Уязвимости
Уязвимость
Также известно как: Слабое место, Брешь в безопасности
Определение
Слабое место в системе, приложении или процессе, которое злоумышленник может использовать для нарушения конфиденциальности, целостности или доступности.
Примеры
- Непропатченная библиотека с известной CVE, позволяющей удалённое выполнение кода.
- Неверно настроенный S3-бакет, публично раскрывающий данные клиентов.
Связанные термины
CVE (Common Vulnerabilities and Exposures)
Публичный каталог, присваивающий уникальный идентификатор каждой раскрытой уязвимости ПО или оборудования для однозначных ссылок в индустрии.
CWE (Common Weakness Enumeration)
Сообщественно поддерживаемая таксономия типов слабостей ПО и оборудования — классов дефектов, лежащих в основе уязвимостей.
CVSS (Common Vulnerability Scoring System)
Открытый фреймворк, поддерживаемый FIRST, формирующий оценку критичности уязвимости от 0 до 10 на основе характеристик эксплуатации и воздействия.
Эксплойт
Код, данные или метод, использующий уязвимость для вызова непредусмотренного поведения — выполнения кода, повышения привилегий или раскрытия информации.
Уязвимость нулевого дня
Дефект безопасности, неизвестный производителю (или для которого ещё нет патча) на момент его обнаружения или эксплуатации.
Оценка уязвимостей
Систематический анализ среды для выявления, классификации и приоритизации уязвимостей, как правило, без их активной эксплуатации.