漏洞[1]脆弱性[2](英语:Vulnerability),是指电脑系统安全方面的缺陷,使得系统或其应用数据的保密性完整性可用性访问控制等面临威胁。

在《GB/T 25069-2010 资讯安全技术 术语》,将脆弱性定义为“资产中能被威胁所利用的弱点”[2]

许多安全漏洞是程序错误导致的,此时可叫做安全错误(英语:Security bug),但并不是所有的安全隐患都是程序安全错误导致的。

原因

  • 复杂:大型的复杂系统会增加缺陷以及未预期文件系统权限的可能性[3][4]
  • 熟悉:使用常见、著名的程序,软件,操作系统及硬件,若没有经常更新系统,容易被攻击者找到缺陷进行攻击.[5]
  • 互连:越来越多的实体连接、特权、通讯端口、通讯协议以及服务,每一项都会增加系统被攻击的可能性[6]
  • 密码管理缺陷:电脑用户的密码若强度不足,可能会用暴力法破解[7]。电脑用户将密码放在电脑软件可以存取的地方。用户在不同的程序和网站上使用相同的密码[3]
  • 基本操作系统设计缺陷:操作系统设计者选择去强化用户管理或程序管理上的非最佳政策。例如使用默认允许英语default permit政策的操作系统,给每一个用户和软件完整的权限可以存取整台电脑[3]。操作系统的缺陷让病毒以及恶意软件可以以管理者的身份执行指令[8]
  • 浏览网站;有些网站可能会有有害的间谍软件广告软件,在浏览后会自动安装在电脑中。在浏览这些网站后,电脑即受到这些软件的影响,可能会将个人资料发送给第三方[9]
  • 程序错误:软件开发者在软件中留下了可利用的漏洞,攻击者可以用这个漏洞来滥用应用程式[3]
  • 不适当的输入验证:程序假设所有用户的输入都是安全的,没有检查用户输入的程序,可能会因为无意或刻意的输入而造成问题,例如缓冲区溢出SQL注入等问题[3]
  • 没有从过去的错误中记取教训[10][11]:例如大部分在IPv4通讯协议软件上被发现的漏洞,又在IPv6版本中的重复出现[12]

研究已经证实大部分资讯系统中,最脆弱的部分是用户、操作者、设计者或是其他的人[13];因此在分析时,人可能有不同的角色,例如资产、威胁、资讯资源等。社会工程学是目前越来越受重视的安全议题。

常见漏洞

参考文献

参见

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.