漏洞 [ 1] 或脆弱性 [ 2] (英語:Vulnerability ),是指電腦系統 安全方面的缺陷,使得系統或其應用資料的保密性 、完整性 、可用性 、訪問控制 等面臨威脅。
在《GB/T 25069-2010 資訊安全技術 術語》,將脆弱性定義為「資產中能被威脅所利用的弱點」[ 2] 。
許多安全漏洞是程式錯誤 導致的,此時可叫做安全錯誤 (英語:Security bug ),但並不是所有的安全隱患都是程式安全錯誤導致的。
原因
複雜:大型的複雜系統會增加缺陷以及未預期檔案系統權限 的可能性[ 3] [ 4] 。
熟悉:使用常見、著名的程式,軟體,作業系統及硬體,若沒有經常更新系統,容易被攻擊者找到缺陷進行攻擊.[ 5]
互連:越來越多的實體連接、特權、通訊埠、通訊協定以及服務,每一項都會增加系統被攻擊的可能性[ 6] 。
密碼管理缺陷:電腦使用者的密碼若強度 不足,可能會用暴力法破解[ 7] 。電腦使用者將密碼放在電腦軟體可以存取的地方。使用者在不同的程式和網站上使用相同的密碼[ 3]
基本作業系統 設計缺陷:操作系統設計者選擇去強化使用者管理或程式管理上的非最佳政策。例如使用預設允許 政策的作業系統,給每一個使用者和軟體完整的權限可以存取整台電腦[ 3] 。作業系統的缺陷讓病毒以及惡意軟體可以以管理者的身分執行指令[ 8]
瀏覽網站;有些網站可能會有有害的間諜軟體 或廣告軟體 ,在瀏覽後會自動安裝在電腦中。在瀏覽這些網站後,電腦即受到這些軟體的影響,可能會將個人資料傳送給第三方[ 9]
程式錯誤 :軟體開發者在軟體中留下了可利用的漏洞,攻擊者可以用這個漏洞來濫用應用程式[ 3]
不適當的輸入驗證 :程式假設所有使用者的輸入都是安全的,沒有檢查使用者輸入的程式,可能會因為無意或刻意的輸入而造成問題,例如緩衝區溢位 、SQL注入 等問題[ 3]
沒有從過去的錯誤中記取教訓[ 10] [ 11] :例如大部份在IPv4 通訊協定軟體上被發現的漏洞,又在IPv6 版本中的重複出現[ 12]
研究已經證實大部份資訊系統中,最脆弱的部份是使用者、操作者、設計者或是其他的人[ 13] ;因此在分析時,人可能有不同的角色,例如資產、威脅、資訊資源等。社會工程學 是目前越來越受重視的安全議題。
常見漏洞
參考文獻
^ 國家資訊安全漏洞庫(CNNVD):漏洞分級規範
^ 2.0 2.1 中華人民共和國國家標準 《GB/T 25069-2010 資訊安全技術 術語》
^ 3.0 3.1 3.2 3.3 3.4 Kakareka, Almantas. 23. Vacca, John (編). Computer and Information Security Handbook . Morgan Kaufmann Publications. Elsevier Inc. 2009: 393 . ISBN 978-0-12-374354-1 .
^ Lagerström, Robert; Baldwin, Carliss; MacCormack, Alan; Sturtevant, Dan; Doolan, Lee. Exploring the Relationship Between Architecture Coupling and Software Vulnerabilities . Engineering Secure Software and Systems (ESSoS), Lecture Notes in Computer Science. June 2017 [31 May 2021] . doi:10.1007/978-3-319-62105-0_4 . (原始內容存檔 於2021-06-02).
^ Krsul, Ivan. Technical Report CSD-TR-97-026 . The COAST Laboratory Department of Computer Sciences, Purdue University. April 15, 1997 [2021-07-09 ] . CiteSeerX 10.1.1.26.5435 . (原始內容存檔 於2021-07-09).
^ "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006 網際網路檔案館 的存檔 ,存檔日期2014-11-18.;
^ Pauli, Darren. Just give up: 123456 is still the world's most popular password . The Register. 16 January 2017 [2017-01-17 ] . (原始內容存檔 於2019-11-14).
^ The Six Dumbest Ideas in Computer Security . ranum.com. [2021-07-09 ] . (原始內容存檔 於2020-03-01).
^ The Web Application Security Consortium / Web Application Security Statistics . webappsec.org. [2021-07-09 ] . (原始內容存檔 於2019-10-06).
^ Ross Anderson. Why Cryptosystems Fail. Technical report, University Computer Laboratory, Cam-
bridge, January 1994.
^ Neil Schlager. When Technology Fails: Significant Technological Disasters, Accidents, and Failures of
the Twentieth Century. Gale Research Inc., 1994.
^ Hacking: The Art of Exploitation Second Edition
^
Kiountouzis, E. A.; Kokolakis, S. A. Information systems security: facing the information society of the 21st century. London: Chapman & Hall , Ltd. ISBN 0-412-78120-4 .
參見
電腦入侵
事件 政府機構 駭客組織 個人 惡意軟體 概念·思想 手段·技術
測試途徑(The "box" approach) 測試層次 測試類型與技術 相關議題