漏洞：修订间差异

以互动方式浏览历史

←上一版本下一版本→

删除的内容添加的内容

可视化wikitext

行内

2021年7月9日 (五) 09:49的版本

漏洞^[1]或脆弱性^[2]（英語：Vulnerability），是指计算机系统安全方面的缺陷，使得系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。

在《GB/T 25069-2010 信息安全技术术语》，将脆弱性定义为“资产中能被威胁所利用的弱点”^[2]。

许多安全漏洞是程序错误导致的，此时可叫做安全缺陷（英語：Security bug），但并不是所有的安全隐患都是程序安全缺陷导致的。

原因

複雜：大型的複雜系統會增加缺陷以及未預期文件系统权限的可能性^[3]^[4]。
熟悉：使用常見、著名的程式，軟體，作業系統及硬體，若沒有經常更新系統，容易被攻擊者找到缺陷進行攻擊.^[5]
互連：越來越多的實體連接、特權、通訊埠、通訊協定以及服務，每一項都會增加系統被攻擊的可能性^[6]
密碼管理缺陷：電腦使用者的密码若强度不足，可能會用暴力法破解^[7]。電腦使用者將密碼放在電腦軟體可以存取的地方。使用者在不同的程式和網站上使用相同的密碼^[3]
基本操作系统設計缺陷：操作系統設計者選擇去強化用戶管理或程式管理上的非最佳政策。例如使用預設允許（英语：default permit）政策的作業系統，給每一個使用者和軟體完整的權限可以存取整台電腦^[3]。操作系统的缺陷讓病毒以及惡意軟體可以以管理者的身份執行指令^[8]
瀏覽網站；有些網站可能會有有害的间谍软件或廣告軟體，在瀏覽後會自動安裝在電腦中。在瀏覽這些網站後，電腦即受到這些軟體的影響，可能會將個人資料傳送給第三方^[9]
程序错误：軟體開發者在軟體中留下了可利用的漏洞，攻擊者可以用這個漏洞來濫用應用程式^[3]
不適當的輸入驗證：程式假設所有使用者的輸入都是安全的，沒有檢查使用者輸入的程式，可贠會因為無意或刻意的輸入而造成問題，例如缓冲区溢出、SQL注入等問題^[3]
沒有過去的錯誤中記取教訓^[10]^[11]：例如大部份在IPv4通訊協定軟體上發生的漏洞，又在IPv6版本的實現上出現^[12]

研究已經證實大部份資訊系統中，最脆弱的部份是使用者、操作者、設計者或是其他的人^[13]：因此在分析時，人可能有不同的角色，例如資產、威脅、資訊資源等。社会工程学是目前越來越受重視的安全議題。

常见漏洞

参考文献

^ 国家信息安全漏洞库（CNNVD）：漏洞分级规范
^ ^2.0 ^2.1 中华人民共和国国家标准《GB/T 25069-2010 信息安全技术术语》
^ ^3.0 ^3.1 ^3.2 ^3.3 ^3.4 Kakareka, Almantas. 23. Vacca, John (编). Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. 2009: 393. ISBN 978-0-12-374354-1.
^ Lagerström, Robert; Baldwin, Carliss; MacCormack, Alan; Sturtevant, Dan; Doolan, Lee. Exploring the Relationship Between Architecture Coupling and Software Vulnerabilities. Engineering Secure Software and Systems (ESSoS), Lecture Notes in Computer Science. June 2017 [31 May 2021]. doi:10.1007/978-3-319-62105-0_4.
^ Krsul, Ivan. Technical Report CSD-TR-97-026. The COAST Laboratory Department of Computer Sciences, Purdue University. April 15, 1997. CiteSeerX 10.1.1.26.5435 .
^ 引用错误：没有为名为FAIR的参考文献提供内容
^ Pauli, Darren. Just give up: 123456 is still the world's most popular password. The Register. 16 January 2017 [2017-01-17].
^ The Six Dumbest Ideas in Computer Security. ranum.com.
^ The Web Application Security Consortium / Web Application Security Statistics. webappsec.org.
^ Ross Anderson. Why Cryptosystems Fail. Technical report, University Computer Laboratory, Cam- bridge, January 1994.
^ Neil Schlager. When Technology Fails: Significant Technological Disasters, Accidents, and Failures of the Twentieth Century. Gale Research Inc., 1994.
^ Hacking: The Art of Exploitation Second Edition
^ Kiountouzis, E. A.; Kokolakis, S. A. Information systems security: facing the information society of the 21st century. London: Chapman & Hall, Ltd. ISBN 0-412-78120-4.

参见

信息安全
- 计算机安全
  - 网络安全

这是一篇计算机安全小作品。你可以通过编辑或修订扩充其内容。

[1] 国家信息安全漏洞库（CNNVD）：漏洞分级规范

[GBT25069-2] 2.0 ^2.1 中华人民共和国国家标准《GB/T 25069-2010 信息安全技术术语》

[Vacca23-3] 3.0 ^3.1 ^3.2 ^3.3 ^3.4 Kakareka, Almantas. 23. Vacca, John (编). Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. 2009: 393. ISBN 978-0-12-374354-1.

[4] Lagerström, Robert; Baldwin, Carliss; MacCormack, Alan; Sturtevant, Dan; Doolan, Lee. Exploring the Relationship Between Architecture Coupling and Software Vulnerabilities. Engineering Secure Software and Systems (ESSoS), Lecture Notes in Computer Science. June 2017 [31 May 2021]. doi:10.1007/978-3-319-62105-0_4.

[5] Krsul, Ivan. Technical Report CSD-TR-97-026. The COAST Laboratory Department of Computer Sciences, Purdue University. April 15, 1997. CiteSeerX 10.1.1.26.5435 .

[FAIR-6] 引用错误：没有为名为FAIR的参考文献提供内容

[7] Pauli, Darren. Just give up: 123456 is still the world's most popular password. The Register. 16 January 2017 [2017-01-17].

[8] The Six Dumbest Ideas in Computer Security. ranum.com.

[9] The Web Application Security Consortium / Web Application Security Statistics. webappsec.org.

[10] Ross Anderson. Why Cryptosystems Fail. Technical report, University Computer Laboratory, Cam- bridge, January 1994.

[11] Neil Schlager. When Technology Fails: Significant Technological Disasters, Accidents, and Failures of the Twentieth Century. Gale Research Inc., 1994.

[12] Hacking: The Art of Exploitation Second Edition

[13] Kiountouzis, E. A.; Kokolakis, S. A. Information systems security: facing the information society of the 21st century. London: Chapman & Hall, Ltd. ISBN 0-412-78120-4.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

@@ 第7行： / 第7行： @@
 许多安全漏洞是[[程序错误]]导致的，此时可叫做{{link-en|安全缺陷|Security bug}}（{{lang-en|Security bug}}），但并不是所有的安全隐患都是程序安全缺陷导致的。
+==原因==
+*複雜：大型的複雜系統會增加缺陷以及未預期[[文件系统权限]]的可能性<ref name=Vacca23/><ref>{{Cite journal|url=https://link.springer.com/chapter/10.1007/978-3-319-62105-0_4 |title=Exploring the Relationship Between Architecture Coupling and Software Vulnerabilities |last1=Lagerström |first1=Robert |first2=Carliss |last2=Baldwin |first3=Alan |last3=MacCormack |first4=Dan |last4=Sturtevant |first5=Lee |last5=Doolan |date=June 2017 |access-date=31 May 2021 |doi=10.1007/978-3-319-62105-0_4  |series=Engineering Secure Software and Systems (ESSoS), Lecture Notes in Computer Science}}</ref>。
+*熟悉：使用常見、著名的程式，軟體，作業系統及硬體，若沒有經常更新系統，容易被攻擊者找到缺陷進行攻擊.<ref>{{cite web | title = Technical Report CSD-TR-97-026 | first = Ivan | last = Krsul | publisher = The COAST Laboratory Department of Computer Sciences, Purdue University | date = April 15, 1997 |url=https://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.26.5435| citeseerx = 10.1.1.26.5435 }}</ref>
+*互連：越來越多的實體連接、特權、通訊埠、通訊協定以及服務，每一項都會增加系統被攻擊的可能性<ref name=FAIR/>
+*密碼管理缺陷：電腦使用者的密码若[[密码强度|强度]]不足，可能會用暴力法破解<ref>{{Cite news|url=https://www.theregister.co.uk/2017/01/16/123456_is_still_the_worlds_most_popular_password/|title=Just give up: 123456 is still the world's most popular password|last=Pauli|first=Darren|date=16 January 2017|work=The Register|access-date=2017-01-17}}</ref>。電腦使用者將密碼放在電腦軟體可以存取的地方。使用者在不同的程式和網站上使用相同的密碼<ref name=Vacca23>{{cite book
+|last= Kakareka
+|first=Almantas
+|editor-last=Vacca
+|editor-first=John
+|title=Computer and Information Security Handbook
+|series=Morgan Kaufmann Publications
+|year=2009
+|publisher= Elsevier Inc
+|isbn= 978-0-12-374354-1
+|page=393
+|chapter=23
+}}
+</ref>
+*基本[[操作系统]]設計缺陷：操作系統設計者選擇去強化用戶管理或程式管理上的非最佳政策。例如使用{{le|預設允許|default permit}}政策的作業系統，給每一個使用者和軟體完整的權限可以存取整台電腦<ref name=Vacca23/>。操作系统的缺陷讓病毒以及惡意軟體可以以管理者的身份執行指令<ref>{{cite web|url=http://www.ranum.com/security/computer_security/editorials/dumb/|title=The Six Dumbest Ideas in Computer Security|work=ranum.com}}</ref>
+*瀏覽網站；有些網站可能會有有害的[[间谍软件]]或[[廣告軟體]]，在瀏覽後會自動安裝在電腦中。在瀏覽這些網站後，電腦即受到這些軟體的影響，可能會將個人資料傳送給第三方<ref>{{cite web|url=http://projects.webappsec.org/w/page/13246989/Web-Application-Security-Statistics#APPENDIX2ADDITIONALVULNERABILITYCLASSIFICATION|title=The Web Application Security Consortium / Web Application Security Statistics|work=webappsec.org}}</ref>
+*[[程序错误]]：軟體開發者在軟體中留下了可利用的漏洞，攻擊者可以用這個漏洞來濫用應用程式<ref name=Vacca23/>
+*[[不適當的輸入驗證]]：程式假設所有使用者的輸入都是安全的，沒有檢查使用者輸入的程式，可贠會因為無意或刻意的輸入而造成問題，例如[[缓冲区溢出]]、[[SQL注入]]等問題<ref name=Vacca23/>
+*沒有過去的錯誤中記取教訓<ref>Ross Anderson. Why Cryptosystems Fail. Technical report, University Computer Laboratory, Cam-
+bridge, January 1994.</ref><ref>Neil Schlager. When Technology Fails: Significant Technological Disasters, Accidents, and Failures of
+the Twentieth Century. Gale Research Inc., 1994.</ref>：例如大部份在[[IPv4]]通訊協定軟體上發生的漏洞，又在[[IPv6]]版本的實現上出現<ref>Hacking: The Art of Exploitation Second Edition</ref>
+研究已經證實大部份資訊系統中，最脆弱的部份是使用者、操作者、設計者或是其他的人<ref>
+{{cite book |last1=Kiountouzis |first1= E. A.|last2= Kokolakis |first2=S. A. |title=Information systems security: facing the information society of the 21st century |publisher=<!-- 沒有連結 -->[[Chapman & Hall]], Ltd |location= London|isbn=0-412-78120-4  }}</ref>：因此在分析時，人可能有不同的角色，例如資產、威脅、資訊資源等。[[社会工程学]]是目前越來越受重視的安全議題。
 ==常见漏洞==