很早时候浏览器安全这个词就一直在我脑子里转,这次接触浏览器安全后发现涉及面之广超出了我的想象,又想到生而为人不能太贪,又不能不贪(对于知识的需求),所以适当了解做个记录。
安全漏洞的定义:安全漏洞是产品中的一个弱点,它可能允许攻击者破坏该产品的完整性,可用性或机密性。
源于:(https://docs.microsoft.com/en-us/previous-versions/tn-archive/cc751383(v=technet.10))(好好学英语)
安全漏洞三要素:
- 完整性:指对资源的可信程度。攻击者若是在未授权且无提示的情况下修改了资源,那便是破坏了其完整性。
1. 对于浏览器来说,就是攻击者通过一些操作使浏览器做了在其正常状况下不能执行的操作。
- 可用性:指访问资源的能力。攻击者针对漏洞进行攻击时,如果能够控制产品不让用户访问资源,便破坏了其可用性。
1. 情况一:攻击者攻击服务器,致使软件崩溃,导致用户无法访问网站。
2. 情况二:攻击者通过DDoS(分布式拒绝服务攻击)使服务器运行缓慢或限制流量导致用户无法使用服务。
3. 解释:这里前者由于攻击者攻击后控制权归于攻击者,属于漏洞;而后者虽然攻击者也攻击了,但是控制权还是在服务器手中,不属于漏洞。
- 机密性:机密性指对一些需要授权的信息的限制。如果攻击者通过漏洞获取到了一些不该由他来获取的内容,称作破坏了机密性。
1. 情况一:浏览器保存的密码应当只有保存它的用户和相关网站知道,如果攻击者通过浏览器缺陷而获取了这个数据,那么这就是一个漏洞。
2. 情况二:攻击者通过钓鱼或者某种方式搞到你的手机从而获取了你的密码,这个不属于漏洞。
3. 解释:因为前者的载体是浏览器;而后者的载体是人。
3075
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
