| 系列條目 |
| 資訊安全 |
|---|
 |
| 相關安全分類 |
| 威脅 |
| 防禦 |
漏洞[1]或脆弱性[2](英語:Vulnerability),是指電腦系統安全方面的缺陷,使得系統或其應用數據的保密性、完整性、可用性、存取控制等面臨威脅。
在《GB/T 25069-2010 資訊安全技術 術語》,將脆弱性定義為「資產中能被威脅所利用的弱點」[2]。
許多安全漏洞是程式錯誤導致的,此時可叫做安全錯誤(英語:Security bug),但並不是所有的安全隱患都是程式安全錯誤導致的。
原因
- 複雜:大型的複雜系統會增加缺陷以及未預期檔案系統權限的可能性[3][4]。
- 熟悉:使用常見、著名的程式,軟件,作業系統及硬體,若沒有經常更新系統,容易被攻擊者找到缺陷進行攻擊.[5]
- 互連:越來越多的實體連接、特權、通訊埠、通訊協定以及服務,每一項都會增加系統被攻擊的可能性[6]。
- 密碼管理缺陷:電腦用戶的密碼若強度不足,可能會用暴力法破解[7]。電腦用戶將密碼放在電腦軟件可以存取的地方。用戶在不同的程式和網站上使用相同的密碼[3]
- 基本作業系統設計缺陷:作業系統設計者選擇去強化用戶管理或程式管理上的非最佳政策。例如使用預設允許政策的作業系統,給每一個用戶和軟件完整的權限可以存取整台電腦[3]。作業系統的缺陷讓病毒以及惡意軟件可以以管理者的身份執行指令[8]
- 瀏覽網站;有些網站可能會有有害的間諜軟件或廣告軟件,在瀏覽後會自動安裝在電腦中。在瀏覽這些網站後,電腦即受到這些軟件的影響,可能會將個人資料傳送給第三方[9]
- 程式錯誤:軟件開發者在軟件中留下了可利用的漏洞,攻擊者可以用這個漏洞來濫用應用程式[3]
- 不適當的輸入驗證:程式假設所有用戶的輸入都是安全的,沒有檢查用戶輸入的程式,可貟會因為無意或刻意的輸入而造成問題,例如緩衝區溢位、SQL注入等問題[3]
- 沒有過去的錯誤中記取教訓[10][11]:例如大部份在IPv4通訊協定軟件上發生的漏洞,又在IPv6版本的實現上出現[12]
研究已經證實大部份資訊系統中,最脆弱的部份是用戶、操作者、設計者或是其他的人[13]:因此在分析時,人可能有不同的角色,例如資產、威脅、資訊資源等。社會工程學是目前越來越受重視的安全議題。
常見漏洞
參考文獻
- ↑ 國家資訊安全漏洞庫(CNNVD):漏洞分級規範
- ↑ 2.0 2.1 中華人民共和國國家標準《GB/T 25069-2010 資訊安全技術 術語》
- ↑ 3.0 3.1 3.2 3.3 3.4 Kakareka, Almantas. 23. Vacca, John (編). Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. 2009: 393. ISBN 978-0-12-374354-1.
- ↑ Lagerström, Robert; Baldwin, Carliss; MacCormack, Alan; Sturtevant, Dan; Doolan, Lee. Exploring the Relationship Between Architecture Coupling and Software Vulnerabilities. Engineering Secure Software and Systems (ESSoS), Lecture Notes in Computer Science. 2017-06 [2021-05-31]. doi:10.1007/978-3-319-62105-0_4.
- ↑ Krsul, Ivan. Technical Report CSD-TR-97-026. The COAST Laboratory Department of Computer Sciences, Purdue University. 1997-04-15. CiteSeerX 10.1.1.26.5435
.
- ↑ "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006 ;
- ↑ Pauli, Darren. Just give up: 123456 is still the world's most popular password. The Register. 2017-01-16 [2017-01-17].
- ↑ The Six Dumbest Ideas in Computer Security. ranum.com.
- ↑ The Web Application Security Consortium / Web Application Security Statistics. webappsec.org.
- ↑ Ross Anderson. Why Cryptosystems Fail. Technical report, University Computer Laboratory, Cam- bridge, January 1994.
- ↑ Neil Schlager. When Technology Fails: Significant Technological Disasters, Accidents, and Failures of the Twentieth Century. Gale Research Inc., 1994.
- ↑ Hacking: The Art of Exploitation Second Edition
- ↑ Kiountouzis, E. A.; Kokolakis, S. A. Information systems security: facing the information society of the 21st century. London: Chapman & Hall, Ltd. ISBN 0-412-78120-4.