什么是软件安全漏洞

随着社会经济的发展，互联网也随之迅速发展，软件已经充斥在我们生活的方方面面，为我们带来便利的同时，也带来了安全隐患...

你写的这个软件代码实现上有buy ...

他们这个软件设计上有缺陷Flaw ...

我发现了这个软件的一个安全漏洞Vulerability，可能会被利用来做坏事 ...

近几年，随着信息化的快速发展，对于软件漏洞分析和漏洞利用技术已经趋向成熟，黑客也利用这些技术进行攻击，也正因为如此，软件漏洞领域也得到了极大地发展。

作为行业小白，简要学习一下软件安全漏洞的知识。

什么是软件安全漏洞？

简单地说，软件安全漏洞是指在软件的具体实现或系统安全策略上存在的缺陷，无意中留下的不受保护的入口点，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

需要值得注意的是，并不是系统中存在的错误都是安全漏洞，只有能威胁到系统安全的错误才是漏洞。

为什么会出现安全漏洞？

由于计算机基于冯诺依曼体系结构，所以决定了漏洞必然会存在。作为互联网基础的TCP/IP协议栈在设计之初主要源于互联互通和开放性。新技术的出现增加了互联网的复杂性，增大了漏洞产生的概率。软件开发的各个环节都是人为参与的，缺乏经验或者疏忽等都可能引发漏洞。

冯诺依曼和他研制的电子计算机

常见的安全漏洞及危害

1、敏感信息泄露

敏感信息泄露是指包括用户信息、企业员工信息、内部资料等不应当被外部访问到的数据通过网站、接口、外部存储等途径被未授权泄露到外部的漏洞。

信息泄露漏洞会导致大量用户或企业信息被恶意利用，尽心诈骗、账户窃取等，给大家带来严重影响。 且信息一旦被泄露，影响会很难消除。

2、暴力破解

攻击者通过遍历或字典的方式，向目标发起大量请求，通过判断返回数据包的特征来找出正确的验证信息，从而绕过验证机制。

随着互联网众多网站的数据库被泄露，攻击者选择的样本可以更具针对性，暴力破解的成功率也在不断上升。

3、权限漏洞

访问控制是指用户对系统所有访问的权限控制系统安全软件，通常包括水平权限和垂直权限。访问控制问题是所有业务系统都可能产生的逻辑类漏洞，很难通过日常的安全工具扫描或防护，通常会造成大量用户数据泄露事件。

4、SQL注入攻击

是指发生在应用程序的数据库层上的安全漏洞，被广泛用于非法获取网站控制权。由于在设计程序时，忽略了对输入字符串中夹带的SQL指令的检查，被数据库认为是正常的SQL指令而运行，从而使数据库受到攻击，可能导致数据被窃取、更改、删除，甚至执行系统命令扽给，以及进一步导致网站被嵌入恶意代码、被植入后门程序等的危害。

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!