|
|
一个软件系统可能潜在很多不安全因素,很容易被非法侵入、遭到破坏,或者其机密信息被窃取等。这些危险因素,一般都来自入口,正如俗语所说“病从口入”,软件系统的入口,往往成为软件系统中的安全漏洞,如下所示。
- 暴露的网络通信端口,如FTP 21、SSH 22、Telent 23等端口。
- 操作系统中某些命令。
- 数据文件、邮件附件、系统配置文件等。
- 输入域:如输入恶性脚本、长字符串/超过数字边界造成缓冲区溢出等。
- 代码中安全性问题,如SQL/XML注入式漏洞。
- 子系统的接口、外部系统的参数调用、错误代码或返回值。
- 不安全的数据存储或传递。
- 错误的认证和会话管理。
- 有问题的访问控制,权限分配有问题。
这些入口没有处理好,就很可能成为系统安全漏洞。而系统存在漏洞,有多方面原因,可能是某些研发人员故意设计的,也有可能是缺乏安全意识和技术能力而无意造成的。
应用软件系统中的这些漏洞,就给了攻击者可乘之机,他们可以利用安全漏洞发起攻击。
软件系统的安全性问题形形色色,有各种模式和形态,但可以概括为一些基本的类型,例如,微软公司提出了安全威胁模型STRIDE,将安全威胁分为如下6类。
假冒ID:身份欺骗,某些用户冒充其他用户非法访问某些系统数据。
篡改:对数据的恶意修改,破坏信息的完整性,其中包括未经授权更改永久数据(如数据库中保存的数据)以及更改网络传输的数据。
抵赖:没有证据显示用户做了危险的错误操作,容易产生来自用户的攻击,例如,如果没有日志或其他跟踪机制,用户在系统中执行危险操作而无法知晓。
信息泄漏:将信息泄漏给不应该访问这些信息的个人,如用户能够读取未曾授予访问权限的文件或窃取网络传输间的未加密的数据。
拒绝服务:攻击会造成用户无法正常使用软件服务,例如,借助工具大量发送请求,导致Web服务器暂时不可用。
特权升级:无特权的用户获得特权,属于授权侵犯,因此可以通过这种特权访问来威胁或破坏整个系统,一般来自内部攻击。
除此之外,还有旁路控制、计算机病毒、恶意软件(内嵌逻辑炸弹)以及信息安全法律法规不完善等带来的安全性问题。 |
|
发 帖
发表于 2022-12-2 13:36:33