- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
目录
Ⅰ安全漏洞及相关的概念2
一、安全漏洞的定义2
二、安全漏洞与Bug的关系3
三、已知漏洞的数量3
Ⅱ安全漏洞的分类4
一、基于利用位置的分类4
1.本地漏洞4
2.远程漏洞4
二、基于威胁类型的分类5
1.获取控制5
2.获取信息5
3.拒绝服务5
三、基于技术类型的分类5
1.内存破坏类5
⑴ .栈缓冲区溢出6
⑵ .堆缓冲区溢出9
⑶ .静态数据区溢出10
⑷ .格式串问题10
⑸ .越界内存访问11
⑹ .释放后重 12
⑺ .二次释放13
2.逻辑错误类13
3.输入验证类15
⑴ .SQL注入15
⑵ .跨站脚本执行(XSS)15
⑶ .远程或本地文件包含16
⑷ .命令注入18
⑸ .目录遍历18
4.设计错误类20
5.配置错误类23
1
安全漏洞概念及分类
本文是一个安全漏洞相关的科普 ,介绍安全漏洞的概念认识 ,漏洞在几个维
度上的分类及实例展示。
Ⅰ安全漏洞及相关的概念
本节介绍什么是安全漏洞及相关的概况。
一、安全漏洞的定义
我们经常听到漏洞这个概念 ,可什么是安全漏洞?想给它一个清晰完整的定
义其实是非常困难的。如果你去搜索一下对于漏洞的定义 ,基本上会发现高大上
的学术界和讲求实用的工业界各有各的说法 ,漏洞相关的各种角色 ,比如研究者、
厂商、用户,对漏洞的认识也是非常不一致的。
从业多年,我至今都找不到一个满意的定义,于是我自己定义一个:
安全漏洞是信息系统在生命周期的各个阶段(设计、实现、运维等过程)中
产生的某类问题 ,这些问题会对系统的安全(机密性、完整性、可用性)产生影
响。
这是一个从研究者角度的偏狭义的定义 ,影响的主体范围限定在了信息系统
中,以尽量不把我们所不熟悉的对象扯进来。
漏洞之所以被描述为某种”问题”,是因为我发现无法简单地用脆弱性、缺
陷和Bug等概念来涵盖它,而更象是这些概念的一个超集。
漏洞会在系统生命周期内的各个阶段被引入进来 ,比如设计阶段引入的一个
设计得非常容易被破解的加密算法,实现阶段引入的一个代码缓冲区溢出问题 ,
运维阶段的一个错误的安全配置,这些都有可能最终成为漏洞。
定义对安全的影响也只涉及狭义信息安全的三方面 :机密性、完整性和可
性。漏洞造成的敏感信息泄露导致机密性的破坏 ;造成数据库中的信息被非法篡
改导致完整性的破坏 ;造成服务器进程的崩溃导致可用性的丧失。漏洞也可能同
2
时导致多个安全属性的破坏。
二、安全漏洞与Bug的关系
漏洞与Bug并不等同 ,他们之间的关系基本可以描述为 :大部分的Bug影
响功能性 ,并不涉及安全性 ,也就不构成漏洞 ;大部分的漏洞来源于Bug ,但并
不是全部 ,它们之间只是有一个很大的交集。可以用如下这个图来展示它们的关
系 :
三、已知漏洞的数量
各个漏洞数据库和索引收录了大量已知的安全漏洞,下表是一个主流漏洞
库的数量的大致估计,漏洞一般最早从20世纪90年代开始:
您可能关注的文档
- (新版)氢氧化钠安全标签.doc
- (四丁基溴化铵)安全周知卡.doc
- 12月04日安全检查.doc
- 11304机巷使用电锤的安全技术措施.doc
- 1012机巷冒顶处理安全技术措施.doc
- 119消防安全周活动.doc
- 1380措施巷氧焊切割安全技术措施.doc
- 1309采面上下巷及切眼维修安全技术措施.doc
- 13大类不安全行为.doc
- 1期 防汛无小事.doc
- 2025年智能电网柔性直流输电技术在我国西部地区应用前景.docx
- 7.2 弹力-人教版八年级物理下册.pptx
- 2025年智能电网柔性直流输电技术在智能变电站中的应用研究.docx
- 2025年智能电网柔性直流输电技术在智能电网智能化存储中的应用.docx
- 2025年智能电网柔性直流输电技术在新能源并网中的应用研究.docx
- 2025年智能电网柔性直流输电技术在智能电网智能化控制中的应用.docx
- 2025年智能电网柔性直流输电技术在智能电网智能化预测中的应用.docx
- 2025年智能电网柔性直流输电技术在智能电网智能化服务中的应用.docx
- 2025年智能电网柔性直流输电技术在智能电网智能化运维中的应用.docx
- 2025年智能电网柔性直流输电技术智能化保护系统研究.docx
最近下载
- 2025年中国麻类种植行业市场全景评估及发展战略规划报告.docx
- 晨光文具财务管理问题及对策研究.docx VIP
- 国家开放大学网络管理与维护综合实训实训 2 使用AD证书服务实现安全的企业网站访问.doc
- 10以内看图列式练习题集.doc VIP
- 适用于EPC总承包模式下的造价控制范例.docx VIP
- 一年级10以内看图列式.docx VIP
- 标准图集-12J003-室外工程.pdf VIP
- 八上语文第四单元测试 提升卷(原卷+解释)2025-2026学年第一学期 (2024统编版).docx VIP
- 螃蟹采购合同范本.docx VIP
- 译林版(2024新版)2024--2025学年度第一学期三年级英语Unit 6 测试卷及答案.doc VIP
原创力文档


文档评论(0)