软件安全知识之漏洞类型
|
在一些系统中存在缺陷对维护整体安全性来说是极为重要的。并且有多种形式。常见漏洞和披露(CVE)是一个公开的条目列表,采用标准化形式,描述广泛使用的软件组件中的漏洞,以及在撰写本文时,它列出了近十万个此类漏洞。实现漏洞通常是由不安全的编程实践引起的,并受开发人员使用的编程语言或API的影响。第一个主题涵盖了其他可归因于此类不安全编程技术实践的重要安全性实现方案的漏洞可能性的类别。 命令式编程语言支持可变状态,即这些语言具有用于分配存储单元的构造,这些存储单元随后可以分配给程序或由程序读取,然后再次释放。编程语言定义指定如何正确使用这些构造:例如,分配n存储单元将返回对单元数组的引用,然后可以使用索引0到访问该数组n1直到再次释放(释放)引用。此规范可以看作是内存管理子组件的协定。某些编程语言实现此协定防守和将任一例外如果a客户程序访问记忆错误。其他编程语言(最特别是C和C++)离开这责任为正确分配,访问和解除分配记忆在这手指这程序员和说错误地访问或管理内存的程序的行为是定义.这种语言有时被称为内存不安全与内存管理相关的语言和错误(内存管理漏洞)是这些安全漏洞的臭名昭著的来源语言。 • 空间漏洞是指程序索引到有效的连续存储单元范围,但索引超出范围的错误。典型的示例是缓冲区溢出漏洞,程序访问具有越界索引的数组(缓冲区)。 • 在代码损坏攻击中,无效的内存访问将编译的程序代码修改为攻击者指定的代码。 • 在控制流劫持攻击中,无效内存访问修改代码指针(例如,堆栈上的返回地址或函数指针),以使处理器执行攻击者提供的代码(直接代码注入攻击),或使处理器重用程序的现有代码以意外的方式(代码重用攻击,也称为间接代码注入攻击,例如返回libc攻击或面向返回的编程攻击)。这些攻击通常是针对特定的应用程序的,因此不会影响处理器的正常运行。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
