安全錯誤

系列條目
信息安全
相關安全分類
计算机安全 汽車網路安全 網路犯罪（英语：Cybercrime） 網路性交易（英语：Cybersex trafficking） 电脑诈骗 網路末日戰 網路恐怖主義 網絡戰 電子作戰 信息战 互联网安全（英语：Internet security） 移動安全 网络安全、公開來源情報與反制（OSINT） 复制保护 数字版权管理
威脅
廣告軟體 高级长期威胁 任意代码执行 軟體後門 硬體後門（英语：Hardware backdoors） 代碼注入 犯罪软件 跨網站指令碼 騎劫挖礦 殭屍網絡 数据泄露 路过式下载 浏览器辅助对象 电脑犯罪 计算机病毒 資料抓取（英语：Data scraping） 阻斷服務攻擊 竊聽 郵件詐騙（英语：Email fraud） 郵件混淆（英语：Email spoofing） 漏洞利用 键盘记录 邏輯炸彈 定時炸彈（英语：Time bomb (software)） Fork炸弹 Zip 炸弹 欺詐撥號器（英语：dialer） 恶意软件 负载 钓鱼式攻击 多型引擎 特权提升 勒索軟體 Rootkit 恐嚇軟體 Shellcode 濫發電子訊息 社会工程学 屏幕抓取（英语：Screen scrape） 间谍软件 程序错误 特洛伊木马 硬體木馬（英语：Hardware Trojan） 远程桌面软件 漏洞 後門殼層 刪除器（英语：Wiper (malware)） 電腦蠕蟲 SQL注入 流氓软件 殭屍電腦
防禦
應用程式安全 安全程式碼撰寫 預設安全 基於安全的設計 誤用案例（英语：Misuse case） 電腦存取控制（英语：Computer access control） 身份验证 多重要素驗證 授權 電腦安全軟體（英语：Computer security software） 杀毒软件 安全作業系統（英语：Security-focused operating system） 以資料為中心的安全（英语：Data-centric security） 代码混淆 数据脱敏 加密 防火墙 安全強化 入侵检测系统 主機入侵檢測系統 (HIDS) 异常检测 安全性資訊與事件管理（英语：Security information and event management） (SIEM) 資安協作自動化應變 (SOAR) 安全行動閘道（英语：Mobile secure gateway） 應用程式執行期保護（英语：Runtime application self-protection）
查 论 编

安全缺陷或安全錯誤（security bug）是指會導致電腦系統中未授權的存取或是特權的程序错误。安全缺陷會影響以下的機制（可能影響一項或多項），因此產生漏洞：

• 用户或是其他實體的身份验证^[1]
• 有關存取控制及特权的授權^[1]
• 資料保密
• 数据完整性

安全缺陷不一定會被識別出來，就算沒有被利用，仍然算是安全缺陷，目前假定幾乎所有的系統都有安全缺陷，比已知的漏洞更加常見。

原因[编辑]

安全缺陷就像其他的程序错误一樣，其根本原因一般就可以追溯到以下程序的缺乏或是不足^[2]：

• 程序员訓練
• 用例分析
• 软件开发过程
• 品質保證測試
• 以下其他最佳实践

術語[编辑]

安全缺陷一般會分為幾個較廣泛的分類，其中包括^[3]：

• 記憶體安全（例如缓冲区溢出或是迷途指针錯誤）
• 競爭危害
• 安全輸入及輸出處理
• 应用程序接口的錯誤使用
• 不當的用例處理
• 不當异常处理
• 资源泄漏，多半是因為不當的異常處理，不過也有例外
• 輸入字串沒有經過先檢查，確認字串正確，就先進行了前處理

緩和[编辑]

可以參考軟體安全保障（英语：software security assurance）。

相關條目[编辑]

• 计算机安全
• Hacking: The Art of Exploitation Second Edition（英语：Hacking: The Art of Exploitation Second Edition）
• 資訊科技風險（英语：IT risk）
• 威脅 (電腦)（英语：Threat (computer)）
• 漏洞
• 硬體錯誤（英语：Hardware bug）
• 程式編寫安全

參考資料[编辑]

延伸閱讀[编辑]

• Open Web Application Security Project. 2013 Top 10 List. 21 August 2015 [2021-11-02]. （原始内容存档于2013-10-09）. 
• CWE/SANS TOP 25 Most Dangerous Software Errors. SANS. [13 July 2012]. （原始内容存档于2018-08-01）.