Security 漏洞与漏洞?
如果有的话,软件缺陷和软件漏洞之间有什么区别?从编程的角度来看,我认为缺陷和漏洞之间没有区别。它们都是软件中的错误Security 漏洞与漏洞?,security,Security,如果有的话,软件缺陷和软件漏洞之间有什么区别?从编程的角度来看,我认为缺陷和漏洞之间没有区别。它们都是软件中的错误 然而,从安全角度来看,漏洞是一类可以被恶意人员以某种方式操纵的漏洞。这两种漏洞有时会重叠,但我认为“漏洞”是一个错误,而“漏洞”正如名称所示是一个弱点。漏洞是指系统没有按照设计的方式运行 漏洞是滥用系统的一种方式(最常见的是与安全相关的方式)——无论是由于设计错误还是实现错误。换句话说,由于设计缺陷,某些东西可能会有漏洞,即使该设计的实现是完美的。在我看来,漏洞是漏洞的一个子集,使
然而,从安全角度来看,漏洞是一类可以被恶意人员以某种方式操纵的漏洞。这两种漏洞有时会重叠,但我认为“漏洞”是一个错误,而“漏洞”正如名称所示是一个弱点。漏洞是指系统没有按照设计的方式运行
漏洞是滥用系统的一种方式(最常见的是与安全相关的方式)——无论是由于设计错误还是实现错误。换句话说,由于设计缺陷,某些东西可能会有漏洞,即使该设计的实现是完美的。在我看来,漏洞是漏洞的一个子集,使某些人能够对您的软件执行恶意或有害的操作
bug只是无法正常工作的代码(如何正确定义取决于意见)。漏洞是bug的子集 缺陷是产品中的任何缺陷
漏洞是一种漏洞,表现为恶意使用产品的机会。漏洞通常不那么明显,但需要独创性加以利用 错误是指系统未能满足要求 漏洞是bug的一个子集-当您的系统可能被迫进入不满足要求的故障模式时,通常通过(ab)以意外的方式使用您的系统(或您的系统所依赖的东西) 通常,漏洞可能导致无法满足以下一个或多个方面的要求:
- 保密性
- 完整性
- 可用性
- 保密性
- 可靠性(=完整性+可用性)
- :
在计算机安全中,术语
弱点适用于弱点
在允许攻击者攻击的系统中
破坏了那家公司的完整性
系统
例如,家用电脑容易受到洪水和手榴弹等物理威胁,但它们不被视为“bug”。在企业环境中,如果系统关闭的风险足够大,这些威胁将得到更为严重的处理,可能用于空中交通支持或核反应堆管理
/通常通过冗余硬件和将服务器分发到远程位置来处理物理威胁和故障
分类(或“bug”)可能是主观的,因为它取决于软件设计的意图和需求。如果某一特定受众群的某一功能被滥用,则该功能可能会被视为另一受众的弱点。例如有人可能会说这是一个漏洞,因为它违反了普通用户的共同期望(就像我说的,这是一个主观的调用)。错误是指软件未能满足要求。我认为这些是理想的要求,所以说在需求分析中有一个bug是有道理的,尽管这更值得商榷。 漏洞是一种可被恶意利用的功能,无论是有意还是无意。它不一定是一个bug,只要它是故意的
为了改变话题,我的家庭无线设备有一个可猜测的WPA密码是一个漏洞,但这是一个有意识的选择,以方便我的客人使用。这是导致漏洞的需求示例。如果我输入了一个弱密码,因为我不太清楚,那将是一个bug,也是一个漏洞。如果你使用Bugzilla,你需要做的任何事情都是bug;) 虽然我猜漏洞不一定是一个bug,但不处理一个案例可能是一个明智的决定——例如,基于对漏洞的成本/影响/可能性的分析,它们不一定是相同的。正如Yossi所说,并非所有漏洞都是bug。并不是所有的bug都是漏洞。一个bug可能只是一个麻烦,或者是破坏了的功能,没有被利用,所以它不是一个真正的漏洞。它刚刚坏了:p@Yossi-有趣的想法;因此,可以故意设计易受攻击的软件,但在这种情况下,该漏洞不会是一个bug?然而,漏洞并不总是软件中的错误。例如,如果您所依赖的平台易受攻击,那么您也有问题。@frankodwyer-这似乎超出了我的问题范围,我的问题是将软件缺陷与软件漏洞进行比较。如果平台的软件易受攻击,则存在软件漏洞。如果是其他东西(硬件、物理等),则超出范围。尽管可以说设计有缺陷。+1:缺陷可能会引入漏洞,也可能不会引入漏洞。漏洞是一个问题,可以归为“bug”一类。我同意robert的意见-系统可能按照设计运行,但仍然存在bug,因为设计不符合要求。@frankodywer/robert:我倾向于将“bug”视为一个实现词,而不仅仅是任何类型的缺陷。你当然可以说设计有缺陷,或者甚至是要求有缺陷。@jon-这是有道理的。如果你这样定义bug,漏洞不是bug的一个子集。对于drive by downvoter:如果你要对一个没有明显错误的答案进行否决,你至少可以解释一下原因。我没有否决这个问题,但是我认为这个答案中的一个小问题是,漏洞不仅仅是恶意使用产品的机会。例如,如果您的web基础设施易受DDOS攻击(大多数都是),那么您的系统也会受到攻击。但我不会称之为“恶意使用”。但答案并不是说漏洞只是一种机会主义