系統漏洞的類型

1. 系統漏洞具備哪些特徵

系統漏洞具備哪些特徵
克斯·韋伯的科層制（或官僚制）理論有著豐厚的思想內蘊，它是韋伯政治社會學的重要內容。這一理論的許多概念、范疇和分析成為現代西方政治學理論來源之一。

本文試圖對這一理論作一討論。

一、以合理性作為科層論的學理預設「合理性」（rationality）或「合法性」（legitimacy ）是韋伯政治社會學的中心概念。可以說，他的政治理論實際上是圍繞著這兩個概念展開的，是對它們的進一步引申與發揮。合理性是韋伯科層理論的重要學理預設。

韋伯認為任何一種合乎需要的統治都有著合理性基礎。既然科層制能夠穩定地運作，並且呈現出等級制的權力矩陣關系，它必然也是以某種合理性作為其實現前提的。他認為，科層制是特定權力的施用和服從關系的體現。具有特殊內容的命令或全部命令得到特定人群服從的可能性可稱為「統治」，此處的統治不包括純粹暴力的控制，因而統治看來更多地限於自願的服從。自願的服從又是以形成個人價值氛圍的「信仰體系」為基礎的，作為個人，他必得深刻認同信仰體系，才能取得行動的一致性、連續性而不致導致內心的緊張，並最終獲得自願的服從。韋伯把個人自願服從的體系視為合理性或合法性體系，從而他對一個體系的認識排除了價值判斷。也就是說，合理性並不表現在事實的好壞之分，而是存在於看它是否被人們在信仰上認可，或者說，個人對一種秩序保持了它是一種合法秩序的信念，這就是這個秩序的「正當性」（validity）或它之所以存在的合理性。在正當性信念的支持之下，任何來自權威的命令都會得到個人的遵從，而不論這些命令是否來自統治者個人，或通過契約、協議產生的抽象法律條文、規章等命令形式。

這樣一個合法性來源或正當性信念可以分為兩大類別。一類是主觀的正當性，包括情感的正當性（多表現為情緒的接近、親和）、價值合理性的正當性（相信一個秩序體現了個人的美學、倫理或其他價值）、宗教的正當性（來自於對救贖需要秩序這一看法的認可）；第二類是所謂客觀的正當性，包括習慣的正當性（對已經成為過程或重復出現的事實的默認，以及心理學意義上可表述為主要來自於外部壓力的從眾心理）、法律的正當性（對法律體系無論是出於內心的抑或外在的服從）。在這五種正當性信念的統領、號召或驅使之下，由內心向行動的發展方向又可判明為四種不同的行動類型：（1）情感類型行動（情感的正當性）；（2）價值合理性類型行動（包括價值合理性和宗教合理性正當性）；（3）傳統類型行動（習慣的正當性）；（4）目的合理性類型行動（法律的正當性）。

對行動者行動類型的分析，成為韋伯社會秩序的基礎，他對社會體系的看法，包括對科層制的理解，大抵由此生發開來。通過下文的分析我們將可以看到，韋伯根據不同的行動類型，把科層製作了進一步的甄別，他盡管常常在對政治問題的評價中表現出實證主義的傾向，但還是對不同的科層製作了價值判斷，似乎這是有違他價值中立的分析態度的初衷的。在韋伯看來，科層制或許僅僅是指現代社會的科層制，對於其它社會而言，典型的科層制是不存在的，或者至少是殘缺不全的。

二、以命令—服從類型作為科層論的解析機理在韋伯那裡，命令—服從類型往往意味著就是統治類型，它又是與行動類型緊緊相扣的。他認為，不同的行動類型構成了不同統治類型的基礎，並發展出三種相互獨立的統治形式，它們是基於傳統背景之上的合法化統治、依靠個人魅力而建立的合法化統治和藉助法律的正當性建立的合法化統治，它們分別被韋伯概括為傳統型統治、「卡里斯馬」型統治和法理型統治。這三種統治形式又可被指稱為三種命令—服從類型。

在第一種命令—服從類型中，個人出於由來已久的忠誠而服從一個領袖。人們認......

2. 常見的漏洞類型有哪些

一、SQL 注入漏洞
SQL 注入攻擊（ SQL Injection ），簡稱注入攻擊、SQL 注入，被廣泛用於非法獲取網站控制權， 是發生在應用程序的資料庫層上的安全漏洞。在設計程序，忽略了對輸入字元串中夾帶的SQL 指令的檢查，被資料庫誤認為是正常的SQL 指令而運行，從而使資料庫受到攻擊，可能導致數據被竊取、更改、刪除，以及進一步導致網站被嵌入惡意代碼、被植入後門程序等危害。

通常情況下， SQL 注入的位置包括：

（1）表單提交，主要是POST 請求，也包括GET 請求；

（2）URL 參數提交，主要為GET 請求參數；

（3）Cookie 參數提交；

（4）HTTP 請求頭部的一些可修改的值，比如Referer 、User_Agent 等；

（5）一些邊緣的輸入點，比如.mp3 文件的一些文件信息等。

SQL 注入的危害不僅體現在資料庫層面上， 還有可能危及承載資料庫的操作系統；如果SQL 注入被用來掛馬，還可能用來傳播惡意軟體等，這些危害包括但不局限於：

（1）資料庫信息泄漏：資料庫中存放的用戶的隱私信息的泄露。作為數據的存儲中心，資料庫里往往保存著各類的隱私信息， SQL 注入攻擊能導致這些隱私信息透明於攻擊者。

（2）網頁篡改：通過操作資料庫對特定網頁進行篡改。

（3）網站被掛馬，傳播惡意軟體：修改資料庫一些欄位的值，嵌入網馬鏈接，進行掛馬攻擊。

（4）資料庫被惡意操作：資料庫伺服器被攻擊，資料庫的系統管理員帳戶被篡改。

（5）伺服器被遠程式控制制，被安裝後門。經由資料庫伺服器提供的操作系統支持，讓黑客得以修改或控制操作系統。

（6）破壞硬碟數據，癱瘓全系統。

解決SQL 注入問題的關鍵是對所有可能來自用戶輸入的數據進行嚴格的檢查、對資料庫配置使用最小許可權原則。通常使用的方案有：

（1 ）所有的查詢語句都使用資料庫提供的參數化查詢介面，參數化的語句使用參數而不是將用戶輸入變數嵌入到SQL 語句中。當前幾乎所有的資料庫系統都提供了參數化SQL 語句執行介面，使用此介面可以非常有效的防止SQL 注入攻擊。

（2 ）對進入資料庫的特殊字元（ '"\<>&*; 等）進行轉義處理，或編碼轉換。

（3 ）確認每種數據的類型，比如數字型的數據就必須是數字，資料庫中的存儲欄位必須對應為int 型。

（4）數據長度應該嚴格規定，能在一定程度上防止比較長的SQL 注入語句無法正確執行。

（5）網站每個數據層的編碼統一，建議全部使用UTF-8 編碼，上下層編碼不一致有可能導致一些過濾模型被繞過。

（6）嚴格限制網站用戶的資料庫的操作許可權，給此用戶提供僅僅能夠滿足其工作的許可權，從而最大限度的減少注入攻擊對資料庫的危害。

（7）避免網站顯示SQL 錯誤信息，比如類型錯誤、欄位不匹配等，防止攻擊者利用這些錯誤信息進行一些判斷。

（8）在網站發布之前建議使用一些專業的SQL 注入檢測工具進行檢測，及時修補這些SQL 注入漏洞。

二、跨站腳本漏洞
跨站腳本攻擊（ Cross-site scripting ，通常簡稱為XSS）發生在客戶端，可被用於進行竊取隱私、釣魚欺騙、竊取密碼、傳播惡意代碼等攻擊。XSS 攻擊使用到的技術主要為HTML 和Javascript ，也包括VBScript和ActionScript 等。XSS 攻擊對WEB 伺服器雖無直接危害，但是它藉助網站進行傳播，使網站的使用用戶受到攻擊，導致網站用戶帳號被竊取，從而對網站也產生了較嚴重的危害。

XSS 類型包括：

（1）非持久型跨站： 即反射型跨站腳本漏洞， 是目前最普遍的跨站類型。跨站代碼一般存在於鏈接中，請求這樣的鏈接時，跨站代碼經過服務端反射回來，這類跨站的代碼不存儲到服務端（比如資料庫中）。上面章節所舉的例子就是這類情況。

（2）持久型跨站：這是危害最直接的跨站類型，跨站代碼存儲於服務端（比如資料庫中）。常見情況是某用戶在論壇發貼，如果論壇沒有過濾用戶輸入的Javascript 代碼數據，就會導致其他瀏覽此貼的用戶的瀏覽器會執行發貼人所嵌入的Javascript 代碼。

（3）DOM 跨站（DOM XSS ）：是一種發生在客戶端DOM （Document Object Model 文檔對象模型）中的跨站漏洞，很大原因是因為客戶端腳本處理邏輯導致的安全問題。

XSS 的危害包括：

（1）釣魚欺騙：最典型的就是利用目標網站的反射型跨站腳本漏洞將目標網站重定向到釣魚網站，或者注入釣魚JavaScript 以監控目標網站的表單輸入，甚至發起基於DHTML 更高級的釣魚攻擊方式。

（2 ）網站掛馬：跨站時利用IFrame 嵌入隱藏的惡意網站或者將被攻擊者定向到惡意網站上，或者彈出惡意網站窗口等方式都可以進行掛馬攻擊。

（3）身份盜用： Cookie 是用戶對於特定網站的身份驗證標志， XSS 可以盜取到用戶的Cookie ，從而利用該Cookie 盜取用戶對該網站的操作許可權。如果一個網站管理員用戶Cookie 被竊取，將會對網站引發巨大的危害。

（4）盜取網站用戶信息：當能夠竊取到用戶Cookie 從而獲取到用戶身份使，攻擊者可以獲取到用戶對網站的操作許可權，從而查看用戶隱私信息。

（5）垃圾信息發送：比如在SNS 社區中，利用XSS 漏洞借用被攻擊者的身份發送大量的垃圾信息給特定的目標群。

（6）劫持用戶Web 行為：一些高級的XSS 攻擊甚至可以劫持用戶的Web 行為，監視用戶的瀏覽歷史，發送與接收的數據等等。

（7）XSS 蠕蟲：XSS 蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網上數據、實施DDoS 攻擊等。

常用的防止XSS 技術包括：

（1）與SQL 注入防護的建議一樣，假定所有輸入都是可疑的，必須對所有輸入中的script 、iframe 等字樣進行嚴格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入介面，也包括HTTP 請求中的Cookie 中的變數， HTTP 請求頭部中的變數等。

（2 ）不僅要驗證數據的類型，還要驗證其格式、長度、范圍和內容。

（3）不要僅僅在客戶端做數據的驗證與過濾，關鍵的過濾步驟在服務端進行。

（ 4）對輸出的數據也要檢查， 資料庫里的值有可能會在一個大網站的多處都有輸出，即使在輸入做了編碼等操作，在各處的輸出點時也要進行安全檢查。

（5）在發布應用程序之前測試所有已知的威脅。

三、弱口令漏洞
弱口令(weak password) 沒有嚴格和准確的定義，通常認為容易被別人（他們有可能對你很了解）猜測到或被破解工具破解的口令均為弱口令。設置密碼通常遵循以下原則：

（1）不使用空口令或系統預設的口令，這些口令眾所周之，為典型的弱口令。

（2）口令長度不小於8 個字元。

（3）口令不應該為連續的某個字元（例如： AAAAAAAA ）或重復某些字元的組合（例如： tzf.tzf. ）。

（4）口令應該為以下四類字元的組合，大寫字母(A-Z) 、小寫字母(a-z) 、數字(0-9) 和特殊字元。每類字元至少包含一個。如果某類字元只包含一個，那麼該字元不應為首字元或尾字元。

（5）口令中不應包含本人、父母、子女和配偶的姓名和出生日期、紀念日期、登錄名、E-mail 地址等等與本人有關的信息，以及字典中的單詞。

（6）口令不應該為用數字或符號代替某些字母的單詞。

（7）口令應該易記且可以快速輸入，防止他人從你身後很容易看到你的輸入。

（8）至少90 天內更換一次口令，防止未被發現的入侵者繼續使用該口令。

四、HTTP 報頭追蹤漏洞
HTTP/1.1 （RFC2616 ）規范定義了HTTP TRACE 方法，主要是用於客戶端通過向Web 伺服器提交TRACE 請求來進行測試或獲得診斷信息。當Web 伺服器啟用TRACE 時，提交的請求頭會在伺服器響應的內容（Body ）中完整的返回，其中HTTP 頭很可能包括Session Token 、Cookies 或其它認證信息。攻擊者可以利用此漏洞來欺騙合法用戶並得到他們的私人信息。該漏洞往往與其它方式配合來進行有效攻擊，由於HTTP TRACE 請求可以通過客戶瀏覽器腳本發起（如XMLHttpRequest ），並可以通過DOM 介面來訪問，因此很容易被攻擊者利用。防禦HTTP 報頭追蹤漏洞的方法通常禁用HTTP TRACE 方法。

五、Struts2 遠程命令執行漏洞
Apache Struts 是一款建立Java web 應用程序的開放源代碼架構。Apache Struts 存在一個輸入過濾錯誤，如果遇到轉換錯誤可被利用注入和執行任意Java 代碼。網站存在遠程代碼執行漏洞的大部分原因是由於網站採用了Apache Struts Xwork 作為網站應用框架，由於該軟體存在遠程代碼執高危漏洞，導致網站面臨安全風險。CNVD 處置過諸多此類漏洞，例如：「 GPS 車載衛星定位系統」網站存在遠程命令執行漏洞(CNVD-2012-13934) ；Aspcms 留言本遠程代碼執行漏洞（ CNVD-2012-11590 ）等。

修復此類漏洞，只需到Apache 官網升級Apache Struts 到最新版本

六、框架釣魚漏洞（框架注入漏洞）
框架注入攻擊是針對Internet Explorer 5 、Internet Explorer 6 、與Internet Explorer 7 攻擊的一種。這種攻擊導致Internet Explorer 不檢查結果框架的目的網站，因而允許任意代碼像Javascript 或者VBScript 跨框架存取。這種攻擊也發生在代碼透過多框架注入，肇因於腳本並不確認來自多框架的輸入。這種其他形式的框架注入會影響所有的不確認不受信任輸入的各廠商瀏覽器和腳本。如果應用程序不要求不同的框架互相通信，就可以通過完全刪除框架名稱、使用匿名框架防止框架注入。但是，因為應用程序通常都要求框架之間相互通信，因此這種方法並不可行。因此，通常使用命名框架，但在每個會話中使用不同的框架，並且使用無法預測的名稱。一種可行的方法是在每個基本的框架名稱後附加用戶的會話令牌，如main_display 。

七、文件上傳漏洞
文件上傳漏洞通常由於網頁代碼中的文件上傳路徑變數過濾不嚴造成的，如果文件上傳功能實現代碼沒有嚴格限制用戶上傳的文件後綴以及文件類型，攻擊者可通過Web 訪問的目錄上傳任意文件，包括網站後門文件（ webshell ），進而遠程式控制制網站伺服器。因此，在開發網站及應用程序過程中，需嚴格限制和校驗上傳的文件，禁止上傳惡意代碼的文件。同時限制相關目錄的執行許可權，防範webshell 攻擊。

八、應用程序測試腳本泄露
由於測試腳本對提交的參數數據缺少充分過濾，遠程攻擊者可以利用洞以WEB 進程許可權在系統上查看任意文件內容。防禦此類漏洞通常需嚴格過濾提交的數據，有效檢測攻擊。

九、私有IP 地址泄露漏洞
IP 地址是網路用戶的重要標示，是攻擊者進行攻擊前需要了解的。獲取的方法較多，攻擊者也會因不同的網路情況採取不同的方法，如：在區域網內使用Ping 指令， Ping 對方在網路中的名稱而獲得IP；在Internet 上使用IP 版的QQ直接顯示。最有效的辦法是截獲並分析對方的網路數據包。攻擊者可以找到並直接通過軟體解析截獲後的數據包的IP 包頭信息，再根據這些信息了解具體的IP。針對最有效的「數據包分析方法」而言，就可以安裝能夠自動去掉發送數據包包頭IP 信息的一些軟體。不過使用這些軟體有些缺點， 譬如：耗費資源嚴重，降低計算機性能；訪問一些論壇或者網站時會受影響；不適合網吧用戶使用等等。現在的個人用戶採用最普及隱藏IP 的方法應該是使用代理，由於使用代理伺服器後，「轉址服務」會對發送出去的數據包有所修改，致使「數據包分析」的方法失效。一些容易泄漏用戶IP 的網路軟體(QQ 、MSN 、IE 等)都支持使用代理方式連接Internet ，特別是QQ 使用「 ezProxy 」等代理軟體連接後， IP 版的QQ 都無法顯示該IP 地址。雖然代理可以有效地隱藏用戶IP，但攻擊者亦可以繞過代理， 查找到對方的真實IP 地址，用戶在何種情況下使用何種方法隱藏IP，也要因情況而論。

十、未加密登錄請求
由於Web 配置不安全， 登陸請求把諸如用戶名和密碼等敏感欄位未加密進行傳輸， 攻擊者可以竊聽網路以劫獲這些敏感信息。建議進行例如SSH 等的加密後再傳輸。

十一、敏感信息泄露漏洞
SQL 注入、XSS、目錄遍歷、弱口令等均可導致敏感信息泄露，攻擊者可以通過漏洞獲得敏感信息。針對不同成因，防禦方式不同。

3. 漏洞的兩種類型的區別

簡單說漏洞就是缺陷，是在硬體、軟體、協議的具體實現或系統安全策略上存在的缺陷，分類很廣泛，比如：

• 軟體編寫存在bug

• 系統配置失誤

• 秘密信息泄露

• 明文通訊信息被監聽

• 被內外部攻擊

等，漏洞檢測可以分為對已知漏洞的檢測和對未知漏洞的檢測，比如說未知漏洞檢測可以進行：

• 源代碼掃描

• 反匯編掃描

• 環境錯誤注入

等，前兩者為靜態法，無需運行程序，最後一種為動態法，而對已知漏洞檢測主要方法是安全掃描，這又叫做脆弱性評估，採用模擬黑客攻擊的方式對目標可能存在的已知安全漏洞進行逐項檢測，全掃描技術主要分為兩類：

• 基於主機的安全掃描技術

• 基於網路的安全掃描技術

按照掃描過程又可以分為：

• Ping掃描

• 埠掃描

• 操作系統探測掃描

• 已知漏洞的掃描

希望這些能夠幫到你

4. 常見的漏洞類型有哪些

常見的漏洞類型如下
一:按照漏洞所屬類型來區分:

1，客戶端漏洞：
XSS（跨站腳本攻擊）
CSRF（跨站請求偽造）
XXE（XML外部實體注入）
2，服務端漏洞：
SQL注入
文件上傳漏洞
伺服器請求偽造（SSRF）
反序列化
命令執行漏洞
文件包含漏洞
邏輯漏洞
越權漏洞
敏感信息泄露

按照漏洞特徵類型區分：
1，注入類
SQL注入
XSS（跨站腳本攻擊）
XXE（XML外部實體注入）
CSRF（跨站請求偽造）
2，文件操作類
3，許可權控制類
4，命令執行類

5. 什麼是系統漏洞

一
什麼是系統漏洞？
漏洞是在硬體、軟體、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。
↑
Top
二
什麼是漏洞補丁?
操作程序，尤其是WINDOWS，各種軟體，游戲，在原公司程序編寫員發現軟體存在問題或漏洞，統稱為BUG，可能使用戶在使用系統或軟體時出現干擾工作或有害於安全的問題後，寫出一些可插入於源程序的程序語言，這就是補丁。
如果系統存在漏洞，請及時打上漏洞補丁，以防止惡意軟體，木馬，病毒的攻擊。

6. 系統漏洞是什麼

系統漏洞是指應用軟體或操作系統軟體在邏輯設計上的缺陷或在編寫時產生的錯誤，這個缺陷或錯誤可以被不法者或者電腦黑客利用，通過植入木馬、病毒等方式來攻擊或控制整個電腦，從而竊取您電腦中的重要資料和信息，甚至破壞您的系統。

7. 什麼是系統漏洞啊

漏洞的解復釋：

漏洞是制在操作系統在具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在你不知道的情況下破壞你的操作系統系統。威脅到系統的安全。因而這些都可以認為是系統中存在的安全漏洞。

漏洞補丁修復的含義：

從廣義上來說，通過安裝軟體公司發布的補丁程序，來修補或修復此軟體的缺陷，都叫「漏洞修復」。狹義的說，漏洞修復主要是指修復系統漏洞，除了通過打補丁的形式以外，系統漏洞有部分可以通過安裝防火牆、限制用戶許可權、停止不需要的系統服務解決。
一般應用軟體的漏洞，主要是通過升級軟體的版本來解決。

8. 安全漏洞的分類

大眾類軟體的漏洞。如Windows的漏洞、IE的漏洞等等。
專用軟體的漏洞。如Oracle漏洞、Apache漏洞等等。 能讀按理不能讀的數據，包括內存中的數據、文件中的數據、用戶輸入的數據、資料庫中的數據、網路上傳輸的數據等等。
能把指定的內容寫入指定的地方（這個地方包括文件、內存、資料庫等）
輸入的數據能被執行（包括按機器碼執行、按Shell代碼執行、按SQL代碼執行等等） 遠程漏洞，攻擊者可以利用並直接通過網路發起攻擊的漏洞。這類漏洞危害極大，攻擊者能隨心所欲的通過此漏洞操作他人的電腦。並且此類漏洞很容易導致蠕蟲攻擊，在Windows。
本地漏洞，攻擊者必須在本機擁有訪問許可權前提下才能發起攻擊的漏洞。比較典型的是本地許可權提升漏洞，這類漏洞在Unix系統中廣泛存在，能讓普通用戶獲得最高管理員許可權。
觸發條件上看可以分為：
主動觸發漏洞，攻擊者可以主動利用該漏洞進行攻擊，如直接訪問他人計算機。
被動觸發漏洞，必須要計算機的操作人員配合才能進行攻擊利用的漏洞。比如攻擊者給管理員發一封郵件，帶了一個特殊的jpg圖片文件，如果管理員打開圖片文件就會導致看圖軟體的某個漏洞被觸發，從而系統被攻擊，但如果管理員不看這個圖片則不會受攻擊。 文件操作類型，主要為操作的目標文件路徑可被控制（如通過參數、配置文件、環境變數、符號鏈接燈），這樣就可能導致下面兩個問題：
寫入內容可被控制，從而可偽造文件內容，導致許可權提升或直接修改重要數據（如修改存貸數據），這類漏洞有很多，如歷史上Oracle TNS LOG文件可指定漏洞，可導致任何人可控制運行Oracle服務的計算機；
內容信息可被輸出，包含內容被列印到屏幕、記錄到可讀的日誌文件、產生可被用戶讀的core文件等等，這類漏洞在歷史上Unix系統中的crontab子系統中出現過很多次，普通用戶能讀受保護的shadow文件；
內存覆蓋，主要為內存單元可指定，寫入內容可指定，這樣就能執行攻擊者想執行的代碼（緩沖區溢出、格式串漏洞、PTrace漏洞、歷史上Windows2000的硬體調試寄存器用戶可寫漏洞）或直接修改內存中的機密數據。
邏輯錯誤，這類漏洞廣泛存在，但很少有範式，所以難以查覺，可細分為：
條件競爭漏洞（通常為設計問題，典型的有Ptrace漏洞、廣泛存在的文件操作時序競爭）
策略錯誤，通常為設計問題，如歷史上FreeBSD的Smart IO漏洞。
演算法問題（通常為設計問題或代碼實現問題），如歷史上微軟的Windows 95/98的共享口令可輕易獲取漏洞。
設計的不完善，如TCP/IP協議中的3步握手導致了SYN FLOOD拒絕服務攻擊。
實現中的錯誤（通常為設計沒有問題，但編碼人員出現了邏輯錯誤，如歷史上博彩系統的偽隨機演算法實現問題）
外部命令執行問題，典型的有外部命令可被控制（通過PATH變數，輸入中的SHELL特殊字元等等）和SQL注入問題。 已發現很久的漏洞：廠商已經發布補丁或修補方法，很多人都已經知道。這類漏洞通常很多人已經進行了修補，宏觀上看危害比較小。
剛發現的漏洞：廠商剛發補丁或修補方法，知道的人還不多。相對於上一種漏洞其危害性較大，如果此時出現了蠕蟲或傻瓜化的利用程序，那麼會導致大批系統受到攻擊。
0day：還沒有公開的漏洞，在私下交易中的。這類漏洞通常對大眾不會有什麼影響，但會導致攻擊者瞄準的目標受到精確攻擊，危害也是非常之大。

9. 什麼是系統漏洞,請簡述產生系統漏洞原因

系統漏洞是指應用軟體或操作系統軟體在邏輯設計上的缺陷或錯誤，被不法者利用，通過網路植入木馬、病毒等方式來攻擊或控制整個電腦，竊取電腦中的重要資料和信息，甚至破壞系統。

導致系統漏洞的原因包括程序邏輯結構設計不合理，不嚴謹、編程人員程序設計錯誤以及目前為止硬體無法解決特定的問題：

1、編程人員在設計程序時，對程序邏輯結構設計不合理，不嚴謹，因此產生一處或者多處漏洞，正是由於這些漏洞，給病毒入侵用戶電腦提供了入口。

2、編程人員的程序設計錯誤也是計算機系統漏洞產生的原因之一，受編程人員的能力、經驗和當時安全技術所限，在程序中難免會有不足之處，輕則影響程序效率，重則導致非授權用戶的許可權提升，這種類型的漏洞最典型的是緩沖區溢出漏洞，它也是被黑客利用得最多的一種類型的漏洞。

3、由於目前硬體無法解決特定的問題，使編程人員只得通過軟體設計來表現出硬體功能而產生的漏洞，也會讓黑客長驅直入，攻擊用戶的電腦。

(9)系統漏洞的類型擴展閱讀：

漏洞會影響到的范圍很大，包括系統本身及其支撐軟體，網路客戶和伺服器軟體，網路路由器和安全防火牆等。

在不同種類的軟、硬體設備，同種設備的不同版本之間，由不同設備構成的不同系統之間，以及同種系統在不同的設置條件下，都會存在各自不同的安全漏洞問題。因而隨著時間的推移，舊的系統漏洞會不斷消失，新的系統漏洞會不斷出現。系統漏洞問題也會長期存在。

10. 系統漏洞有哪些

I)輸入驗證錯誤(Input Validation Error):未對用戶輸入數據的合法性進行驗證，使攻擊者非法進入系統。
2)緩沖區溢出((Butter Overflow)向程序的緩沖區中錄入的數據
超過其規定長度，造成緩沖區溢出，破壞程序正常的堆棧，使程序
執行其他命令。
3)設計錯誤(Design Error):程序設計錯誤而導致的漏洞。其
實，大多數的漏洞都屬於設計錯誤。
4)意外情況處置錯誤(Exceptional Condition Handling Error):程
序在實現邏輯中沒有考慮到一些意外情況，而導致運行出錯。
5)訪lb1驗證錯誤(Access Validation Error):程序的訪lb1驗證部分
存在某些邏輯錯誤，使攻擊者可以繞過訪問控制進入系統。
6)配置錯誤(Configuration Error):系統和應用的配置有誤，或
配置參數、訪問許可權、策略安裝位置有誤。
7)競爭條件(Race Condition):程序處理文件等實體在時序和同
步方面存在問題，存在一個機會窗口使攻擊者能夠施以外來的影
響。
8)環境錯誤(}Oondition Error):一些環境變數的錯誤或惡意設置
造成的漏洞。
9)其他。

《系統安全漏洞研究及資料庫實現》 計算機工程 2004年4月 Vo1.30 No.8 文章編號：1000-3428(2004)08一0068-03