基本介紹
- 中文名:漏洞
- 拼音:lòu dòng
- 注音:ㄌㄡˋ ㄉㄨㄙˋ
- 解釋:小孔或縫隙堵塞漏洞
詞語概念,基本解釋,引證解釋,信息技術含義,系統漏洞,概況,原理,微軟安全公告,級別,漏洞修復,分類,軟體編寫存在bug,系統配置不當,口令失竊,嗅探未加密通訊數據,設計存在缺陷,系統攻擊,
詞語概念
基本解釋
1. [hole;leak; leakage]∶小孔或縫隙堵塞漏洞。
引證解釋
信息技術含義
漏洞是指一個系統存在的弱點或缺陷,系統對特定威脅攻擊或危險事件的敏感性,或進行攻擊的威脅作用的可能性。漏洞可能來自套用軟體或作業系統設計時的缺陷或編碼時產生的錯誤,也可能來自業務在互動處理過程中的設計缺陷或邏輯流程上的不合理之處。這些缺陷、錯誤或不合理之處可能被有意或無意地利用,從而對一個組織的資產或運行造成不利影響,如信息系統被攻擊或控制,重要資料被竊取,用戶數據被篡改,系統被作為入侵其他主機系統的跳板。從目前發現的漏洞來看,套用軟體中的漏洞遠遠多於作業系統中的漏洞,特別是WEB套用系統中的漏洞更是占信息系統漏洞中的絕大多數。
一、 漏洞與具體系統環境之間的關係及其時間相關特性
漏洞會影響到很大範圍的軟硬體設備,包括作系統本身及其支撐軟體,網路客戶和伺服器軟體,網路路由器和安全防火牆等。換而言之,在這些不同的軟硬體設備中都可能存在不同的安全漏洞問題。在不同種類的軟、硬體設備,同種設備的不同版本之間,由不同設備構成的不同系統之間,以及同種系統在不同的設定條件下,都會存在各自不同的安全漏洞問題。
漏洞問題是與時間緊密相關的。一個系統從發布的那一天起,隨著用戶的深入使用,系統中存在的漏洞會被不斷暴露出來,這些早先被發現的漏洞也會不斷被系統供應商發布的補丁軟體修補,或在以後發布的新版系統中得以糾正。而在新版系統糾正了舊版本中具有漏洞的同時,也會引入一些新的漏洞和錯誤。因而隨著時間的推移,舊的漏洞會不斷消失,新的漏洞會不斷出現。漏洞問題也會長期存在。
因而脫離具體的時間和具體的系統環境來討論漏洞問題是毫無意義的。只能針對目標系統的作系統版本、其上運行的軟體版本以及服務運行設定等實際環境來具體談論其中可能存在的漏洞及其可行的解決辦法。
二、漏洞的危害及防範
漏洞的存在,很容易導致黑客的侵入及病毒的駐留,會導致數據丟失和篡改、隱私泄露乃至金錢上的損失,如:網站因漏洞被入侵,網站用戶數據將會泄露、網站功能可能遭到破壞而中止乃至伺服器本身被入侵者控制。目前數碼產品發展,漏洞從過去以電腦為載體延伸至數碼平台,如手機二維碼漏洞,安卓應用程式漏洞等等...
系統漏洞
概況
系統漏洞是指套用軟體或作業系統軟體在邏輯設計上的缺陷或在編寫時產生的錯誤,這個缺陷或錯誤可以被不法者或者電腦黑客利用,通過植入木馬、病毒等方式來攻擊或控制整個電腦,從而竊取您電腦中的重要資料和信息,甚至破壞您的系統。
原理
windows系統漏洞問題是與時間緊密相關的。一個windows系統從發布的那一天起,隨著用戶的深入使用,系統中存在的漏洞會被不斷暴露出來,這些早先被發現的漏洞也會不斷被系統供應商:微軟公司發布的補丁軟體修補,或在以後發布的新版系統中得以糾正。而在新版系統糾正了舊版本中具有漏洞的同時,也會引入一些新的漏洞和錯誤。
因而隨著時間的推移,舊的系統漏洞會不斷消失,新的系統漏洞會不斷出現。系統漏洞問題也會長期存在。
微軟安全公告
2014年2月12日凌晨,微軟發布7個漏洞補丁,包括4個“嚴重”級別的補丁和3個“重要”級別的漏洞。分別修復了Internet Explorer、.Net、Windows中存在的多個漏洞和一個Windows8專屬漏洞。
2014年1月16日,發布1月安全公告,其中4個漏洞補丁級別均為“重要”,它們分別修復了MS Office Word、Windows 7核心和舊版本Windows 核心驅動中存在的多個遠程代碼執行和提權漏洞。同時推送的還有Adobe Flash Player 12的版本更新安裝包及Adobe Reader安全更新。
微軟一般在每月第二周的周二發布安全公告,被稱為“補丁星期二”。
級別
漏洞按嚴重程度分為“緊急”、“重要”、“警告”、“注意”四種。一般的說,在微軟的網站上定義為重要的都應該及時更新。
漏洞修復
系統自動更新Update,或用電腦管家等安全軟體自動修復。
分類
蒼蠅不盯無縫的蛋,入侵者只要找到複雜的計算機網路中的一個縫,就能輕而易舉地闖入系統。所以了解這些縫都有可能在哪裡,對於修補它們至關重要。通常裂縫主要表現在軟體編寫存在bug、系統配置不當、口令失竊、明文通訊信息被監聽以及初始設計存在缺陷等方面。
軟體編寫存在bug
(2)、意料外的聯合使用問題:一個程式經常由功能不同的多層代碼組成,甚至會涉及到最底層的作業系統級別。入侵者通常會利用這個特點為不同的層輸入不同的內容,以達到竊取信息的目的。例如:對於由Perl編寫的程式,入侵者可以在程式的輸入項目中輸入類似“mail</etc/passwd”的字元串,從而使perl讓作業系統調用郵件程式,並傳送出重要的密碼檔案給入侵者。借刀殺人、借Mail送“信”,實在是高!
(3) 、不對輸入內容進行預期檢查:有些編程人員怕麻煩,對輸入內容不進行預期的匹配檢查,使入侵者輸送炸彈的工作輕鬆簡單。
(4)Raceconditions:多任務多執行緒的程式越來越多,在提高運行效率的同時,也要注意Raceconditions的問題。比如說:程式A和程式B都按照“讀/改/寫”的順序操作一個檔案,當A進行完讀和改的工作時,B啟動立即執行完“讀/改/寫”的全部工作,這時A繼續執行寫工作,結果是B的操作沒有了表現!入侵者就可能利用這個處理順序上的漏洞改寫某些重要檔案從而達到闖入系統的目的,所以,編程人員要注意檔案操作的順序以及鎖定等問題。
系統配置不當
(1) 、默認配置的不足:許多系統安裝後都有默認的安全配置信息,通常被稱為easy to use。但遺憾的是,easy to use還意味著easy to break in。所以,一定對默認配置進行揚棄的工作。
(3) 、臨時連線埠:有時候為了測試之用,管理員會在機器上打開一個臨時連線埠,但測試完後卻忘記了禁止它,這樣就會給入侵者有洞可尋、有漏可鑽。通常的解決策略是:除非一個連線埠是必須使用的,否則禁止它!一般情況下,安全審計數據包可用於發現這樣的連線埠並通知管理者。
(4) 、信任關係:網路間的系統經常建立信任關係以方便資源共享,但這也給入侵者帶來隔山打牛、間接攻擊的可能,例如,只要攻破信任群中的一個機器,就有可能進一步攻擊其他的機器。所以,要對信任關係嚴格審核、確保真正的安全聯盟。
口令失竊
(1) 、弱不禁破的口令:就是說雖然設定了口令,但卻簡單得再簡單不過,狡猾的入侵者只需吹灰之力就可破解。
(3) 、暴力攻擊:與字典攻擊類似,但這個字典卻是動態的,就是說,字典包含了所有可能的字元組合。例如,一個包含大小寫的4字元口令大約有50萬個組合,1個包含大小寫且標點符號的7字元口令大約有10萬億組合。對於後者,一般的計算機要花費大約幾個月的時間才能試驗一遍。看到了長口令的好處了吧,真正是一兩撥千斤啊!
嗅探未加密通訊數據
(3)、 遠程嗅探:許多設備都具有RMON(Remotemonitor,遠程監控)功能以便管理者使用公共體字元串(publiccommunitystrings)進行遠程調試。隨著寬頻的不斷普及,入侵者對這個後門越來越感興趣了。
設計存在缺陷
(1) 、 TCP/IP協定的缺陷:TCP/IP協定現在已經廣為套用、但是它設計時卻是在入侵者猖狂肆虐的今天之很早以前設計出來的。因此,存在許多不足造成安全漏洞在所難免,例如smurf攻擊、ICMPUnreachable數據包斷開、IP位址欺騙以及SYNflood。然而,最大的問題在於IP協定是非常容易“輕信”的,就是說入侵者可以隨意地偽造及修改IP數據包而不被發現。現在Ipsec協定已經開發出來以克服這個不足,但還沒有得到廣泛的套用。
系統攻擊
系統攻擊是指某人非法使用或破壞某一信息系統中的資源,以及非授權使系統喪失部分或全部服務功能的行為。
通常可以把攻擊活動大致分為遠程攻擊和內部攻擊兩種。現在隨著網際網路絡的進步,其中的遠程攻擊技術得到很大發展,威脅也越來越大,而其中涉及的系統漏洞以及相關的知識也較多,因此有重要的研究價值。
