漏洞

漏洞或脆弱性（英语：Vulnerability），是指计算机系统安全方面的缺陷，使得系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。
在《GB/T 25069-2010 信息安全技术 术语》，将脆弱性定义为“资产中能被威胁所利用的弱点”。
许多安全漏洞是程序错误导致的，此时可叫做安全错误（英语：Security bug），但并不是所有的安全隐患都是程序安全错误导致的。

== 原因 ==
复杂：大型的复杂系统会增加缺陷以及未预期文件系统权限的可能性。
熟悉：使用常见、着名的程式，软体，作业系统及硬体，若没有经常更新系统，容易被攻击者找到缺陷进行攻击.
互连：越来越多的实体连接、特权、通讯埠、通讯协定以及服务，每一项都会增加系统被攻击的可能性。
密码管理缺陷：电脑使用者的密码若强度不足，可能会用暴力法破解。电脑使用者将密码放在电脑软体可以存取的地方。使用者在不同的程式和网站上使用相同的密码
基本操作系统设计缺陷：操作系统设计者选择去强化用户管理或程式管理上的非最佳政策。例如使用预设允许政策的作业系统，给每一个使用者和软体完整的权限可以存取整台电脑。操作系统的缺陷让病毒以及恶意软体可以以管理者的身份执行指令
浏览网站；有些网站可能会有有害的间谍软件或广告软体，在浏览后会自动安装在电脑中。在浏览这些网站后，电脑即受到这些软体的影响，可能会将个人资料传送给第三方
程序错误：软体开发者在软体中留下了可利用的漏洞，攻击者可以用这个漏洞来滥用应用程式
不适当的输入验证：程式假设所有使用者的输入都是安全的，没有检查使用者输入的程式，可能会因为无意或刻意的输入而造成问题，例如缓冲区溢出、SQL注入等问题
没有从过去的错误中记取教训：例如大部份在IPv4通讯协定软体上被发现的漏洞，又在IPv6版本中的重复出现
研究已经证实大部份资讯系统中，最脆弱的部份是使用者、操作者、设计者或是其他的人；因此在分析时，人可能有不同的角色，例如资产、威胁、资讯资源等。社会工程学是目前越来越受重视的安全议题。

== 常见漏洞 ==
零日漏洞
SQL注入
缓冲区溢出
跨站脚本
死亡之Ping
ARP欺骗
FREAK漏洞
Badlock

== 参见 ==
浏览器安全
电脑紧急应变团队
漏洞扫描器
信息安全
计算机安全
网络安全
安全性测试
漏洞管理
影子IT
漏洞利用

== 参考文献 ==