安全錯誤

安全缺陷或安全錯誤（security bug）是指會導致電腦系統中未授權的存取或是特權的程序错误。安全缺陷會影響以下的機制（可能影響一項或多項），因此產生漏洞：

信息安全
系列條目

相關安全分類
计算机安全汽車網路安全網路犯罪網路性交易电脑诈骗網路末日戰網路恐怖主義網絡戰電子作戰信息战互联网安全移動安全网络安全、公開來源情報與反制(,OSINT）复制保护数字版权管理
威脅
廣告軟體高级长期威胁任意代码执行軟體後門硬體後門代碼注入犯罪软件跨網站指令碼騎劫挖礦殭屍網絡数据泄露路过式下载浏览器辅助对象电脑犯罪计算机病毒資料抓取阻斷服務攻擊竊聽郵件詐騙郵件混淆漏洞利用键盘记录邏輯炸彈定時炸彈 Fork炸弹 Zip 炸弹欺詐撥號器恶意软件负载钓鱼式攻击多型引擎特权提升勒索軟體 Rootkit 恐嚇軟體 Shellcode 濫發電子訊息社会工程学屏幕抓取间谍软件程序错误特洛伊木马硬體木馬远程桌面软件漏洞後門殼層刪除器電腦蠕蟲 SQL注入流氓软件殭屍電腦
防禦
應用程式安全安全程式碼撰寫預設安全基於安全的設計誤用案例電腦存取控制身份验证多重要素驗證授權電腦安全軟體杀毒软件安全作業系統以資料為中心的安全代码混淆数据脱敏加密防火墙安全強化入侵检测系统主機入侵檢測系統 (HIDS) 异常检测安全性資訊與事件管理 (SIEM) 資安協作自動化應變 (SOAR) 安全行動閘道應用程式執行期保護

安全缺陷不一定會被識別出來，就算沒有被利用，仍然算是安全缺陷，目前假定幾乎所有的系統都有安全缺陷，比已知的漏洞更加常見。

原因

安全缺陷就像其他的程序错误一樣，其根本原因一般就可以追溯到以下程序的缺乏或是不足[2]：

程序员訓練
用例分析
软件开发过程
品質保證測試
以下其他最佳实践

術語

安全缺陷一般會分為幾個較廣泛的分類，其中包括[3]：

記憶體安全（例如缓冲区溢出或是迷途指针錯誤）
競爭危害
安全輸入及輸出處理
应用程序接口的錯誤使用
不當的用例處理
不當异常处理
资源泄漏，多半是因為不當的異常處理，不過也有例外
輸入字串沒有經過先檢查，確認字串正確，就先進行了前處理

緩和

可以參考軟體安全保障。

相關條目

计算机安全
Hacking: The Art of Exploitation Second Edition
資訊科技風險
威脅 (電腦)
漏洞
硬體錯誤
程式編寫安全

參考資料

. SANS. [13 July 2012]. （原始内容存档于2018-08-01）.
. 2008-11-02 [2017-04-28]. （原始内容存档于2018-02-09）.
Alhazmi, Omar H.; Woo, Sung-Whan; Malaiya, Yashwant K. . Proceedings of the Third IASTED International Conference on Communication, Network, and Information Security. Jan 2006.

延伸閱讀

Open Web Application Security Project. . 21 August 2015 [2021-11-02]. （原始内容存档于2013-10-09）.
. SANS. [13 July 2012]. （原始内容存档于2018-08-01）.

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.