何为安全漏洞VIP专享VIP免费

何为安全漏洞—04009125程雨生关键词：安全漏洞相关大事件；安全漏洞分类；危害等。2012年11月28日，在教室聆听了王伟老师的关于安全漏洞的讲座。王老师的整个讲座内容贴近生活实际，通俗易懂，条理清晰。安全大事件：一、莫里斯蠕虫。1988年冬天，正在康乃尔大学攻读的莫里斯，把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络——互联网。1988年11月2日下午5点，互联网的管理人员首次发现网络有不明入侵者。它们仿佛是网络中的超级间谍，狡猾地不断截取用户口令等网络中的“机密文件”，利用这些口令欺骗网络中的“哨兵”，长驱直入互联网中的用户电脑。入侵得手，立即反客为主，并闪电般地自我复制，抢占地盘。短短12小时内，已有6200台采用Unix操作系统的SUN工作站和VAX小型机瘫痪或半瘫痪，不计其数的数据和资料毁于这一夜之间。造成一场损失近亿美元的空前大劫难！二、阿丽亚娜5型火箭自爆阿丽亚娜系列火箭，在一次发射过程中，由于计算机安全问题，导致火箭自爆造成巨大损失。三、“震网”病毒1月16日，美国《纽约时报》发表文章称，美国和以色列联合研制的名为“震网”的电脑蠕虫病毒，成功袭击了伊朗的纳坦兹铀浓缩工厂等核设施。报道称，美、以在一场看不见硝烟的“网战”中延迟了伊朗的核计划。由于种种网络漏洞的产生，造成的安全大事件还有很多很多，给社会的经济带来了很多负面影响，所以，了解一定的安全漏洞知识是很必要的。安全漏洞分类：一、用户群体（1）大众类软件的漏洞。如Windows的漏洞、IE的漏洞、QQ漏洞等等。（2）专用软件的漏洞。如Oracle漏洞、Apache漏洞等等。二、数据角度（1）能读按理不能读的数据，包括内存中的数据、文件中的数据、用户输入的数据、数据库中的数据、网络上传输的数据等等。（2）能把指定的内容写入指定的地方。（3）输入的数据能被执行。三、作用范围（1）远程漏洞，攻击者可以利用并直接通过网络发起攻击的漏洞。这类漏洞危害极大，攻击者能随心所欲的通过此漏洞操作他人的电脑。并且此类漏洞很容易导致蠕虫攻击。（2）本地漏洞，攻击者必须在本机拥有访问权限前提下才能发起攻击的漏洞。比较典型的是本地权限提升漏洞，这类漏洞在Unix系统中广泛存在，能让普通用户获得最高管理员权限。四、触发条件（1）主动触发漏洞，攻击者可以主动利用该漏洞进行攻击，如直接访问他人计算机。（2）被动触发漏洞，必须要计算机的操作人员配合才能进行攻击利用的漏洞。比如攻击者给管理员发一封邮件，带了一个特殊的jpg图片文件，如果管理员打开图片文件就会导致看图软件的某个漏洞被触发，从而系统被攻击，但如果管理员不看这个图片则不会受攻击。五、时间分类（1）已发现很久的漏洞：厂商已经发布补丁或修补方法，很多人都已经知道。这类漏洞通常很多人已经进行了修补，宏观上看危害比较小。（2）刚发现的漏洞：厂商刚发补丁或修补方法，知道的人还不多。相对于上一种漏洞其危害性较大，如果此时出现了蠕虫或傻瓜化的利用程序，那么会导致大批系统受到攻击。（3）0day：还没有公开的漏洞，在私下交易中的。这类漏洞通常对大众不会有什么影响，但会导致攻击者瞄准的目标受到精确攻击，危害也是非常之大。漏洞的种类王老师把其具体分为：web类；二进制类；逻辑类。关于用户权限方面，分为水平权限和垂直权限。水平权限漏洞：凡是用户A可以利用来访问用户B的敏感资源的漏洞。通常，水平权限漏洞产生的原因是：在展现用户信息时，使用了较易被伪造的身份依据水平权限漏洞的原理看似简单，但他和开发的思维、编码习惯刚好相反，因此会经常冒出来。尤其是WAP和AJAX接口，开发者往往不把这些接口当作HTTP请求看，增加了很多其实不存在的有利于安全假设条件，从而导致更加忽视对权限的鉴别。垂直权限是什么？我是普通用户，但是我可以看到管理员的权限，这就是权限控制漏洞。漏洞的危害安全漏洞的危害有很多种体现，可以分为：提权；水平权限不同用户间侵害；拒绝服务；欺骗等。具体的例子有：一、SQL注入数据库系统除了可能受到缓冲区溢出的攻击外，近几年又出现了SQL注入的攻击方式，这种攻击方式被称为“SYSDBA的恶梦”。SQL注入可能导...