For faster navigation, this Iframe is preloading the Wikiwand page for 漏洞.

Our magic isn't perfect

You can help our automatic cover photo selection by reporting an unsuitable photo.

The cover is visually disturbing

The cover is not a good choice

Thank you for helping!

Your input will affect cover photo selection, along with input from other users.

< back
- Rich
- Minimal
Serif
Sans

Justify Text
Get Wikiwand
Note: preferences and languages are saved separately in https mode
{{::langAbbreviation}}
- Read On Wikipedia
- Edit
- History
- Talk Page
- Print
- Download PDF

{{::$root.activation.text}} {{::$root.activation.toolbarText}}

漏洞

资讯安全
系列条目

相关安全分类
电脑安全汽车网络安全网络犯罪（英语：Cybercrime）网络性交易（英语：Cybersex trafficking）电脑诈骗网络末日战网络恐怖主义网络战电子作战资讯战互联网安全（英语：Internet security）移动安全网络安全、公开来源情报与反制（OSINT）复制保护数码版权管理
威胁
广告软件高级长期威胁任意代码执行软件后门硬件后门（英语：Hardware backdoors）代码注入犯罪软件跨网站脚本骑劫挖矿僵尸网络数据泄露路过式下载浏览器辅助对象电脑犯罪电脑病毒资料抓取（英语：Data scraping）拒绝服务攻击窃听邮件诈骗（英语：Email fraud）邮件混淆（英语：Email spoofing）漏洞利用键盘记录逻辑炸弹定时炸弹（英语：Time bomb (software)） Fork炸弹 Zip 炸弹欺诈拨号器（英语：dialer）恶意软件负载钓鱼式攻击多态引擎特权提升勒索软件 Rootkit 恐吓软件 Shellcode 滥发电子消息社会工程学屏幕抓取（英语：Screen scrape）间谍软件程序错误特洛伊木马硬件木马（英语：Hardware Trojan）远程桌面软件漏洞后门壳层删除器（英语：Wiper (malware)）电脑蠕虫 SQL注入流氓软件僵尸电脑
防御
应用程式安全安全代码撰写默认安全基于安全的设计误用案例（英语：Misuse case）电脑存取控制（英语：Computer access control）身份验证多重要素验证授权电脑安全软件（英语：Computer security software）杀毒软件安全操作系统（英语：Security-focused operating system）以资料为中心的安全（英语：Data-centric security）代码混淆数据脱敏加密防火墙安全强化入侵检测系统主机入侵检测系统 (HIDS) 异常检测安全性资讯与事件管理（英语：Security information and event management） (SIEM) 资安协作自动化应变 (SOAR) 安全行动网关（英语：Mobile secure gateway）应用程式执行期保护（英语：Runtime application self-protection）站点隔离
查论编

漏洞^[1]或脆弱性^[2]（英语：Vulnerability），是指电脑系统安全方面的缺陷，使得系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。

在《GB/T 25069-2010 资讯安全技术术语》，将脆弱性定义为“资产中能被威胁所利用的弱点”^[2]。

许多安全漏洞是程序错误导致的，此时可叫做安全错误（英语：Security bug），但并不是所有的安全隐患都是程序安全错误导致的。

原因

复杂：大型的复杂系统会增加缺陷以及未预期文件系统权限的可能性^[3]^[4]。
熟悉：使用常见、著名的程序，软件，操作系统及硬件，若没有经常更新系统，容易被攻击者找到缺陷进行攻击.^[5]
互连：越来越多的实体连接、特权、通讯端口、通讯协议以及服务，每一项都会增加系统被攻击的可能性^[6]。
密码管理缺陷：电脑用户的密码若强度不足，可能会用暴力法破解^[7]。电脑用户将密码放在电脑软件可以存取的地方。用户在不同的程序和网站上使用相同的密码^[3]
基本操作系统设计缺陷：操作系统设计者选择去强化用户管理或程序管理上的非最佳政策。例如使用默认允许（英语：default permit）政策的操作系统，给每一个用户和软件完整的权限可以存取整台电脑^[3]。操作系统的缺陷让病毒以及恶意软件可以以管理者的身份执行指令^[8]
浏览网站；有些网站可能会有有害的间谍软件或广告软件，在浏览后会自动安装在电脑中。在浏览这些网站后，电脑即受到这些软件的影响，可能会将个人资料发送给第三方^[9]
程序错误：软件开发者在软件中留下了可利用的漏洞，攻击者可以用这个漏洞来滥用应用程式^[3]
不适当的输入验证：程序假设所有用户的输入都是安全的，没有检查用户输入的程序，可能会因为无意或刻意的输入而造成问题，例如缓冲区溢出、SQL注入等问题^[3]
没有从过去的错误中记取教训^[10]^[11]：例如大部分在IPv4通讯协议软件上被发现的漏洞，又在IPv6版本中的重复出现^[12]

研究已经证实大部分资讯系统中，最脆弱的部分是用户、操作者、设计者或是其他的人^[13]；因此在分析时，人可能有不同的角色，例如资产、威胁、资讯资源等。社会工程学是目前越来越受重视的安全议题。

常见漏洞

参考文献

^ 国家资讯安全漏洞库（CNNVD）：漏洞分级规范
^ ^2.0 ^2.1 中华人民共和国国家标准《GB/T 25069-2010 资讯安全技术术语》
^ ^3.0 ^3.1 ^3.2 ^3.3 ^3.4 Kakareka, Almantas. 23. Vacca, John (编). Computer and Information Security Handbook. Morgan Kaufmann Publications. Elsevier Inc. 2009: 393. ISBN 978-0-12-374354-1.
^ Lagerström, Robert; Baldwin, Carliss; MacCormack, Alan; Sturtevant, Dan; Doolan, Lee. Exploring the Relationship Between Architecture Coupling and Software Vulnerabilities. Engineering Secure Software and Systems (ESSoS), Lecture Notes in Computer Science. June 2017 [31 May 2021]. doi:10.1007/978-3-319-62105-0_4. （原始内容存档于2021-06-02）.
^ Krsul, Ivan. Technical Report CSD-TR-97-026. The COAST Laboratory Department of Computer Sciences, Purdue University. April 15, 1997 [2021-07-09]. CiteSeerX 10.1.1.26.5435 . （原始内容存档于2021-07-09）.
^ "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006 互联网档案馆的存档，存档日期2014-11-18.;
^ Pauli, Darren. Just give up: 123456 is still the world's most popular password. The Register. 16 January 2017 [2017-01-17]. （原始内容存档于2019-11-14）.
^ The Six Dumbest Ideas in Computer Security. ranum.com. [2021-07-09]. （原始内容存档于2020-03-01）.
^ The Web Application Security Consortium / Web Application Security Statistics. webappsec.org. [2021-07-09]. （原始内容存档于2019-10-06）.
^ Ross Anderson. Why Cryptosystems Fail. Technical report, University Computer Laboratory, Cam- bridge, January 1994.
^ Neil Schlager. When Technology Fails: Significant Technological Disasters, Accidents, and Failures of the Twentieth Century. Gale Research Inc., 1994.
^ Hacking: The Art of Exploitation Second Edition
^ Kiountouzis, E. A.; Kokolakis, S. A. Information systems security: facing the information society of the 21st century. London: Chapman & Hall, Ltd. ISBN 0-412-78120-4.

参见

风险类型与风险源

风险类型（维基数据所列：Q101208084）	商业风险（英语：Business risks）商誉风险个人风险（维基数据所列：Q122764215）健康风险（维基数据所列：Q87075524）社会心理性危害自然风险（英语：Natural risk）自然灾害人为灾害（英语：Anthropogenic hazard）政治风险（英语：Political risk）技术风险（法语：Aléa technologique）人工智慧对齐 / 叛变 / AGI 宏观风险（英语：Macro risk） / 外部风险（英语：External risk）全球灾难危机安全风险（英语：Safety hazard）危险保安风险（维基数据所列：Q78908682）漏洞安全威胁（英语：Threat (computer security)）意外事故作业风险金融风险信用风险流动性风险利率风险汇率风险市场风险系统风险战略风险

风险源（维基数据所列：Q86923152）	外部风险（英语：External risk） ← 危害（英语：Hazard）威胁（维基数据所列：Q98463540）冲突失效模式不确定性易受伤害（英语：Vulnerability） → 内部风险（维基数据所列：Q124809532）

措施与方法

企业风险管理
- 公司治理
- 守规
- GRC
- 内部控制
个人风险管理（维基数据所列：Q122710827）
操作风险管理（英语：Operational risk management）
- 供应链（英语：Supply chain risk management）
- 项目
- 质量
- 安全管理（英语：Security management）
  - 身份识别与访问管理（意大利语：Identity and Access Management）
  - 漏洞管理
- 事故管理
- 营运持续项目
金融风险管理
- 多角化投资
- 对冲
- 风险池（英语：Risk pool）
战略管理
风险评估
- 危害辨识
- 暴露评估
- 危害分析（英语：Hazard analysis）
- 风险矩阵（英语：Risk matrix）
- 定性风险分析
- 风险效益分析（英语：Risk–benefit ratio）
- FMECA
- 情景计划
- 应急计划
风险沟通（英语：Risk communication）
- 预警系统
预防原则
风险管理工具（英语：Risk management tools）
保险
危机管理
- 灾害管理
职业安全健康
瑞士奶酪理论

风险相关概念

ISO 31000（英语：ISO 31000）
- ISO/IEC 31010（英语：ISO/IEC 31010）
COSO（英语：Committee of Sponsoring Organizations of the Treadway Commission）
风险源（维基数据所列：Q86923152） / 风险因子
灾害预测图（英语：Hazard map）
罕见事件（英语：Rare events）
冲突管理（英语：Conflict management）
机会管理（英语：Opportunity management）
- 机会成本
解决问题
- 保安

查论编电脑入侵

事件	2003年骤雨计划 2009年极光行动 2010年澳大利亚网络攻击（英语：February 2010 Australian cyberattacks） 2010年偿还行动（英语：Operation Payback） 2011年DigiNotar骇客入侵事件 2011年突尼斯行动（英语：Operation Tunisia） 2011年PSN个人资讯泄露事件 2011年反安全行动（英语：Operation AntiSec） 2012–2013年斯特拉特福公司电邮泄露事件 2012年领英骇客入侵事件（英语：2012 LinkedIn hack） 2013年南韩网络攻击（英语：2013 South Korea cyberattack） 2013年Snapchat骇客入侵事件 2014年Tovar行动（英语：Operation Tovar） 2014年日本文殊核电站电脑病毒事件 2014年名人照片泄露事件 2014年心脏出血漏洞 2014年破壳漏洞 2014年贵宾犬漏洞 2014年索尼影业骇客入侵事件 2015年FREAK漏洞 2015年美国联邦人事管理局资料外泄案伟易达集团孟加拉银行遭骇客入侵事件 Dyn网络攻击俄罗斯干预美国总统选举 WannaCry勒索病毒 2017年威斯敏斯特网络攻击（英语：2017 Westminster cyberattack） Petya勒索病毒 2017年乌克兰受网络攻击事件（英语：2017 cyberattacks on Ukraine） Equifax数据泄露德勤熔毁/幽灵漏洞美国中央情报局被指对中国大陆网络渗透攻击 Zoom轰炸 Twitter比特币骗局 2020年美国联邦政府数据泄露事件殖民管道网络攻击 Log4j2漏洞事件 2022年俄罗斯对乌克兰的网络攻击上海公安数据库泄露事件 2022年西北工业大学遭网络攻击事件 2023年美国五角大楼文件泄露事件

政府机构	美国网络司令部美国国家安全局特定入侵行动办公室美国互联网犯罪投诉中心（英语：Internet Crime Complaint Center）中华人民共和国国家计算机网络与信息安全管理中心中国人民解放军网络空间部队朝鲜网络部队（日语：北朝鮮サイバー軍）（朝鲜人民军第121局）叙利亚电子军（英语：Syrian Electronic Army）日本网络防卫队（日语：自衛隊サイバー防衛隊）国际打击网络威胁多边伙伴（英语：International Multilateral Partnership Against Cyber Threats）欧洲网络犯罪中心（英语：European Cybercrime Centre）中华民国数位发展部中华民国国防部资通电军指挥部乌克兰资讯科技军新加坡共和国数码部队

骇客组织	匿名者乌克兰战争期间的行动（英语：Anonymous and the 2022 Russian invasion of Ukraine）网络金雕（英语：CyberBerkut） Derp（英语：Derp (hacker group)） Goatse安全（英语：Goatse Security） Hacking Team 蜥蜴小队（英语：Lizard Squad） LulzRaft（英语：LulzRaft） LulzSec NullCrew（英语：NullCrew） RedHack（英语：RedHack） TeaMp0isoN（英语：TeaMp0isoN）地下纳粹（英语：UGNazi）混沌电脑俱乐部死牛崇拜红客韩国网络外交使节团 L0pht重工方程式隐形人安全集团 DarkSide APT 27 网络游击队

个人	陈盈豪约翰·德雷珀（英语：John Draper）凯文·米特尼克下村努罗伯特·泰潘·莫里斯凯文·波尔森阿德里安·拉莫 Donncha O'Cearbhaill（英语：Donncha O'Cearbhaill）杰里米·哈蒙德（英语：Jeremy Hammond）乔治·霍兹古驰法（英语：Guccifer）阿尔伯特·冈萨雷斯（英语：Albert Gonzalez）赫克特·蒙赛格 (萨布)（英语：Hector Monsegur）杰克·戴维斯 (绿色雕塑)（英语：Topiary (hacktivist)）小丑 (The Jester)（英语：The Jester） weev（英语：weev）加里·麦金农（英语：Gary McKinnon）

恶意软件	Careto (面具)（英语：Careto (malware)） CryptoLocker Dexter（英语：Dexter (malware)）毒区（英语：Duqu） FinFisher（英语：FinFisher）火焰 Gameover ZeuS（英语：Gameover ZeuS） Mahdi（英语：Mahdi (malware)） Metulji僵尸网络（英语：Metulji botnet） NSA ANT产品目录（英语：NSA ANT catalog） R2D2（英语：R2D2 (trojan)） Shamoon（英语：Shamoon） Stars（英语：Stars virus）震网黑暗幽灵 (DCM) 震荡波蠕虫手机恶意软件（英语：Mobile malware） TeslaCrypt VPNFilter WannaCry Petya 瑞晶 peacenotwar（英语：peacenotwar）

概念·思想	《骇客宣言》网络战网络恐怖主义骇客行动主义骇客电脑犯罪软件破解（逆向工程）

手段·技术	安全漏洞漏洞利用高级长期威胁（APT）零日攻击 DNS污染缓冲区溢出堆风水（英语：Heap feng shui）堆喷射（英语：Heap spraying）穷举攻击/蛮力攻击跨站脚本攻击（XSS）水坑攻击偷渡式下载 SQL注入中间人攻击中途相遇攻击谷歌骇侵法

查论编软件测试

测试途径（The "box" approach）	黑盒测试 all-pairs testing（英语：All-pairs testing）探索性测试模糊测试基于模型的测试场景测试（英语：Scenario testing）灰盒测试白盒测试接口测试突变测试（英语：Mutation testing）静态程序分析

测试层次	验收测试集成测试系统测试单元测试

测试类型与技术	A/B测试敏捷测试（英语：Agile testing）自动化测试基准测试 Concolic testing（英语：Concolic testing）符号执行服从性测试（英语：Conformance testing）持续测试（英语：Continuous testing）开发测试（英语：Development testing）动态程序分析（英语：Dynamic program analysis）安装测试（英语：Installation testing）恢复测试（英语：Recovery testing）回归测试冒烟测试 (软件) 可用性测试功能测试非功能测试（英语：Non-functional testing）安全性测试渗透测试软件性能测试（英语：Software performance testing）浸泡测试（英语：Soak testing）同步测试（英语：Concurrent testing）兼容性测试负面测试（英语：Negative testing）压力测试 (软件) 破坏性测试（英语：Destructive testing）

相关议题	用户界面测试网页UI测试（英语：Web testing）人工测试（英语：Manual testing） Orthogonal array testing（英语：Orthogonal array testing） Pair testing（英语：Pair testing）软件可靠性测试（英语：Software reliability testing）健全性测试软件测试模型测试类型（维基数据所列：Q96273743）测试装置（维基数据所列：Q106000972）

分类

{{bottomLinkPreText}} {{bottomLinkText}}

This page is based on a Wikipedia article written by contributors (read/edit).
Text is available under the CC BY-SA 4.0 license; additional terms may apply.
Images, videos and audio are available under their respective licenses.

Cover photo is available under {{::mainImage.info.license.name || 'Unknown'}} license. Cover photo is available under {{::mainImage.info.license.name || 'Unknown'}} license. Credit: (see original file).

漏洞

{{current.index+1}} of {{items.length}}

Date: {{current.info.dateOriginal || 'Unknown'}}
Date: {{(current.info.date | date:'mediumDate') || 'Unknown'}}
Credit:
- Uploaded by: {{current.info.uploadUser}} on {{current.info.uploadDate | date:'mediumDate'}}
License: {{current.info.license.usageTerms || current.info.license.name || current.info.license.detected || 'Unknown'}}
License: {{current.info.license.usageTerms || current.info.license.name || current.info.license.detected || 'Unknown'}}
View file on Wikipedia

Suggest as cover photo

Would you like to suggest this photo as the cover photo for this article?

Yes, this would make a good choice No, never mind

Thank you for helping!

Your input will affect cover photo selection, along with input from other users.

Thanks for reporting this video!

{{result.lang}} {{result.T}}

No matching articles found

Search for articles containing: {{search.query}}

This browser is not supported by Wikiwand :(
Wikiwand requires a browser with modern capabilities in order to provide you with the best reading experience.
Please download and use one of the following browsers:

An extension you use may be preventing Wikiwand articles from loading properly.

If you're using HTTPS Everywhere or you're unable to access any article on Wikiwand, please consider switching to HTTPS (https://www.wikiwand.com).

Switch Wikiwand to HTTPS

An extension you use may be preventing Wikiwand articles from loading properly.

If you are using an Ad-Blocker, it might have mistakenly blocked our content. You will need to temporarily disable your Ad-blocker to view this page.

✕

This article was just edited, click to reload

This article has been deleted on Wikipedia (Why?)

Back to homepage

Please click Add in the dialog above

Please click Allow in the top-left corner,
then click Install Now in the dialog

Please click Open in the download dialog,
then click Install

Please click the "Downloads" icon in the Safari toolbar, open the first download in the list,
then click Install

{{::$root.activation.text}}

Install Wikiwand

Install on Chrome Install on Firefox

Don't forget to rate us

Tell your friends about Wikiwand!

Gmail Facebook Twitter Link

Enjoying Wikiwand?

Tell your friends and spread the love:

Share on Gmail Share on Facebook Share on Twitter Share on Buffer

All languages

{{::lang.NameEnglish}} - {{::lang.NameNative}}

Follow Us

Don't forget to rate us

Our magic isn't perfect

You can help our automatic cover photo selection by reporting an unsuitable photo.

This photo is visually disturbing This photo is not a good choice

Thank you for helping!

Your input will affect cover photo selection, along with input from other users.

X

Get ready for Wikiwand 2.0 🎉! the new version arrives on September 1st! Don't want to wait?