有必要作下科普工作--bug与vulnerability的关系
AYN
软件的bug有多种多样,在我看来,只要是违反软件意图的行为都可以视为bug,当然bug的严重性也分三六九等,有直接crash的,有内存泄漏的,有功能性的,有逻辑性的,有界面显示问题的......
vulnerability中文翻译为弱点,一般人所说的漏洞.
那些能引起弱点(vulnerability)的bug,我们称软件有该bug的vulnerability.
那么,何为能引起弱点(vulnerability)的bug??
这里是指能利用(exploit)这个bug,可以做一些危害系统.危害系统的使用者的这么一些bug.例如权限提升,CSS拿别人的cookie进别人的邮件系统,sql注入改数据库等等.
经过上面的一小段说明,我们可以做个总结
1:不是每个bug都是vulnerability,只有能引起弱点的bug才能属于vulnerability,所以说,vulnerability是bug的子集.
2:
bug能否转化为vulnerability,跟能否利用这个bug相关.但是能否利用这个bug是跟当前的计算机技术和攻击技术发展水平有关.比如同样一个bug,在几年前不能称之为vulnerability,这几年就可以称之为vulnerability了.所以vulnerability还具有技术关联性.
胡乱总结一翻,希望能给green hand明确下概念.
ps:或许我理解的也有问题,欢迎指正.
# Posted by alert7 :: 技术:: 评论 (3) :: 静态链接网址 ::
引用 (0)
最新回复
受教 那exploit 跟他俩的关系是啥捏
Posted by: allyesno at 2006/02/26, 14:41
首先明确下exploit的感念,exploit泛指那些利用或攻击方法,有时候也特指攻击程序。
那么,从bug转化到vulnerability的催化剂就是exploit.
bug + exploit ---> vulnerability
Posted by: a7 at 2006/02/26, 21:53
好
Posted by: allyesno at 2006/02/26, 23:22