安全错误
系列条目 |
资讯安全 |
---|
相关安全分类 |
威胁 |
防御 |
安全缺陷或安全错误(security bug)是指会导致电脑系统中未授权的存取或是特权的程序错误。安全缺陷会影响以下的机制(可能影响一项或多项),因此产生漏洞:
安全缺陷不一定会被识别出来,就算没有被利用,仍然算是安全缺陷,目前假定几乎所有的系统都有安全缺陷,比已知的漏洞更加常见。
原因
安全缺陷就像其他的程序错误一样,其根本原因一般就可以追溯到以下程序的缺乏或是不足[2]:
术语
安全缺陷一般会分为几个较广泛的分类,其中包括[3]:
- 记忆体安全(例如缓冲区溢出或是迷途指针错误)
- 竞争危害
- 安全输入及输出处理
- 应用程序接口的错误使用
- 不当的用例处理
- 不当异常处理
- 资源泄漏,多半是因为不当的异常处理,不过也有例外
- 输入字串没有经过先检查,确认字串正确,就先进行了前处理
缓和
可以参考软件安全保障。
相关条目
参考资料
- ^ 1.0 1.1 CWE/SANS TOP 25 Most Dangerous Software Errors. SANS. [13 July 2012]. (原始内容存档于2018-08-01).
- ^ Software Quality and Software Security. 2008-11-02 [2017-04-28]. (原始内容存档于2018-02-09).
- ^ Alhazmi, Omar H.; Woo, Sung-Whan; Malaiya, Yashwant K. Security vulnerability categories in major software systems. Proceedings of the Third IASTED International Conference on Communication, Network, and Information Security. Jan 2006.
延伸阅读
- Open Web Application Security Project. 2013 Top 10 List. 21 August 2015 [2021-11-02]. (原始内容存档于2013-10-09).
- CWE/SANS TOP 25 Most Dangerous Software Errors. SANS. [13 July 2012]. (原始内容存档于2018-08-01).