Уязвимость - История изменений

Wikiadmin в 09:23, 15 ноября 2019

2019-11-15T09:23:12Z

Wikiadmin в 14:22, 14 ноября 2019

2019-11-14T14:22:53Z

Wikiadmin в 11:54, 14 ноября 2019

2019-11-14T11:54:34Z

Wikiadmin: Замена текста — «Источник: » на «'''''Источник:''''' »

2019-11-13T16:26:06Z

Замена текста — «Источник: » на «'''''Источник:''''' »

Wikiadmin: Замена текста — «Источник: ГОСТ Р 53113.1-2008» на «Источник: ГОСТ Р 53113.1-2008 - Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения.»

2019-11-05T15:47:21Z

Замена текста — «Источник: ГОСТ Р 53113.1-2008» на «Источник: ГОСТ Р 53113.1-2008 - Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения.»

Wikiadmin: Замена текста — «Источник: ГОСТ Р 53114-2008» на «Источник: ГОСТ Р 53114-2008 - Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения.»

2019-11-05T15:10:36Z

Замена текста — «Источник: ГОСТ Р 53114-2008» на «Источник: ГОСТ Р 53114-2008 - Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения.»

Wikiadmin в 13:38, 4 ноября 2019

2019-11-04T13:38:52Z

Wikiadmin в 11:05, 4 ноября 2019

2019-11-04T11:05:17Z

Wikiadmin: 1 версия импортирована

2019-10-29T11:01:49Z

1 версия импортирована

wikisec>Swan в 07:51, 12 октября 2012

2012-10-12T07:51:10Z

Новая страница

== Определение ==
'''Уязвимость(информационной системы)''' (англ. vulnerability); брешь: - Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Источник: [[ГОСТ Р 50922-2006]] - Защита информации. Основные термины и определения. (Введен в действие 01.02.2008г.)

== Толкование ==
# Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.
# Если уязвимость соответствует угрозе, то существует риск.

Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных [[Пароль|паролей]], [[Компьютерный вирус|вирусов]] и других [[Вредоносная программа|вредоносных программ]], скриптовых, а также [[Инъекция SQL|SQL-инъекций]]. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные [[эксплойт]]ы.

Обычно уязвимость позволяет атакующему «обмануть» приложение — заставить его совершить действие, на которое у того не должно быть прав. Это делается путем внедрения каким-либо образом в программу данных или кода в такие места, что программа воспримет их как «свои». Некоторые уязвимости появляются из-за недостаточной проверки данных, вводимых пользователем, и позволяют вставить в [[интерпретатор|интерпретируемый]] код произвольные команды ([[SQL-инъекция]], [[Межсайтовый скриптинг|XSS]]). Другие уязвимости появляются из-за более сложных проблем, таких как запись данных в буфер без проверки его границ ([[переполнение буфера]]).

Метод информирования об уязвимостях является одним из пунктов спора в сообществе компьютерной безопасности. Некоторые специалисты отстаивают немедленное полное раскрытие информации об уязвимостях, как только они найдены. Другие советуют сообщать об уязвимостях только тем пользователям, которые подвергаются наибольшему риску, а полную информацию публиковать лишь после задержки или не публиковать совсем. Такие задержки могут позволить тем, кто был извещён, исправить ошибку при помощи разработки и применения [[патч]]ей, но также могут и увеличивать риск для тех, кто не посвящён в детали.

Существуют инструментальные средства, которые могут помочь в обнаружении уязвимостей в системе. Хотя эти инструменты могут обеспечить аудитору хороший обзор возможных уязвимостей, существующих в сети, они не могут заменить участие человека в их оценке.

Для обеспечения защищённости и целостности системы необходимо постоянно следить за ней: устанавливать обновления, и использовать инструменты, которые помогают противодействовать возможным атакам. Уязвимости обнаруживались во всех основных операционных системах, включая [[Microsoft Windows]], [[Mac OS]], различные варианты [[UNIX]] (в том числе [[GNU/Linux]]) и [[OpenVMS]]. Так как новые уязвимости находят непрерывно, единственный путь уменьшить вероятность их использования против системы — постоянная бдительность.

== Примеры уязвимостей ==
Распространённые типы уязвимостей включают в себя:
*Нарушения [[Безопасность доступа к памяти|безопасности доступа к памяти]], такие как:
**[[Переполнение буфера|Переполнения буфера]]
**[[Висящий указатель|Висящие указатели]]
*Ошибки [[Проверка данных|проверки вводимых данных]], такие как:
**[[Ошибка форматирующей строки|ошибки форматирующей строки]]
**Неверная поддержка интерпретации [[метасимвол|метасимволов]] [[Командная оболочка|командной оболочки]]
**[[SQL-инъекция]]
**[[Инъекция кода]]
**[[E-mail инъекция]]
**[[Обход каталогов]]
**[[Межсайтовый скриптинг]] в веб-приложениях
*[[Состояние гонки|Состояния гонки]], такие как:
**Ошибки [[Время-проверки-ко-времени-использования|времени-проверки-ко-времени-использования]]
**[[Гонка символьных ссылок|Гонки символьных ссылок]]
*Ошибки [[Проблема путаницы привилегий|путаницы привилегий]], такие как:
**[[Подделка межсайтовый запросов]] в веб-приложениях
*[[Эскалация привилегий]]

== Ссылки ==
* [http://www.frsirt.com/english/ French Security Incident Response Team (formerly K-OTik)]{{ref-en}}{{ref-fr}}
* [http://www.osvdb.org/ Open Source Vulnerability Database homepage]{{ref-en}}
* [http://www.securityfocus.com/bid Security Focus Vulns Archive]{{ref-en}}
* [http://www.packetstormsecurity.org/ Packet Storm (vulnerability and tool archives)]{{ref-en}}
* [http://samate.nist.gov/ NIST Software Assurance Metrics and Tool Evaluation (SAMATE) project]{{ref-en}}
* [http://sreport.ru/live.php/ Живой поиск по базе уязвимостей]{{ref-ru}}
* [http://www.securitylab.ru/vulnerability/ База уязвимостей на русском языке с 1997 года]{{ref-ru}}
* [http://slovari.yandex.ru/dict/gl_natural/article/151/151_191.HTM?text=%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C Определение понятия уязвимость. Словарь Глоссарий.ру]{{ref-ru}}
* [http://www.xakep.ru/post/48221/default.asp Классификаторы и метрики компьютерных уязвимостей]

[[Категория:Определения]]

← Предыдущая		Версия 09:23, 15 ноября 2019
Строка 18:		Строка 18:

	'''''Источник:''''' [[ГОСТ Р ИСО/МЭК 21827-2010]] - Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса		'''''Источник:''''' [[ГОСТ Р ИСО/МЭК 21827-2010]] - Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса
		+
		+	6.'''Уязвимость''' - Слабое место актива (2.3) или меры и средства контроля и управления (2.10), которое может быть использовано угрозой (2.45)
		+
		+	'''''Источник:''''' [[ГОСТ Р ИСО/МЭК 27000-2012]] - Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
	[[Категория: Определения]]		[[Категория: Определения]]

← Предыдущая		Версия 14:22, 14 ноября 2019
Строка 14:		Строка 14:

	'''''Источник:''''' [[ГОСТ Р ИСО/МЭК 15408-1-2012]] - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель		'''''Источник:''''' [[ГОСТ Р ИСО/МЭК 15408-1-2012]] - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель
		+
		+	5.'''Уязвимость''' - Слабое место актива или группы активов, которое может быть подвержено воздействию угрозы.
		+
		+	'''''Источник:''''' [[ГОСТ Р ИСО/МЭК 21827-2010]] - Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса
	[[Категория: Определения]]		[[Категория: Определения]]

@@ Строка 1: / Строка 1: @@
-== Определение ==
+.'''Уязвимость''' (англ. vulnerability); брешь: - Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
 '''''Источник:''''' [[ГОСТ Р 50922-2006]] - Защита информации. Основные термины и определения. (Введен в действие 01.02.2008г.)
-. '''Уязвимость''' (англ. vulnerability) - Свойство системы, которое можно использовать для нарушения информационной безопасности системы информационных технологий и автоматизированных систем.
+.'''Уязвимость''' (англ. vulnerability) - Свойство системы, которое можно использовать для нарушения информационной безопасности системы информационных технологий и автоматизированных систем.
 '''''Источник:''''' [[ГОСТ Р 53113.1-2008]] - Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения.
-. '''Уязвимость''' (англ. vulnerability) - Внутренние свойства объекта, создающие восприимчивость к воздействию источника риска, которое может привести к какому-либо последствию
+.'''Уязвимость''' (англ. vulnerability) - Внутренние свойства объекта, создающие восприимчивость к воздействию источника риска, которое может привести к какому-либо последствию
 '''''Источник:''''' [[ГОСТ Р 53114-2008]] - Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения.
 [[Категория: Определения]]

@@ Строка 2: / Строка 2: @@
 . '''Уязвимость''' (англ. vulnerability); брешь: - Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
-Источник: [[ГОСТ Р 50922-2006]] - Защита информации. Основные термины и определения. (Введен в действие 01.02.2008г.)
+'''''Источник:''''' [[ГОСТ Р 50922-2006]] - Защита информации. Основные термины и определения. (Введен в действие 01.02.2008г.)
 . '''Уязвимость''' (англ. vulnerability) - Свойство системы, которое можно использовать для нарушения информационной безопасности системы информационных технологий и автоматизированных систем.
-Источник: [[ГОСТ Р 53113.1-2008]] - Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения.
+'''''Источник:''''' [[ГОСТ Р 53113.1-2008]] - Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения.
 . '''Уязвимость''' (англ. vulnerability) - Внутренние свойства объекта, создающие восприимчивость к воздействию источника риска, которое может привести к какому-либо последствию
-Источник: [[ГОСТ Р 53114-2008]] - Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения.
+'''''Источник:''''' [[ГОСТ Р 53114-2008]] - Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения.
 [[Категория: Определения]]

@@ Строка 6: / Строка 6: @@
 . '''Уязвимость''' (англ. vulnerability) - Свойство системы, которое можно использовать для нарушения информационной безопасности системы информационных технологий и автоматизированных систем.
-Источник: [[ГОСТ Р 53113.1-2008]]
+Источник: [[ГОСТ Р 53113.1-2008]] - Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения.
 . '''Уязвимость''' (англ. vulnerability) - Внутренние свойства объекта, создающие восприимчивость к воздействию источника риска, которое может привести к какому-либо последствию

← Предыдущая		Версия 13:38, 4 ноября 2019
Строка 7:		Строка 7:

	Источник: [[ГОСТ Р 53113.1-2008]]		Источник: [[ГОСТ Р 53113.1-2008]]
		+
		+	3. '''Уязвимость''' (англ. vulnerability) - Внутренние свойства объекта, создающие восприимчивость к воздействию источника риска, которое может привести к какому-либо последствию
		+
		+	Источник: [[ГОСТ Р 53114-2008]]
	[[Категория: Определения]]		[[Категория: Определения]]

← Предыдущая	Версия 11:01, 29 октября 2019
(нет различий)