Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru

Уязвимость: различия между версиями

Материал из wikisec
Перейти к навигации Перейти к поиску
м (1 версия импортирована)
 
(не показано 7 промежуточных версий этого же участника)
Строка 1: Строка 1:
== Определение ==
+
1.'''Уязвимость''' (англ. vulnerability); брешь: - Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
'''Уязвимость(информационной системы)''' (англ. vulnerability); брешь: - Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
 
  
Источник: [[ГОСТ Р 50922-2006]] - Защита информации. Основные термины и определения. (Введен в действие 01.02.2008г.)
+
'''''Источник:''''' [[ГОСТ Р 50922-2006]] - Защита информации. Основные термины и определения. (Введен в действие 01.02.2008г.)
  
== Толкование ==
+
2.'''Уязвимость''' (англ. vulnerability) - Свойство системы, которое можно использовать для нарушения информационной безопасности системы информационных технологий и автоматизированных систем.
# Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.
 
# Если уязвимость соответствует угрозе, то существует риск.
 
  
Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных [[Пароль|паролей]], [[Компьютерный вирус|вирусов]] и других [[Вредоносная программа|вредоносных программ]], скриптовых, а также [[Инъекция SQL|SQL-инъекций]]. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные [[эксплойт]]ы.
+
'''''Источник:''''' [[ГОСТ Р 53113.1-2008]] - Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения.
  
Обычно уязвимость позволяет атакующему «обмануть» приложение — заставить его совершить действие, на которое у того не должно быть прав. Это делается путем внедрения каким-либо образом в программу данных или кода в такие места, что программа воспримет их как «свои». Некоторые уязвимости появляются из-за недостаточной проверки данных, вводимых пользователем, и позволяют вставить в [[интерпретатор|интерпретируемый]] код произвольные команды ([[SQL-инъекция]], [[Межсайтовый скриптинг|XSS]]). Другие уязвимости появляются из-за более сложных проблем, таких как запись данных в буфер без проверки его границ ([[переполнение буфера]]).
+
3.'''Уязвимость''' (англ. vulnerability) - Внутренние свойства объекта, создающие восприимчивость к воздействию источника риска, которое может привести к какому-либо последствию
  
Метод информирования об уязвимостях является одним из пунктов спора в сообществе компьютерной безопасности. Некоторые специалисты отстаивают немедленное полное раскрытие информации об уязвимостях, как только они найдены. Другие советуют сообщать об уязвимостях только тем пользователям, которые подвергаются наибольшему риску, а полную информацию публиковать лишь после задержки или не публиковать совсем. Такие задержки могут позволить тем, кто был извещён, исправить ошибку при помощи разработки и применения [[патч]]ей, но также могут и увеличивать риск для тех, кто не посвящён в детали.
+
'''''Источник:''''' [[ГОСТ Р 53114-2008]] - Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения.
  
Существуют инструментальные средства, которые могут помочь в обнаружении уязвимостей в системе. Хотя эти инструменты могут обеспечить аудитору хороший обзор возможных уязвимостей, существующих в сети, они не могут заменить участие человека в их оценке.
+
4.'''Уязвимость''' - Слабое место ОО, которое может быть использовано для нарушения ФТБ в некоторой среде.
  
Для обеспечения защищённости и целостности системы необходимо постоянно следить за ней: устанавливать обновления, и использовать инструменты, которые помогают противодействовать возможным атакам. Уязвимости обнаруживались во всех основных операционных системах, включая [[Microsoft Windows]], [[Mac OS]], различные варианты [[UNIX]] (в том числе [[GNU/Linux]]) и [[OpenVMS]]. Так как новые уязвимости находят непрерывно, единственный путь уменьшить вероятность их использования против системы — постоянная бдительность.
+
'''''Источник:''''' [[ГОСТ Р ИСО/МЭК 15408-1-2012]] - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель
  
== Примеры уязвимостей ==
+
5.'''Уязвимость''' - Слабое место актива или группы активов, которое может быть подвержено воздействию угрозы.
Распространённые типы уязвимостей включают в себя:
 
*Нарушения [[Безопасность доступа к памяти|безопасности доступа к памяти]], такие как:
 
**[[Переполнение буфера|Переполнения буфера]]
 
**[[Висящий указатель|Висящие указатели]]
 
*Ошибки [[Проверка данных|проверки вводимых данных]], такие как:
 
**[[Ошибка форматирующей строки|ошибки форматирующей строки]]
 
**Неверная поддержка интерпретации [[метасимвол|метасимволов]] [[Командная оболочка|командной оболочки]]
 
**[[SQL-инъекция]]
 
**[[Инъекция кода]]
 
**[[E-mail инъекция]]
 
**[[Обход каталогов]]
 
**[[Межсайтовый скриптинг]] в веб-приложениях
 
*[[Состояние гонки|Состояния гонки]], такие как:
 
**Ошибки [[Время-проверки-ко-времени-использования|времени-проверки-ко-времени-использования]]
 
**[[Гонка символьных ссылок|Гонки символьных ссылок]]
 
*Ошибки [[Проблема путаницы привилегий|путаницы привилегий]], такие как:
 
**[[Подделка межсайтовый запросов]] в веб-приложениях
 
*[[Эскалация привилегий]]
 
  
== Ссылки ==
+
'''''Источник:''''' [[ГОСТ Р ИСО/МЭК 21827-2010]] - Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса
* [http://www.frsirt.com/english/ French Security Incident Response Team (formerly K-OTik)]{{ref-en}}{{ref-fr}}
 
* [http://www.osvdb.org/ Open Source Vulnerability Database homepage]{{ref-en}}
 
* [http://www.securityfocus.com/bid Security Focus Vulns Archive]{{ref-en}}
 
* [http://www.packetstormsecurity.org/ Packet Storm (vulnerability and tool archives)]{{ref-en}}
 
* [http://samate.nist.gov/ NIST Software Assurance Metrics and Tool Evaluation (SAMATE) project]{{ref-en}}
 
* [http://sreport.ru/live.php/ Живой поиск по базе уязвимостей]{{ref-ru}}
 
* [http://www.securitylab.ru/vulnerability/ База уязвимостей на русском языке с 1997 года]{{ref-ru}}
 
* [http://slovari.yandex.ru/dict/gl_natural/article/151/151_191.HTM?text=%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C Определение понятия уязвимость. Словарь Глоссарий.ру]{{ref-ru}}
 
* [http://www.xakep.ru/post/48221/default.asp Классификаторы и метрики компьютерных уязвимостей]
 
  
[[Категория:Определения]]
+
6.'''Уязвимость''' - Слабое место актива (2.3) или меры и средства контроля и управления (2.10), которое может быть использовано угрозой (2.45)
 +
 
 +
'''''Источник:''''' [[ГОСТ Р ИСО/МЭК 27000-2012]] - Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
 +
[[Категория: Определения]]

Текущая версия на 12:23, 15 ноября 2019

1.Уязвимость (англ. vulnerability); брешь: - Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Источник: ГОСТ Р 50922-2006 - Защита информации. Основные термины и определения. (Введен в действие 01.02.2008г.)

2.Уязвимость (англ. vulnerability) - Свойство системы, которое можно использовать для нарушения информационной безопасности системы информационных технологий и автоматизированных систем.

Источник: ГОСТ Р 53113.1-2008 - Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения.

3.Уязвимость (англ. vulnerability) - Внутренние свойства объекта, создающие восприимчивость к воздействию источника риска, которое может привести к какому-либо последствию

Источник: ГОСТ Р 53114-2008 - Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения.

4.Уязвимость - Слабое место ОО, которое может быть использовано для нарушения ФТБ в некоторой среде.

Источник: ГОСТ Р ИСО/МЭК 15408-1-2012 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

5.Уязвимость - Слабое место актива или группы активов, которое может быть подвержено воздействию угрозы.

Источник: ГОСТ Р ИСО/МЭК 21827-2010 - Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса

6.Уязвимость - Слабое место актива (2.3) или меры и средства контроля и управления (2.10), которое может быть использовано угрозой (2.45)

Источник: ГОСТ Р ИСО/МЭК 27000-2012 - Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

Источник — https://wikisec.ru/index.php?title=Уязвимость&oldid=7979