{{Cite journal|url=https://link.springer.com/chapter/10.1007/978-3-319-62105-0_4 |title=Exploring the Relationship Between Architecture Coupling and Software Vulnerabilities |last1=Lagerström |first1=Robert |first2=Carliss |last2=Baldwin |first3=Alan |last3=MacCormack |first4=Dan |last4=Sturtevant |first5=Lee |last5=Doolan |date=June 2017 |access-date=31 May 2021 |doi=10.1007/978-3-319-62105-0_4 |series=Engineering Secure Software and Systems (ESSoS), Lecture Notes in Computer Science}}</ref>。 |
|||
*熟悉:使用常見、著名的程式,軟體,作業系統及硬體,若沒有經常更新系統,容易被攻擊者找到缺陷進行攻擊.<ref>{{cite web | title = Technical Report CSD-TR-97-026 | first = Ivan | last = Krsul | publisher = The COAST Laboratory Department of Computer Sciences, Purdue University | date = April 15, 1997 |url=https://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.26.5435| citeseerx = 10.1.1.26.5435 }}</ref> |
|||
*互連:越來越多的實體連接、特權、通訊埠、通訊協定以及服務,每一項都會增加系統被攻擊的可能性<ref name=FAIR/> |
|||
*密碼管理缺陷:電腦使用者的密码若[[密码强度|强度]]不足,可能會用暴力法破解<ref>{{Cite news|url=https://www.theregister.co.uk/2017/01/16/123456_is_still_the_worlds_most_popular_password/|title=Just give up: 123456 is still the world's most popular password|last=Pauli|first=Darren|date=16 January 2017|work=The Register|access-date=2017-01-17}}</ref>。電腦使用者將密碼放在電腦軟體可以存取的地方。使用者在不同的程式和網站上使用相同的密碼<ref name=Vacca23>{{cite book |
|||
|last= Kakareka |
|||
|first=Almantas |
|||
|editor-last=Vacca |
|||
|editor-first=John |
|||
|title=Computer and Information Security Handbook |
|||
|series=Morgan Kaufmann Publications |
|||
|year=2009 |
|||
|publisher= Elsevier Inc |
|||
|isbn= 978-0-12-374354-1 |
|||
|page=393 |
|||
|chapter=23 |
|||
}} |
|||
</ref> |
|||
*基本[[操作系统]]設計缺陷:操作系統設計者選擇去強化用戶管理或程式管理上的非最佳政策。例如使用{{le|預設允許|default permit}}政策的作業系統,給每一個使用者和軟體完整的權限可以存取整台電腦<ref name=Vacca23/>。操作系统的缺陷讓病毒以及惡意軟體可以以管理者的身份執行指令<ref>{{cite web|url=http://www.ranum.com/security/computer_security/editorials/dumb/|title=The Six Dumbest Ideas in Computer Security|work=ranum.com}}</ref> |
|||
*瀏覽網站;有些網站可能會有有害的[[间谍软件]]或[[廣告軟體]],在瀏覽後會自動安裝在電腦中。在瀏覽這些網站後,電腦即受到這些軟體的影響,可能會將個人資料傳送給第三方<ref>{{cite web|url=http://projects.webappsec.org/w/page/13246989/Web-Application-Security-Statistics#APPENDIX2ADDITIONALVULNERABILITYCLASSIFICATION|title=The Web Application Security Consortium / Web Application Security Statistics|work=webappsec.org}}</ref> |
|||
*[[程序错误]]:軟體開發者在軟體中留下了可利用的漏洞,攻擊者可以用這個漏洞來濫用應用程式<ref name=Vacca23/> |
|||
*[[不適當的輸入驗證]]:程式假設所有使用者的輸入都是安全的,沒有檢查使用者輸入的程式,可贠會因為無意或刻意的輸入而造成問題,例如[[缓冲区溢出]]、[[SQL注入]]等問題<ref name=Vacca23/> |
|||
*沒有過去的錯誤中記取教訓<ref>Ross Anderson. Why Cryptosystems Fail. Technical report, University Computer Laboratory, Cam- |
|||
bridge, January 1994.</ref><ref>Neil Schlager. When Technology Fails: Significant Technological Disasters, Accidents, and Failures of |
|||
the Twentieth Century. Gale Research Inc., 1994.</ref>:例如大部份在[[IPv4]]通訊協定軟體上發生的漏洞,又在[[IPv6]]版本的實現上出現<ref>Hacking: The Art of Exploitation Second Edition</ref> |
|||
研究已經證實大部份資訊系統中,最脆弱的部份是使用者、操作者、設計者或是其他的人<ref> |
|||
{{cite book |last1=Kiountouzis |first1= E. A.|last2= Kokolakis |first2=S. A. |title=Information systems security: facing the information society of the 21st century |publisher=<!-- 沒有連結 -->[[Chapman & Hall]], Ltd |location= London|isbn=0-412-78120-4 }}</ref>:因此在分析時,人可能有不同的角色,例如資產、威脅、資訊資源等。[[社会工程学]]是目前越來越受重視的安全議題。 |
|||
==常见漏洞== |
==常见漏洞== |
2021年7月9日 (五) 09:49的版本
此條目可参照英語維基百科相應條目来扩充。 (2020年6月21日) |
系列條目 |
信息安全 |
---|
相關安全分類 |
威脅 |
防禦 |
漏洞[1]或脆弱性[2](英語:Vulnerability),是指计算机系统安全方面的缺陷,使得系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。
在《GB/T 25069-2010 信息安全技术 术语》,将脆弱性定义为“资产中能被威胁所利用的弱点”[2]。
许多安全漏洞是程序错误导致的,此时可叫做安全缺陷(英語:Security bug),但并不是所有的安全隐患都是程序安全缺陷导致的。
原因
- 複雜:大型的複雜系統會增加缺陷以及未預期文件系统权限的可能性[3][4]。
- 熟悉:使用常見、著名的程式,軟體,作業系統及硬體,若沒有經常更新系統,容易被攻擊者找到缺陷進行攻擊.[5]
- 互連:越來越多的實體連接、特權、通訊埠、通訊協定以及服務,每一項都會增加系統被攻擊的可能性[6]
- 密碼管理缺陷:電腦使用者的密码若强度不足,可能會用暴力法破解[7]。電腦使用者將密碼放在電腦軟體可以存取的地方。使用者在不同的程式和網站上使用相同的密碼[3]
- 基本操作系统設計缺陷:操作系統設計者選擇去強化用戶管理或程式管理上的非最佳政策。例如使用預設允許政策的作業系統,給每一個使用者和軟體完整的權限可以存取整台電腦[3]。操作系统的缺陷讓病毒以及惡意軟體可以以管理者的身份執行指令[8]
- 瀏覽網站;有些網站可能會有有害的间谍软件或廣告軟體,在瀏覽後會自動安裝在電腦中。在瀏覽這些網站後,電腦即受到這些軟體的影響,可能會將個人資料傳送給第三方[9]
- 程序错误:軟體開發者在軟體中留下了可利用的漏洞,攻擊者可以用這個漏洞來濫用應用程式[3]
- 不適當的輸入驗證:程式假設所有使用者的輸入都是安全的,沒有檢查使用者輸入的程式,可贠會因為無意或刻意的輸入而造成問題,例如缓冲区溢出、SQL注入等問題[3]
- 沒有過去的錯誤中記取教訓[10][11]:例如大部份在IPv4通訊協定軟體上發生的漏洞,又在IPv6版本的實現上出現[12]
研究已經證實大部份資訊系統中,最脆弱的部份是使用者、操作者、設計者或是其他的人[13]:因此在分析時,人可能有不同的角色,例如資產、威脅、資訊資源等。社会工程学是目前越來越受重視的安全議題。
常见漏洞
参考文献
- ^ 国家信息安全漏洞库(CNNVD):漏洞分级规范
- ^ 2.0 2.1 中华人民共和国国家标准《GB/T 25069-2010 信息安全技术 术语》
- ^ 3.0 3.1 3.2 3.3 3.4 Kakareka, Almantas. 23. Vacca, John (编). Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. 2009: 393. ISBN 978-0-12-374354-1.
- ^ Lagerström, Robert; Baldwin, Carliss; MacCormack, Alan; Sturtevant, Dan; Doolan, Lee. Exploring the Relationship Between Architecture Coupling and Software Vulnerabilities. Engineering Secure Software and Systems (ESSoS), Lecture Notes in Computer Science. June 2017 [31 May 2021]. doi:10.1007/978-3-319-62105-0_4.
- ^ Krsul, Ivan. Technical Report CSD-TR-97-026. The COAST Laboratory Department of Computer Sciences, Purdue University. April 15, 1997. CiteSeerX 10.1.1.26.5435 .
- ^ 引用错误:没有为名为
FAIR
的参考文献提供内容 - ^ Pauli, Darren. Just give up: 123456 is still the world's most popular password. The Register. 16 January 2017 [2017-01-17].
- ^ The Six Dumbest Ideas in Computer Security. ranum.com.
- ^ The Web Application Security Consortium / Web Application Security Statistics. webappsec.org.
- ^ Ross Anderson. Why Cryptosystems Fail. Technical report, University Computer Laboratory, Cam- bridge, January 1994.
- ^ Neil Schlager. When Technology Fails: Significant Technological Disasters, Accidents, and Failures of the Twentieth Century. Gale Research Inc., 1994.
- ^ Hacking: The Art of Exploitation Second Edition
- ^ Kiountouzis, E. A.; Kokolakis, S. A. Information systems security: facing the information society of the 21st century. London: Chapman & Hall, Ltd. ISBN 0-412-78120-4.
参见
这是一篇计算机安全小作品。你可以通过编辑或修订扩充其内容。 |