@ner
2年前 提问
1个回答

基于成因技术将网络漏洞划分为哪些类型

Anna艳娜
2年前

基于成因技术将网络漏洞划分为以下类型:

  • 内存破坏类:此类漏洞的共同特征,即都是由于某种形式的非预期的内存越界访问(读、写或兼而有之)而导致。在可控程度较好的情况下,可执行攻击者指定的任意指令;而在其他的大多数情况下,则会导致拒绝服务或信息泄露。

  • 逻辑错误类:此类漏洞涉及安全检查的实现逻辑上存在的问题,导致设计好的安全机制被绕过。该漏洞允许客户端指定服务端并不声明支持的验证类型,从而验证服务端的交互代码存在逻辑问题。

  • 输入验证类:输入验证类漏洞是由于对来自用户的输入没有做充分的检查和过滤就将其用于后续操作而导致的安全漏洞,绝大部分的CGI漏洞属于此类。

  • 设计错误类:设计错误类漏洞是由于系统设计上对安全机制的考虑不足而导致的安全漏洞,比如LM Hash算法脆弱性。

  • 配置错误类:此类漏洞来源于系统运维过程中默认不安全的配置状态,大多涉及访问验证。对控制台访问接口的访问控制默认配置只禁止了HTTP的两个主要请求方法GET和POST,事实上HTTP还支持其他的访问方法,比如HEAD,虽然无法得到请求返回的结果,但是提交的命令还是可以正常执行的。