安全错误

系列条目
资讯安全
相关安全分类
计算机安全 汽车网络安全 网络犯罪（英语：Cybercrime） 网络性交易（英语：Cybersex trafficking） 电脑诈骗 网络末日战 网络恐怖主义 网络战 电子作战 信息战 互联网安全（英语：Internet security） 移动安全 网络安全、公开来源情报与反制（OSINT） 复制保护 数字版权管理
威胁
广告软件 高级长期威胁 任意代码执行 软件后门 硬件后门（英语：Hardware backdoors） 代码注入 犯罪软件 跨网站指令码 骑劫挖矿 僵尸网络 数据泄露 路过式下载 浏览器辅助对象 电脑犯罪 计算机病毒 资料抓取（英语：Data scraping） 阻断服务攻击 窃听 邮件诈骗（英语：Email fraud） 邮件混淆（英语：Email spoofing） 漏洞利用 键盘记录 逻辑炸弹 定时炸弹（英语：Time bomb (software)） Fork炸弹 Zip 炸弹 欺诈拨号器（英语：dialer） 恶意软件 负载 钓鱼式攻击 多型引擎 特权提升 勒索软件 Rootkit 恐吓软件 Shellcode 滥发电子讯息 社会工程学 屏幕抓取（英语：Screen scrape） 间谍软件 程序错误 特洛伊木马 硬件木马（英语：Hardware Trojan） 远程桌面软件 漏洞 后门壳层 删除器（英语：Wiper (malware)） 电脑蠕虫 SQL注入 流氓软件 僵尸电脑
防御
应用程序安全 安全程式码撰写 预设安全 基于安全的设计 误用案例（英语：Misuse case） 电脑存取控制（英语：Computer access control） 身份验证 多重要素验证 授权 电脑安全软件（英语：Computer security software） 杀毒软件 安全操作系统（英语：Security-focused operating system） 以资料为中心的安全（英语：Data-centric security） 代码混淆 数据脱敏 加密 防火墙 安全强化 入侵检测系统 主机入侵检测系统 (HIDS) 异常检测 安全性资讯与事件管理（英语：Security information and event management） (SIEM) 资安协作自动化应变 (SOAR) 安全行动闸道（英语：Mobile secure gateway） 应用程序执行期保护（英语：Runtime application self-protection） 站点隔离
查 论 编

安全缺陷或安全错误（security bug）是指会导致电脑系统中未授权的存取或是特权的程序错误。安全缺陷会影响以下的机制（可能影响一项或多项），因此产生漏洞：

• 用户或是其他实体的身份验证^[1]
• 有关存取控制及特权的授权^[1]
• 资料保密
• 数据完整性

安全缺陷不一定会被识别出来，就算没有被利用，仍然算是安全缺陷，目前假定几乎所有的系统都有安全缺陷，比已知的漏洞更加常见。

安全缺陷就像其他的程序错误一样，其根本原因一般就可以追溯到以下程序的缺乏或是不足^[2]：

• 程序员训练
• 用例分析
• 软件开发过程
• 品质保证测试
• 以下其他最佳实践

安全缺陷一般会分为几个较广泛的分类，其中包括^[3]：

• 记忆体安全（例如缓冲区溢出或是迷途指针错误）
• 竞争危害
• 安全输入及输出处理
• 应用程序接口的错误使用
• 不当的用例处理
• 不当异常处理
• 资源泄漏，多半是因为不当的异常处理，不过也有例外
• 输入字串没有经过先检查，确认字串正确，就先进行了前处理

可以参考软件安全保障（英语：software security assurance）。

• 计算机安全
• Hacking: The Art of Exploitation Second Edition（英语：Hacking: The Art of Exploitation Second Edition）
• 资讯科技风险（英语：IT risk）
• 威胁 (电脑)（英语：Threat (computer)）
• 漏洞
• 硬件错误（英语：Hardware bug）
• 程式编写安全

• Open Web Application Security Project. 2013 Top 10 List. 21 August 2015 [2021-11-02]. （原始内容存档于2013-10-09）. 
• CWE/SANS TOP 25 Most Dangerous Software Errors. SANS. [13 July 2012]. （原始内容存档于2018-08-01）.