|
|
| Строка 1: |
Строка 1: |
| | == Определение == | | == Определение == |
| − | '''Уязвимость(информационной системы)''' (англ. vulnerability); брешь: - Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации. | + | 1. '''Уязвимость''' (англ. vulnerability); брешь: - Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации. |
| | | | |
| | Источник: [[ГОСТ Р 50922-2006]] - Защита информации. Основные термины и определения. (Введен в действие 01.02.2008г.) | | Источник: [[ГОСТ Р 50922-2006]] - Защита информации. Основные термины и определения. (Введен в действие 01.02.2008г.) |
| | | | |
| − | == Толкование ==
| + | 2. '''Уязвимость''' (англ. vulnerability) - Свойство системы, которое можно использовать для нарушения информационной безопасности системы информационных технологий и автоматизированных систем. |
| − | # Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.
| |
| − | # Если уязвимость соответствует угрозе, то существует риск.
| |
| | | | |
| − | Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных [[Пароль|паролей]], [[Компьютерный вирус|вирусов]] и других [[Вредоносная программа|вредоносных программ]], скриптовых, а также [[Инъекция SQL|SQL-инъекций]]. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные [[эксплойт]]ы.
| + | Источник: [[ГОСТ Р 53113.1-2008]] |
| − | | + | [[Категория: Определения]] |
| − | Обычно уязвимость позволяет атакующему «обмануть» приложение — заставить его совершить действие, на которое у того не должно быть прав. Это делается путем внедрения каким-либо образом в программу данных или кода в такие места, что программа воспримет их как «свои». Некоторые уязвимости появляются из-за недостаточной проверки данных, вводимых пользователем, и позволяют вставить в [[интерпретатор|интерпретируемый]] код произвольные команды ([[SQL-инъекция]], [[Межсайтовый скриптинг|XSS]]). Другие уязвимости появляются из-за более сложных проблем, таких как запись данных в буфер без проверки его границ ([[переполнение буфера]]).
| |
| − | | |
| − | Метод информирования об уязвимостях является одним из пунктов спора в сообществе компьютерной безопасности. Некоторые специалисты отстаивают немедленное полное раскрытие информации об уязвимостях, как только они найдены. Другие советуют сообщать об уязвимостях только тем пользователям, которые подвергаются наибольшему риску, а полную информацию публиковать лишь после задержки или не публиковать совсем. Такие задержки могут позволить тем, кто был извещён, исправить ошибку при помощи разработки и применения [[патч]]ей, но также могут и увеличивать риск для тех, кто не посвящён в детали.
| |
| − | | |
| − | Существуют инструментальные средства, которые могут помочь в обнаружении уязвимостей в системе. Хотя эти инструменты могут обеспечить аудитору хороший обзор возможных уязвимостей, существующих в сети, они не могут заменить участие человека в их оценке.
| |
| − | | |
| − | Для обеспечения защищённости и целостности системы необходимо постоянно следить за ней: устанавливать обновления, и использовать инструменты, которые помогают противодействовать возможным атакам. Уязвимости обнаруживались во всех основных операционных системах, включая [[Microsoft Windows]], [[Mac OS]], различные варианты [[UNIX]] (в том числе [[GNU/Linux]]) и [[OpenVMS]]. Так как новые уязвимости находят непрерывно, единственный путь уменьшить вероятность их использования против системы — постоянная бдительность.
| |
| − | | |
| − | == Примеры уязвимостей ==
| |
| − | Распространённые типы уязвимостей включают в себя:
| |
| − | *Нарушения [[Безопасность доступа к памяти|безопасности доступа к памяти]], такие как:
| |
| − | **[[Переполнение буфера|Переполнения буфера]]
| |
| − | **[[Висящий указатель|Висящие указатели]]
| |
| − | *Ошибки [[Проверка данных|проверки вводимых данных]], такие как:
| |
| − | **[[Ошибка форматирующей строки|ошибки форматирующей строки]]
| |
| − | **Неверная поддержка интерпретации [[метасимвол|метасимволов]] [[Командная оболочка|командной оболочки]]
| |
| − | **[[SQL-инъекция]]
| |
| − | **[[Инъекция кода]]
| |
| − | **[[E-mail инъекция]]
| |
| − | **[[Обход каталогов]]
| |
| − | **[[Межсайтовый скриптинг]] в веб-приложениях
| |
| − | *[[Состояние гонки|Состояния гонки]], такие как:
| |
| − | **Ошибки [[Время-проверки-ко-времени-использования|времени-проверки-ко-времени-использования]]
| |
| − | **[[Гонка символьных ссылок|Гонки символьных ссылок]]
| |
| − | *Ошибки [[Проблема путаницы привилегий|путаницы привилегий]], такие как:
| |
| − | **[[Подделка межсайтовый запросов]] в веб-приложениях
| |
| − | *[[Эскалация привилегий]]
| |
| − | | |
| − | == Ссылки ==
| |
| − | * [http://www.frsirt.com/english/ French Security Incident Response Team (formerly K-OTik)]{{ref-en}}{{ref-fr}}
| |
| − | * [http://www.osvdb.org/ Open Source Vulnerability Database homepage]{{ref-en}}
| |
| − | * [http://www.securityfocus.com/bid Security Focus Vulns Archive]{{ref-en}}
| |
| − | * [http://www.packetstormsecurity.org/ Packet Storm (vulnerability and tool archives)]{{ref-en}}
| |
| − | * [http://samate.nist.gov/ NIST Software Assurance Metrics and Tool Evaluation (SAMATE) project]{{ref-en}}
| |
| − | * [http://sreport.ru/live.php/ Живой поиск по базе уязвимостей]{{ref-ru}}
| |
| − | * [http://www.securitylab.ru/vulnerability/ База уязвимостей на русском языке с 1997 года]{{ref-ru}}
| |
| − | * [http://slovari.yandex.ru/dict/gl_natural/article/151/151_191.HTM?text=%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C Определение понятия уязвимость. Словарь Глоссарий.ру]{{ref-ru}}
| |
| − | * [http://www.xakep.ru/post/48221/default.asp Классификаторы и метрики компьютерных уязвимостей]
| |
| − | | |
| − | [[Категория:Определения]] | |
