漏洞 [1] 或脆弱性 [2] (英语:Vulnerability ),是指计算机系统 安全方面的缺陷,使得系统或其应用数据的保密性 、完整性 、可用性 、访问控制 等面临威胁。
在《GB/T 25069-2010 信息安全技术 术语》,将脆弱性定义为“资产中能被威胁所利用的弱点”[2] 。
许多安全漏洞是程序错误 导致的,此时可叫做安全错误 (英语:Security bug ),但并不是所有的安全隐患都是程序安全错误导致的。
复杂:大型的复杂系统会增加缺陷以及未预期文件系统权限 的可能性[3] [4] 。
熟悉:使用常见、著名的程式,软体,作业系统及硬体,若没有经常更新系统,容易被攻击者找到缺陷进行攻击.[5]
互连:越来越多的实体连接、特权、通讯埠、通讯协定以及服务,每一项都会增加系统被攻击的可能性[6] 。
密码管理缺陷:电脑使用者的密码若强度 不足,可能会用暴力法破解[7] 。电脑使用者将密码放在电脑软体可以存取的地方。使用者在不同的程式和网站上使用相同的密码[3]
基本操作系统 设计缺陷:操作系统设计者选择去强化用户管理或程式管理上的非最佳政策。例如使用预设允许 政策的作业系统,给每一个使用者和软体完整的权限可以存取整台电脑[3] 。操作系统的缺陷让病毒以及恶意软体可以以管理者的身份执行指令[8]
浏览网站;有些网站可能会有有害的间谍软件 或广告软体 ,在浏览后会自动安装在电脑中。在浏览这些网站后,电脑即受到这些软体的影响,可能会将个人资料传送给第三方[9]
程序错误 :软体开发者在软体中留下了可利用的漏洞,攻击者可以用这个漏洞来滥用应用程式[3]
不适当的输入验证 :程式假设所有使用者的输入都是安全的,没有检查使用者输入的程式,可能会因为无意或刻意的输入而造成问题,例如缓冲区溢出 、SQL注入 等问题[3]
没有从过去的错误中记取教训[10] [11] :例如大部份在IPv4 通讯协定软体上被发现的漏洞,又在IPv6 版本中的重复出现[12]
研究已经证实大部份资讯系统中,最脆弱的部份是使用者、操作者、设计者或是其他的人[13] ;因此在分析时,人可能有不同的角色,例如资产、威胁、资讯资源等。社会工程学 是目前越来越受重视的安全议题。
常见漏洞 [ 编辑 ]
参考文献 [ 编辑 ]
^ 国家信息安全漏洞库(CNNVD):漏洞分级规范
^ 2.0 2.1 中华人民共和国国家标准 《GB/T 25069-2010 信息安全技术 术语》
^ 3.0 3.1 3.2 3.3 3.4 Kakareka, Almantas. 23. Vacca, John (编). Computer and Information Security Handbook . Morgan Kaufmann Publications. Elsevier Inc. 2009: 393 . ISBN 978-0-12-374354-1 .
^ Lagerström, Robert; Baldwin, Carliss; MacCormack, Alan; Sturtevant, Dan; Doolan, Lee. Exploring the Relationship Between Architecture Coupling and Software Vulnerabilities . Engineering Secure Software and Systems (ESSoS), Lecture Notes in Computer Science. June 2017 [31 May 2021] . doi:10.1007/978-3-319-62105-0_4 . (原始内容存档 于2021-06-02).
^ Krsul, Ivan. Technical Report CSD-TR-97-026 . The COAST Laboratory Department of Computer Sciences, Purdue University. April 15, 1997 [2021-07-09 ] . CiteSeerX 10.1.1.26.5435 . (原始内容存档 于2021-07-09).
^ "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006 互联网档案馆 的存档 ,存档日期2014-11-18.;
^ Pauli, Darren. Just give up: 123456 is still the world's most popular password . The Register. 16 January 2017 [2017-01-17 ] . (原始内容存档 于2019-11-14).
^ The Six Dumbest Ideas in Computer Security . ranum.com. [2021-07-09 ] . (原始内容存档 于2020-03-01).
^ The Web Application Security Consortium / Web Application Security Statistics . webappsec.org. [2021-07-09 ] . (原始内容存档 于2019-10-06).
^ Ross Anderson. Why Cryptosystems Fail. Technical report, University Computer Laboratory, Cam-
bridge, January 1994.
^ Neil Schlager. When Technology Fails: Significant Technological Disasters, Accidents, and Failures of
the Twentieth Century. Gale Research Inc., 1994.
^ Hacking: The Art of Exploitation Second Edition
^
Kiountouzis, E. A.; Kokolakis, S. A. Information systems security: facing the information society of the 21st century. London: Chapman & Hall , Ltd. ISBN 0-412-78120-4 .
电脑入侵
事件 政府机构 黑客组织 个人 恶意软件 概念·思想 手段·技术
测试途径(The "box" approach) 测试层次 测试类型与技术 相关议题