导图社区 第1章 漏洞的基本知识
这是一篇关于第1章 漏洞的基本知识的思维导图①漏洞(vulnerability)是指计算机系统的硬件,软件、协议在系统设计、具体实现、系统配置或安全策略上存在的缺陷和不足。
社区模板帮助中心,点此进入>>
互联网9大思维
组织架构-单商户商城webAPP 思维导图。
域控上线
python思维导图
css
CSS
计算机操作系统思维导图
计算机组成原理
IMX6UL(A7)
考试学情分析系统
第1章 漏洞的基本知识
1.1 漏洞概述
1.1.2 漏洞的成因
1. 技术角度
一是应用系统自身存在的“先天性漏洞”
二是在应用系统的开发过程中由于开发人员的蔬 忽面造成的“后天性漏洞”。
1.1.1 漏洞的定义
①漏洞(vulnerability)是指计算机系统的硬件、 软件、协议在系统设计、具体实现、系统配置或 安全策略上存在的缺陷和不足
②漏洞本身并不会导致系统损坏,但它能够被攻 击者利用,从而获得计算机养统的额外权限,使 攻击者能够在未授权的情况下访问或破坏系统, 影响计算机系统的正常运行,甚至造成安全损 害。
2. 经济角度
计算机系统的安全性不是显性价值,厂商要实现安全性,就要额外付出巨大的代价。厂商更加重视计算机系统的功能、性能、易用性,而不愿意在安全质量上做更大的投人,为了提高计算机系统效率而降低其安全性.结果导致计算机系统安全问题越来越严重,这种现象可以进一步归结为经济学上的外在性。
3. 应用环境角度
随着移动互联网和物联网的不断发展,漏洞类 型和数量急剧增加,漏洞产生的危害和影响远远 超过在非网络或同构网络环境下漏洞的危害和影 响程度。
1.2 漏洞的特征与危害
1.2.1 漏洞的特征
1. 漏洞是一种状态或条件,表现为不足或者缺陷
2. 漏洞并不都能进行自动检测
3. 漏洞与时间紧密相关
4. 漏洞通常由不正确的系统设计或错误逻辑造成
5. 漏洞会影响大范围的软硬件设备
1.2.2 漏洞的危害
1. 系统的完整性
攻击者可以利用漏洞入侵系统,能够在未经授权 的情况下对存储或传输过程中的信息进行删除、 修改、伪造、乱序、重放、插入等破坏操作,从 而破坏计算机系统的完整性。
2. 系统的可用性
攻击者利用漏洞破坏系统或者阻止网络正常运 行,导致信息或网络服务不可用,即法用户的正 常服务要求得不到满足,从而破坏了系统的可用 性。
3. 系统的机密性
攻击者利用漏洞给非授权的个人和实体泄漏受保 护的信息。需要注意的是,在很多场景下,系统 的机密性和完整性是交叠的。
4. 系统的可控性
攻击者利用漏洞,使得系统对于合法用户而言处 在“失控”状态,从而破坏系统对信息控制能力。
5. 系统的可靠性
攻击者利用漏洞对用户认可的质量特性(信息传递 的迅速性、准确性以及连续地转移)造成危害,也 就是指系统无法在规定的条件和时间完成规定的 功能。
1.3 漏洞的分类方式
1.3.1 漏洞的作用方式
1.本地提权漏洞
本地提权漏洞是指可以实现非法提升程序或用户 的系统权限,从而实现越权操作的安全漏洞。
2.远程代码执行漏洞
远程代码执行漏洞,就是指无须验证账号的合法性, 就可以实现远程登录访问的安全漏洞。
3.拒绝服务漏洞
拒绝服务漏洞,是指可以导致目标应用或系统暂 时或永远性失去响应正常服务的能力,影响系统 的可用性。这种漏洞的主要作用是使程序系统崩 溃,无法正常工作。
1.3.2 漏洞的普遍性
1. 通用型漏洞
2. 事件型漏洞
3. 0day漏洞
1.4 常见的漏洞类型
1.4.1 操作系统漏洞
Windows系统漏洞
其他系统漏洞
Linux
UNIX
Mac OS
1.4.2 数据库漏洞
数据库特权提升
攻击者通过恶意手段获得超过其应该具有的系统 权限
数据库敏感数据未加密
存储介质遗失后易被破解
数据库的错误配置
老旧未补的漏洞或默认账户配置参数引起的
1.4.3 网络设备漏洞
交换机漏洞
主要包括VLAN跳跃漏洞、生成树漏洞、MAC表 洪水漏洞、ARP漏洞、VIP漏洞
防火墙漏洞
如果攻击者获取了关闭防火墙的权限,结果可能 是毁灭性的
路由器漏洞
包括默认口令、固定漏洞、路由后门等一系列安 全问题
1.4.4 Web漏洞
SQL注入漏洞
XSS跨脚本攻击
目录遍历
CSRF跨站请求伪造攻击
界面操作挟持
1.4.5 弱口令
1.5 漏洞的发展现状和趋势
1.5.1 漏洞安全事件
1.5.2 漏洞的发展现状
1.5.3 漏洞的发展趋势
1.6 漏洞外延应用
1.6.1 安全服务
1.6.2 补天漏洞响应平台
