网易首页 > 网易号 > 正文 申请入驻

详解安全漏洞的定义以及分类

0
分享至

什么是安全漏洞?

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说,比如在Intel Pentium芯片中存在的逻辑错误,在Sendmail早期版本中的编程错误,在NFS协议中认证方式上的弱点,在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用漏洞是指一个系统存在的弱点或缺陷,系统对特定威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误,也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。这些缺陷、错误或不合理之处可能被有意或无意地利用,从而对一个组织的资产或运行造成不利影响,如信息系统被攻击或控制,重要资料被窃取,用户数据被篡改,系统被作为入侵其他主机系统的跳板。从目前发现的漏洞来看,应用软件中的漏洞远远多于操作系统中的漏洞,特别是WEB应用系统中的漏洞更是占信息系统漏洞中的绝大多数。

分类

苍蝇不盯无缝的蛋,入侵者只要找到复杂的计算机网络中的一个缝,就能轻而易举地闯入系统。所以了解这些缝都有可能在哪里,对于修补它们至关重要。通常裂缝主要表现在软件编写存在bug、系统配置不当、口令失窃、明文通讯信息被监听以及初始设计存在缺陷等方面。

软件编写存在bug

无论是服务器程序、客户端软件还是操作系统,只要是用代码编写的东西,都会存在不同程度的bug。Bug主要分为以下几类:

(1) 、缓冲区溢出:指入侵者在程序的有关输入项目中了输入了超过规定长度的字符串,超过的部分通常就是入侵者想要执行的攻击代码,而程序编写者又没有进行输入长度的检查,最终导致多出的攻击代码占据了输入缓冲区后的内存而执行。别以为为登录用户名留出了200个字符就够了而不再做长度检查,所谓防小人不防君子,入侵者会想尽一切办法尝试攻击的途径的。

(2)、意料外的联合使用问题:一个程序经常由功能不同的多层代码组成,甚至会涉及到最底层的操作系统级别。入侵者通常会利用这个特点为不同的层输入不同的内容,以达到窃取信息的目的。例如:对于由Perl编写的程序,入侵者可以在程序的输入项目中输入类似“mail</etc/passwd”的字符串,从而使perl让操作系统调用邮件程序,并发送出重要的密码文件给入侵者。借刀杀人、借Mail送“信”,实在是高!

(3) 、不对输入内容进行预期检查:有些编程人员怕麻烦,对输入内容不进行预期的匹配检查,使入侵者输送炸弹的工作轻松简单。

(4)Raceconditions:多任务多线程的程序越来越多,在提高运行效率的同时,也要注意Raceconditions的问题。比如说:程序A和程序B都按照“读/改/写”的顺序操作一个文件,当A进行完读和改的工作时,B启动立即执行完“读/改/写”的全部工作,这时A继续执行写工作,结果是B的操作没有了表现!入侵者就可能利用这个处理顺序上的漏洞改写某些重要文件从而达到闯入系统的目的,所以,编程人员要注意文件操作的顺序以及锁定等问题。

系统配置不当

(1) 、默认配置的不足:许多系统安装后都有默认的安全配置信息,通常被称为easy to use。但遗憾的是,easy to use还意味着easy to break in。所以,一定对默认配置进行扬弃的工作。

(2)、 管理员懒散:懒散的表现之一就是系统安装后保持管理员口令的空值,而且随后不进行修改。要知道,入侵者首先要做的事情就是搜索网络上是否有这样的管理员为空口令的机器。

(3) 、临时端口:有时候为了测试之用,管理员会在机器上打开一个临时端口,但测试完后却忘记了禁止它,这样就会给入侵者有洞可寻、有漏可钻。通常的解决策略是:除非一个端口是必须使用的,否则禁止它!一般情况下,安全审计数据包可用于发现这样的端口并通知管理者。

(4) 、信任关系:网络间的系统经常建立信任关系以方便资源共享,但这也给入侵者带来隔山打牛、间接攻击的可能,例如,只要攻破信任群中的一个机器,就有可能进一步攻击其他的机器。所以,要对信任关系严格审核、确保真正的安全联盟。

口令失窃

(1) 、弱不禁破的口令:就是说虽然设置了口令,但却简单得再简单不过,狡猾的入侵者只需吹灰之力就可破解。

(2) 、字典攻击:就是指入侵者使用一个程序,该程序借助一个包含用户名和口令的字典数据库,不断地尝试登录系统,直到成功进入。毋庸置疑,这种方式的关键在于有一个好的字典。

(3) 、暴力攻击:与字典攻击类似,但这个字典却是动态的,就是说,字典包含了所有可能的字符组合。例如,一个包含大小写的4字符口令大约有50万个组合,1个包含大小写且标点符号的7字符口令大约有10万亿组合。对于后者,一般的计算机要花费大约几个月的时间才能试验一遍。看到了长口令的好处了吧,真正是一两拨千斤啊!

嗅探未加密通讯数据

(1)、共享介质:传统的以太网结构很便于入侵者在网络上放置一个嗅探器就可以查看该网段上的通讯数据,但是如果采用交换型以太网结构,嗅探行为将变得非常困难。

(2)、服务器嗅探:交换型网络也有一个明显的不足,入侵者可以在服务器上特别是充当路由功能的服务器上安装一个嗅探器软件,然后就可以通过它收集到的信息闯进客户端机器以及信任的机器。例如,虽然不知道用户的口令,但当用户使用Telnet软件登录时就可以嗅探到他输入的口令了。

(3)、 远程嗅探:许多设备都具有RMON(Remotemonitor,远程监控)功能以便管理者使用公共体字符串(publiccommunitystrings)进行远程调试。随着宽带的不断普及,入侵者对这个后门越来越感兴趣了。

设计存在缺陷

TCP/IP协议的缺陷:TCP/IP协议现在已经广为应用、但是它设计时却是在入侵者猖狂肆虐的今天之很早以前设计出来的。因此,存在许多不足造成安全漏洞在所难免,例如smurf攻击、ICMPUnreachable数据包断开、IP地址欺骗以及SYNflood。然而,最大的问题在于IP协议是非常容易“轻信”的,就是说入侵者可以随意地伪造及修改IP数据包而不被发现。现在Ipsec协议已经开发出来以克服这个不足,但还没有得到广泛的应用。

系统攻击

系统攻击是指某人非法使用或破坏某一信息系统中的资源,以及非授权使系统丧失部分或全部服务功能的行为。

通常可以把攻击活动大致分为远程攻击和内部攻击两种。现在随着互联网络的进步,其中的远程攻击技术得到很大发展,威胁也越来越大,而其中涉及的系统漏洞以及相关的知识也较多,因此有重要的研究价值。

GDCA(数安时代)拥有国内自主签发信鉴易 TrustAUTH SSL证书以及是国际多家知名品牌:GlobalSign、Symantec、GeoTrust SSL证书指定的国内代理商。为了让国内更多的网站升级到安全的https加密传输协议。近日,GDCA推出多种国际知名SSL证书以及代码签名证书优惠活动,实现HTTPS加密并展示网站以及程序的真实身份信息。详情请资讯GDCA产品官网在线客服https://www.trustauth.cn/。

文章转载:https://www.trustauth.cn/wiki/15924.html

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
曝盒马员工穿皮鞋踩烤架,客服回应:已对其严肃处理,档口停业整顿

曝盒马员工穿皮鞋踩烤架,客服回应:已对其严肃处理,档口停业整顿

三言科技
2026-07-06 09:32:04
中际旭创已经没脾气了

中际旭创已经没脾气了

财报时间
2026-07-06 08:34:14
中国摩托车在非洲的真实现状:被印度摩托车打得完全没有招架之力

中国摩托车在非洲的真实现状:被印度摩托车打得完全没有招架之力

抽象派大师
2026-07-04 00:42:49
全世界球迷都看呆了!美国前锋巴洛贡红牌禁赛被“特赦”:比利时足协震惊,特朗普点赞 C罗已因“缓刑”受益

全世界球迷都看呆了!美国前锋巴洛贡红牌禁赛被“特赦”:比利时足协震惊,特朗普点赞 C罗已因“缓刑”受益

红星新闻
2026-07-06 08:05:45
国内将逐渐停止“肠镜检查”?做完对身体有无影响?医生告诉真相

国内将逐渐停止“肠镜检查”?做完对身体有无影响?医生告诉真相

健康科普365
2026-06-13 15:51:24
前董事长吴启权,被深圳公安刑事立案

前董事长吴启权,被深圳公安刑事立案

南方都市报
2026-07-06 10:29:08
起猛了!岳云鹏再次登上苹果官网,网友炸了

起猛了!岳云鹏再次登上苹果官网,网友炸了

新浪财经
2026-07-04 08:43:13
英国《卫报》:欧洲“空调之争”正演化成政治斗争

英国《卫报》:欧洲“空调之争”正演化成政治斗争

IT之家
2026-07-05 14:18:19
不考虑钱包的情况下,为啥还是不建议普通人选太高和太大的房子?

不考虑钱包的情况下,为啥还是不建议普通人选太高和太大的房子?

装修秀
2026-07-05 10:40:06
1930年长沙面馆6名红军战士遭杀害,20年后凶手现身,玩起灯下黑

1930年长沙面馆6名红军战士遭杀害,20年后凶手现身,玩起灯下黑

历来都很现实
2025-03-21 16:31:35
高层逮捕元老、私建亲卫军!塔利班内部彻底撕裂

高层逮捕元老、私建亲卫军!塔利班内部彻底撕裂

莫地方
2026-07-06 00:03:21
淘汰巴西后,历史规律站在了挪威这边!哈兰德可以憧憬大力神杯了

淘汰巴西后,历史规律站在了挪威这边!哈兰德可以憧憬大力神杯了

刘哥谈体育
2026-07-06 10:10:08
52岁阿姨:拒绝同房后,老公竟选择了背叛我,我做错了什么?

52岁阿姨:拒绝同房后,老公竟选择了背叛我,我做错了什么?

烙任情感
2026-07-05 10:44:09
5球!贝林厄姆是近2届进球最多的中场 贾斯特、曼赞比各3球

5球!贝林厄姆是近2届进球最多的中场 贾斯特、曼赞比各3球

兰亭墨未干
2026-07-06 10:08:03
隐瞒病史做手术,整个科室差点团灭!医生:求求大家讲真话!超70%患者会隐瞒,还有人隐瞒HIV、梅毒来生小孩!出了事故谁担责?证据是关键

隐瞒病史做手术,整个科室差点团灭!医生:求求大家讲真话!超70%患者会隐瞒,还有人隐瞒HIV、梅毒来生小孩!出了事故谁担责?证据是关键

梅斯医学
2026-07-06 07:54:50
去银行注销银行卡,别再说“我要销卡”!一字之差,后果完全不同

去银行注销银行卡,别再说“我要销卡”!一字之差,后果完全不同

趣味萌宠的日常
2026-07-05 20:31:42
71年毛主席南巡返京突停丰台,留李德生密令:速调38军1个师进京

71年毛主席南巡返京突停丰台,留李德生密令:速调38军1个师进京

小豫讲故事
2026-07-05 00:35:05
高度差16厘米!马未都发声公开藏品来历,罗汉造像真相逐渐清晰

高度差16厘米!马未都发声公开藏品来历,罗汉造像真相逐渐清晰

行者聊官
2026-07-04 23:39:01
泽连斯基提议在已“解放”的康斯坦丁诺夫卡见面:普京不直接回应

泽连斯基提议在已“解放”的康斯坦丁诺夫卡见面:普京不直接回应

鹰眼Defence
2026-07-05 19:05:39
全国各大寺院陷入倒闭潮,并非缺顾客,而是自己把自己搞垮了!

全国各大寺院陷入倒闭潮,并非缺顾客,而是自己把自己搞垮了!

糖逗在娱乐
2026-07-05 21:30:04
2026-07-06 12:36:49
GDCA 数安时代
GDCA 数安时代
推送信息安全资讯
367文章数 12关注度
往期回顾 全部

科技要闻

别想用软色情做智能体的跳板

头条要闻

中国7舰横穿日本4大要道 日本被指"模拟击沉"辽宁舰

头条要闻

中国7舰横穿日本4大要道 日本被指"模拟击沉"辽宁舰

体育要闻

挪威创造历史 哈兰德解开发带庆祝

娱乐要闻

全红婵回老家罕见跳舞,不跳水了?

财经要闻

6天赌光2.8亿 !赵薇前夫赌桌往事曝光

汽车要闻

纯大5座布局/高速NOA 2026款全新揽巡家用商务全拿捏

态度原创

家居
游戏
旅游
艺术
公开课

家居要闻

传奇筑 日常诗

魔兽世界:TBC版本外号最响亮的极品武器,谁的实力最强?

旅游要闻

新疆伊犁:万亩薰衣草盛放 紫韵花海绘就夏日富民画卷

艺术要闻

伊朗超高层方案惊艳世界,曾获国际大奖!

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版