计算机安全隐患(英语:Vulnerability),俗称安全漏洞(英语:Security hole),指
计算机系统安全方面的缺陷,使得系统或其应用数据的
保密性、
完整性、
可用性、
访问控制和
监测机制等面临
威胁。
许多安全漏洞是
程序错误导致的,此时可叫做程序安全错误(Security bug),但并不是所有的安全隐患都是程序安全错误导致的。
在
计算机领域中,零日漏洞或零时差漏洞(
英语:Zero-day exploit、 zero-day、0-day)通常是指还没有
补丁的
安全漏洞,而零日攻击或零时差攻击(
英语:Zero-day attack)则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用
程序的人通常是该漏洞的发现者。零日漏洞的利用程序对网络安全具有巨大威胁,因此零日漏洞不但是
黑客的最爱,掌握多少零日漏洞也成为评价黑客技术水平的一个重要参数。
零日漏洞及其利用代码不仅对犯罪黑客而言,具有极高的利用价值,一些国家
间谍和网军部队,例如
美国国家安全局和美国网战司令部也非常重视这些信息。
SQL注入攻击(英语:SQL injection),简称SQL攻击或注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入
SQL指令,在设计不良的
程序当中忽略了检查,那么这些注入进去的指令就会被
数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。
缓冲区溢出(buffer overflow),是针对
程序设计缺陷,向程序输入
缓冲区写入使之溢出的内容(通常是超过缓冲区能保存的最大数据量的数据),从而破坏程序运行、趁著中断之际并获取程序乃至系统的控制权。
缓冲区溢出原指当某个数据超过了处理程序限制的范围时,程序出现的异常操作。造成此现象的原因有:
因
黑客在
Unix的内核发现通过缓冲区溢出可以获得系统的最高等级权限,而成为攻击手段之一。也有人发现相同的问题也会出现在
Windows操作系统上,以致其成为黑客最为常用的攻击手段,
蠕虫病毒利用
操作系统高危漏洞进行的破坏与大规模传播均是利用此技术。比较知名的蠕虫病毒
冲击波蠕虫,就基于Windows操作系统的
缓冲区溢出漏洞。
跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是
代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了
HTML以及用户端
脚本语言。
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是
JavaScript,但实际上也可以包括
Java,
VBScript,
ActiveX,
Flash或者甚至是普通的
HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、
会话和
cookie等各种内容。
ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网络上多译为ARP病毒)或ARP攻击,是针对
以太网地址解析协议(
ARP)的一种攻击技术。此种攻击可让攻击者获取
局域网上的数据包甚至可篡改数据包,且可让网络上特定电脑或所有电脑无法正常连接。最早探讨
ARP欺骗的文章是由Yuri Volobuev所写的《ARP与ICMP转向游戏》(ARP and ICMP redirection games)。