-
概念驗證
鎖定
- 中文名
- 概念驗證
- 外文名
- Proof of concept
- 簡 寫
- POC
- 領 域
- 計算機
概念驗證簡介
概念驗證通常被認為是一個有里程碑意義的實現的原型 。
概念驗證計算機安全
計算機安全(computer security)是計算機與網絡領域的信息安全(information security)的一個分支。其目的是在保證信息和財產可被受權用户正常獲取和使用的情況下,保護此信息和財產不受偷竊,污染,自然災害等的損壞。計算機系統安全是指一系列包含敏感和有價值的信息和服務的進程和機制,不被未得到授權和不被信任的個人,團體或事件公開,修改或損壞。由於它的目的在於防止不需要的行為發生而非使得某些行為發生,其策略和方法常常與其他大多數的計算機技術不同。
[1]
概念驗證漏洞利用
漏洞利用(英語:Exploit,本意為“利用”)是計算機安全術語,指的是利用程序中的某些漏洞,來得到計算機的控制權(使自己編寫的代碼越過具有漏洞的程序的限制,從而獲得運行權限)。在英語中,本詞也是名詞,表示為了利用漏洞而編寫的攻擊程序,即漏洞利用程序。
經常還可以看到名為ExploitMe的程序。這樣的程序是故意編寫的具有安全漏洞的程序,通常是為了練習寫Exploit程序。
計算機安全技術的基礎是邏輯學。安全性並非是大部分的計算機應用的主要目的,而在設計時就考慮程序的安全性常常會對程序的運行有所限制。
在計算機應用上有四種安全設定,通常會結合使用:
- 信任所有軟件都遵守安全策略,但軟件本身不可信。
- 信任所有軟件都遵守安全策略,並且該軟件也被證實為可信的
- 不信任軟件,但通過不可信的保護機制執行安全策略
- 不信任軟件,但通過可信的硬件機制執行安全策略
許多系統無意中使用了以上的第一種設定。由於第二種方法成本昂貴和不確定性,其使用受到很大限制。第一種和第三種方法會導致失敗。第四種方法更具實用性,這是由於它通常基於硬件機制,避免了抽象性和自由性。
設計安全系統有很多技巧和技術。但很少有有效的方法能夠在設計完成後提高安全性。有一種技術能最大程度地執行最小權限原則,即一個實體只能擁有它所需要的權限。在這種方式下,即使攻擊者能夠進入系統的某一部分,也難以進入到其他部分。
另一方面,將系統劃分為小的組件可降低各部分的複雜性,並可以使用定理機器證明(automated theorem proving)來證明關鍵的軟件子系統的正確性。因此,當單一的有特點的特性可以作為關鍵點被分離出,而此特性可被數學評估時,安全的解析解(closed form solution)才會有效。在這種正確性證明不存在時,嚴謹的代碼審查(code review)和單元測試(unit testing)是最好的保證模塊安全的方式。
[2]
概念驗證零日攻擊
在計算機領域中,零日漏洞或零時差漏洞(英語:Zero-day exploit、 zero-day、0-day)通常是指還沒有補丁的安全漏洞,而零日攻擊或零時差攻擊(英語:Zero-day attack)則是指利用這種漏洞進行的攻擊。提供該漏洞細節或者利用程序的人通常是該漏洞的發現者。零日漏洞的利用程序對網絡安全具有巨大威脅,因此零日漏洞不但是黑客的最愛,掌握多少零日漏洞也成為評價黑客技術水平的一個重要參數。
一般而言,零日攻擊唯一徹底解決方法便是由原軟件發行公司提供修補程序,但此法通常較慢,因此軟件公司通常會在最新的病毒代碼中提供迴避已知零日攻擊的功能,但無法徹底解決漏洞本身。根據賽門鐵克第14期網絡安全威脅研究在2008年分析的所有瀏覽器中,Safari平均要在漏洞出現9天后才會完成修補,需時最久。Mozilla Firefox平均短於1天,需時最短。
[2]
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:2次歷史版本
- 最近更新: 莹莹之约fly