漏洞

漏洞[1]或脆弱性[2]（英语：），是指计算机系统安全方面的缺陷，使得系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。

在《GB/T 25069-2010 信息安全技术术语》，将脆弱性定义为“资产中能被威胁所利用的弱点”[2]。

许多安全漏洞是进程错误导致的，此时可叫做安全错误（英语：），但并不是所有的安全隐患都是进程安全错误导致的。

原因

复杂：大型的复杂系统会增加缺陷以及未预期文档系统权限的可能性[3][4]。
熟悉：使用常见、著名的程序，软件，操作系统及硬件，若没有经常更新系统，容易被攻击者找到缺陷进行攻击.[5]
互连：越来越多的实体连接、特权、通信端口、通信协定以及服务，每一项都会增加系统被攻击的可能性[6]。
密码管理缺陷：电脑用户的密码若强度不足，可能会用暴力法破解[7]。电脑用户将密码放在电脑软件可以访问的地方。用户在不同的程序和网站上使用相同的密码[3]
基本操作系统设计缺陷：操作系统设计者选择去强化用户管理或程序管理上的非最佳政策。例如使用缺省允许政策的操作系统，给每一个用户和软件完整的权限可以访问整台电脑[3]。操作系统的缺陷让病毒以及恶意软件可以以管理者的身份运行指令[8]
浏览网站；有些网站可能会有有害的间谍软件或广告软件，在浏览后会自动安装在电脑中。在浏览这些网站后，电脑即受到这些软件的影响，可能会将个人数据发送给第三方[9]
进程错误：软件开发者在软件中留下了可利用的漏洞，攻击者可以用这个漏洞来滥用应用程序[3]
不适当的输入验证：程序假设所有用户的输入都是安全的，没有检查用户输入的程序，可能会因为无意或刻意的输入而造成问题，例如缓冲区溢出、SQL注入等问题[3]
没有从过去的错误中记取教训[10][11]：例如大部份在IPv4通信协定软件上被发现的漏洞，又在IPv6版本中的重复出现[12]

研究已经证实大部份信息系统中，最脆弱的部份是用户、操作者、设计者或是其他的人[13]；因此在分析时，人可能有不同的角色，例如资产、威胁、信息资源等。社会工程学是目前越来越受重视的安全议题。

常见漏洞

参考文献

国家信息安全漏洞库（CNNVD）：漏洞分级规范
中华人民共和国国家标准《GB/T 25069-2010 信息安全技术术语》
Kakareka, Almantas. . Vacca, John (编). . Morgan Kaufmann Publications. Elsevier Inc. 2009: 393. ISBN 978-0-12-374354-1.
Lagerström, Robert; Baldwin, Carliss; MacCormack, Alan; Sturtevant, Dan; Doolan, Lee. . Engineering Secure Software and Systems (ESSoS), Lecture Notes in Computer Science. June 2017 [31 May 2021]. doi:10.1007/978-3-319-62105-0_4. （原始内容存档于2021-06-02）.
Krsul, Ivan. . The COAST Laboratory Department of Computer Sciences, Purdue University. April 15, 1997 [2021-07-09]. CiteSeerX 10.1.1.26.5435 . （原始内容存档于2021-07-09）.
"An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006 的存盘，存档日期2014-11-18.;
Pauli, Darren. . The Register. 16 January 2017 [2017-01-17]. （原始内容存档于2019-11-14）.
. ranum.com. [2021-07-09]. （原始内容存档于2020-03-01）.
. webappsec.org. [2021-07-09]. （原始内容存档于2019-10-06）.
Ross Anderson. Why Cryptosystems Fail. Technical report, University Computer Laboratory, Cam- bridge, January 1994.
Neil Schlager. When Technology Fails: Significant Technological Disasters, Accidents, and Failures of the Twentieth Century. Gale Research Inc., 1994.
Hacking: The Art of Exploitation Second Edition
Kiountouzis, E. A.; Kokolakis, S. A. . London: Chapman & Hall, Ltd. ISBN 0-412-78120-4.

参见

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.

[1] 国家信息安全漏洞库（CNNVD）：漏洞分级规范

[GBT25069-2] 中华人民共和国国家标准《GB/T 25069-2010 信息安全技术术语》

[Vacca23-3] Kakareka, Almantas. . Vacca, John (编). . Morgan Kaufmann Publications. Elsevier Inc. 2009: 393. ISBN 978-0-12-374354-1.

[4] Lagerström, Robert; Baldwin, Carliss; MacCormack, Alan; Sturtevant, Dan; Doolan, Lee. . Engineering Secure Software and Systems (ESSoS), Lecture Notes in Computer Science. June 2017 [31 May 2021]. doi:10.1007/978-3-319-62105-0_4. （原始内容存档于2021-06-02）.

[5] Krsul, Ivan. . The COAST Laboratory Department of Computer Sciences, Purdue University. April 15, 1997 [2021-07-09]. CiteSeerX 10.1.1.26.5435 . （原始内容存档于2021-07-09）.

[FAIR-6] "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006 的存盘，存档日期2014-11-18.;

[7] Pauli, Darren. . The Register. 16 January 2017 [2017-01-17]. （原始内容存档于2019-11-14）.

[8] . ranum.com. [2021-07-09]. （原始内容存档于2020-03-01）.

[9] . webappsec.org. [2021-07-09]. （原始内容存档于2019-10-06）.

[10] Ross Anderson. Why Cryptosystems Fail. Technical report, University Computer Laboratory, Cam- bridge, January 1994.

[11] Neil Schlager. When Technology Fails: Significant Technological Disasters, Accidents, and Failures of the Twentieth Century. Gale Research Inc., 1994.

[12] Hacking: The Art of Exploitation Second Edition

[13] Kiountouzis, E. A.; Kokolakis, S. A. . London: Chapman & Hall, Ltd. ISBN 0-412-78120-4.