零日攻击 - 维基百科，自由的百科全书

此条目需要扩充。 (2015年2月2日)
请协助改善这篇条目，更进一步的信息可能会在讨论页或扩充请求中找到。请在扩充条目后将此模板移除。

在电脑领域中，零日漏洞或零时差漏洞（英语：zero-day vulnerability、0-day vulnerability）通常是指还没有补丁的安全漏洞，而零日攻击或零时差攻击（英语：zero-day exploit、zero-day attack）则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。零日漏洞的利用程序对网络安全具有巨大威胁，因此零日漏洞不但是黑客的最爱，掌握多少零日漏洞也成为评价黑客技术水准的一个重要参数。

利用价值[编辑]

零时差攻击及其利用代码不仅对犯罪黑客而言，具有极高的利用价值，一些国家间谍和网军部队，例如美国国家安全局和美国网战司令部也非常重视这些信息^[1]。据路透社报告称美国政府是零时差漏洞黑市的最大买家^[2]。

解决方法[编辑]

一般而言，零时差攻击唯一彻底解决方法便是由原软件发行公司提供修补程序，但此法通常较慢，因此信息安全软件公司通常会在最新的病毒码中提供回避已知零时差攻击的功能，但无法彻底解决漏洞本身^[3]。根据赛门铁克第14期网络安全威胁研究在2008年分析的所有浏览器中，Safari平均要在漏洞出现9天后才会完成修补，需时最久。Mozilla Firefox平均短于1天，需时最短^[4]。

著名的零日攻击[编辑]

震网（Stuxnet）
极光行动

参考资料[编辑]

^ KIM ZETTER. 黑客词库：何谓“零時差攻击”. 青岛多芬诺信息安全技术有限公司. WIRED. 2014-12-15 [2018-02-02]. （原始内容存档于2018-02-02）（中文（简体））.
^ 青砚. 王晓易_NE0011 , 编. 美国政府被曝零時差漏洞黑市最大买家. 网易财经 (中国经济周刊(北京)). 2015-07-14 [2018-02-02]. （原始内容存档于2018-02-02）（中文（简体））.
^ 马培治. 零時差攻擊. DIGITIMES. 2009-07-08 [2018-02-02]. （原始内容存档于2018-02-02）（中文（繁体））.
^ 赛门铁克发布安全报告2008年病毒及恶意软件数量飙升. 资讯信息网. 2016-02-24. （原始内容存档于2017-03-05）（中文（简体））.

外部链接[编辑]

Attackers seize on new zero-day in Word from InfoWorld
PowerPoint Zero-Day Attack May Be Case of Corporate Espionage from FoxNews
Microsoft Issues Word Zero-Day Attack Alert^{[失效链接]} from eWeek

查论编电脑入侵

事件	2003年骤雨计划 2009年极光行动 2010年澳大利亚网络攻击（英语：February 2010 Australian cyberattacks） 2010年偿还行动（英语：Operation Payback） 2011年DigiNotar黑客入侵事件 2011年突尼斯行动（英语：Operation Tunisia） 2011年PSN个人信息泄露事件 2011年反安全行动（英语：Operation AntiSec） 2012–2013年斯特拉特福公司电邮泄露事件 2012年领英黑客入侵事件（英语：2012 LinkedIn hack） 2013年南韩网络攻击（英语：2013 South Korea cyberattack） 2013年Snapchat黑客入侵事件 2014年Tovar行动（英语：Operation Tovar） 2014年日本文殊核电站电脑病毒事件 2014年名人照片泄露事件 2014年心脏出血漏洞 2014年破壳漏洞 2014年贵宾犬漏洞 2014年索尼影业黑客入侵事件 2015年FREAK漏洞 2015年美国联邦人事管理局资料外泄案伟易达集团孟加拉银行遭黑客入侵事件 Dyn网络攻击俄罗斯干预美国总统选举 WannaCry勒索病毒 2017年威斯敏斯特网络攻击（英语：2017 Westminster cyberattack） Petya勒索病毒 2017年乌克兰受网络攻击事件（英语：2017 cyberattacks on Ukraine） Equifax数据泄露德勤熔毁/幽灵漏洞美国中央情报局被指对中国大陆网络渗透攻击 Zoom轰炸 Twitter比特币骗局 2020年美国联邦政府数据泄露事件殖民管道网络攻击 Log4j2漏洞事件 2022年俄罗斯对乌克兰的网络攻击上海公安数据库泄露事件 2022年西北工业大学遭网络攻击事件 2023年美国五角大楼文件泄露事件

政府机构	美国网络司令部特定入侵行动办公室中国人民解放军战略支援部队网络系统部朝鲜网络部队（日语：北朝鮮サイバー軍）（朝鲜人民军第121局）叙利亚电子军（英语：Syrian Electronic Army）日本网络防卫队（日语：自衛隊サイバー防衛隊）国际打击网络威胁多边伙伴（英语：International Multilateral Partnership Against Cyber Threats）美国互联网犯罪投诉中心（英语：Internet Crime Complaint Center）欧洲网络犯罪中心（英语：European Cybercrime Centre）中华民国数位发展部中华民国国防部资通电军指挥部乌克兰信息技术军新加坡共和国数字部队

黑客组织	匿名者乌克兰战争期间的行动（英语：Anonymous and the 2022 Russian invasion of Ukraine）网络金雕（英语：CyberBerkut） Derp（英语：Derp (hacker group)） Goatse安全（英语：Goatse Security） Hacking Team 蜥蜴小队（英语：Lizard Squad） LulzRaft（英语：LulzRaft） LulzSec NullCrew（英语：NullCrew） RedHack（英语：RedHack） TeaMp0isoN（英语：TeaMp0isoN）地下纳粹（英语：UGNazi）混沌计算机俱乐部死牛崇拜红客韩国网络外交使节团 L0pht重工方程式隐形人安全集团 DarkSide APT 27 网络游击队

个人	陈盈豪约翰·德雷珀（英语：John Draper）凯文·米特尼克下村努罗伯特·泰潘·莫里斯凯文·波尔森阿德里安·拉莫 Donncha O'Cearbhaill（英语：Donncha O'Cearbhaill）杰里米·哈蒙德（英语：Jeremy Hammond）乔治·霍兹古驰法（英语：Guccifer）阿尔伯特·冈萨雷斯（英语：Albert Gonzalez）赫克特·蒙赛格 (萨布)（英语：Hector Monsegur）杰克·戴维斯 (绿色雕塑)（英语：Topiary (hacktivist)）小丑 (The Jester)（英语：The Jester） weev（英语：weev）加里·麦金农（英语：Gary McKinnon）

恶意软件	Careto (面具)（英语：Careto (malware)） CryptoLocker Dexter（英语：Dexter (malware)）毒区（英语：Duqu） FinFisher（英语：FinFisher）火焰 Gameover ZeuS（英语：Gameover ZeuS） Mahdi（英语：Mahdi (malware)） Metulji僵尸网络（英语：Metulji botnet） NSA ANT产品目录（英语：NSA ANT catalog） R2D2（英语：R2D2 (trojan)） Shamoon（英语：Shamoon） Stars（英语：Stars virus）震网黑暗幽灵 (DCM) 震荡波蠕虫手机恶意软件（英语：Mobile malware） TeslaCrypt VPNFilter WannaCry Petya 瑞晶 peacenotwar（英语：peacenotwar）

概念·思想	《黑客宣言》网络战网络恐怖主义黑客行动主义黑客电脑犯罪软件破解（逆向工程）

手段·技术	安全漏洞漏洞利用高级长期威胁（APT）零日攻击 DNS污染缓冲区溢出堆风水（英语：Heap feng shui）堆喷射（英语：Heap spraying）穷举攻击/蛮力攻击跨站脚本攻击（XSS）水坑攻击偷渡式下载 SQL注入中间人攻击中途相遇攻击谷歌骇侵法