著名安全专家,培训专家,sec120安全学院院长 陈十三哥 1999-2005作品回顾!部分作品,为各大网站、杂志转载,部分作品为他人所利用,修改成别的标题,署名他人广泛传播。技术自由,欢迎转载!
有人说:“会被黑吗,这个是什么漏洞啊? 在网上或一些新闻上听说漏洞这个词,那什么是漏洞呢...怎样才算是一个漏洞呢. ”
有人说:这个名词相信也不用太多的介绍,根据字面意思也可以理解,就好象一个房子,门很结实,可是有个窗户却不好,这就很可能造成被别人进入,入侵是也是相对的,必须要有漏洞才可以入侵。
也有人说:漏洞就是系统程序开发时考虑不周全的程序问题..(个人理解).但是呢在用户使用中.又会出现一些新的漏洞!可以分为:1,安全漏洞 这类就是程序开发时的漏洞,,常常被一些别我用心的人利用!2,安全设置 这类就是用户自定义的"错误"..是"黑客"攻击的常用突破口!
让技术保障您的安全,让安全融入您的生活,欢迎光临sec120安全学院每日讲座,每天花十分钟,让您不再在黑暗中摸索,下面开始——————
漏洞是一个永远的童话.实现劫富济贫的英雄梦想,实现打破技术垄断的自由蓝图,发现漏洞的人,利用漏洞的人,修补漏洞的人,喜欢漏洞的人,害怕漏洞的人就象这个多彩的世界一样,他们构成了计算机网络安全世界永远的角色!
现在很多口必称漏洞,把漏洞的利用当自己的绝招和宝贝,其实漏洞是什么,我们或许存在着很多误解。下面结合相关资料和我个人的理解,我们今天就讲讲什么是漏洞,这个十分基本的问题。时间关系,晚上再具体修改,说得形象点。
1,什么是漏洞
专业上讲漏洞是在硬件、软件、协议的具体实现或系统安全策略上(主要是人为)存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。但是,其实这是一个纲目,很多书上定义都不同,这里算是比较全面的。怎么理解呢,还是有例子来说吧,这几十年来,漏洞太多了,不能一一说,具体举例来说,
比如容易被黑客攻击的10个漏洞。地址
http://www.juntuan.net/hkjc/xinshou/n/2005-10-18/9649.html
PGP安全漏洞
http://www.juntuan.net/wgjs/luyou/n/2005-10-10/9344.html
输入法漏洞之完全心得
http://www.juntuan.net/hkjc/ldyj/n/2005-10-10/9291.html
网络交易协定SSL漏洞百出
http://www.juntuan.net/wgjs/luyou/n/2005-10-09/9263.html
漏洞集合
http://www.juntuan.net/e/search/result/?searchid=636
2,漏洞的狭义范围:
漏洞会影响到很大范围的软硬件设备,包括作系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。怎么理解呢,就是在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。具体例子,可以参阅“从张小龙对漏洞的回复看中国软件产业对安全的意识还需加强” ,地址:http://www.juntuan.net/hkjc/ldyj/n/2005-10-10/9296.html
计算机网络系统安全漏洞分类研究
http://www.juntuan.net/hkjc/ldyj/n/2005-10-10/9290.html
3,漏洞的广义范围:
这里的漏洞是指所有威胁到计算机信息安全的事物。包括人员,硬件,软件,程序,数据。
具体以后再详细的讲解!
4,漏洞的长久性
漏洞问题是与时间紧密相关的。一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补,或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时,也会引入一些新的漏洞和错误。因而随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断出现。漏洞问题也会长期存在。
5,漏洞的隐蔽性
系统安全漏洞是指可以用来对系统安全造成危害,系统本身具有的,或设置上存在的缺陷。总之,漏洞是系统在具体实现中的错误。比如在建立安全机制中规划考虑上的缺陷,作系统和其他软件编程中的错误,以及在使用该系统提供的安全机制时人为的配置错误等。
系统安全漏洞是在系统具体实现和具体使用中产生的错误,但并不是系统中存在的错误都是安全漏洞。只有能威胁到系统安全的错误才是漏洞。许多错误在通常情况下并不会对系统安全造成危害,只有被人在某些条件下故意使用时才会影响系统安全。
6,漏洞的必然被发现性
漏洞虽然可能最初就存在于系统当中,但一个漏洞并不是自己出现的,必须要有人发现。在实际使用中,用户会发现系统中存在错误,而入侵者会有意利用其中的某些错误并使其成为威胁系统安全的工具,这时人们会认识到这个错误是一个系统安全漏洞。系统供应商会尽快发布针对这个漏洞的补丁程序,纠正这个错误。这就是系统安全漏洞从被发现到被纠正的一般过程。
系统攻击者往往是安全漏洞的发现者和使用者,要对于一个系统进行攻击,如果不能发现和使用系统中存在的安全漏洞是不可能成功的。对于安全级别较高的系统尤其如此。
系统安全漏洞与系统攻击活动之间有紧密的关系。因而不该脱离系统攻击活动来谈论安全漏洞问题。
广泛的攻击存在,才使漏洞存在必然被发现性。
7,为什么要紧跟最新的计算机系统及其安全问题的最新发展动态?
因而脱离具体的时间和具体的系统环境来讨论漏洞问题是毫无意义的。只能针对目标系统的作系统版本、其上运行的软件版本以及服务运行设置等实际环境来具体谈论其中可能存在的漏洞及其可行的解决办法。
同时应该看到,对漏洞问题的研究必须要跟踪当前最新的计算机系统及其安全问题的最新发展动态。这一点如同对计算机病毒发展问题的研究相似。如果在工作中不能保持对新技术的跟踪,就没有谈论系统安全漏洞问题的发言权,既使是以前所作的工作也会逐渐失去价值。
你喜欢漏洞,你讨厌也好.它永远存在,做到了"不以物喜,不以己悲",实现了"爱她就爱她的灵魂----自由,平等,共享,创新". 同时它也证明了这个世界没有绝对的安全,如果世界上永远存在计算机存在软件,那么它又将证明什么叫永恒.童话里有永恒的虚假的美, 而漏洞是永恒的真实的童话.
