威脅、漏洞和攻擊(Threat、Vulnerability & Attacks)

在信息安全領域，互聯網和計算機安全人員經常交替使用以下術語：威脅、漏洞和攻擊。許多人會混淆這些術語。然而，它們是不同的，且有著各自的定義，即使它們彼此相關。因此，理解並區分它們是必要的。

威脅（Threat）

威脅是指可能發生的不良事件，最終可能會破壞和中斷組織的運營和功能活動，影響組織的完整性和可用性因素。
威脅的影響非常大，可能會損害組織的物理 IT 資產的存在。而威脅的存在可能是意外的、故意的，或由於其他行動的影響而產生。

漏洞（Vulnerability）

漏洞是指存在的弱點、設計缺陷或實施錯誤，當被利用時，會導致意外的和不期望的事件，從而破壞系統的安全性。
簡單來說，漏洞是一個安全漏洞，允許攻擊者通過繞過各種用戶認證來進入系統。

攻擊（Attack）

攻擊是針對 IT 系統的安全性進行的行動，通過漏洞進行破壞。在系統或網絡上的攻擊中，它也指惡意軟件或命令，這些命令可能導致合法軟件或硬件出現意外行為，因為攻擊者利用了系統的漏洞。

例如：

• 對輸入驗證的威脅（Threats to Input Validation）：

  • 緩衝區溢出（Buffer overflows）
  • 跨站腳本攻擊（Cross-site scripting）
  • SQL 注入（SQL injection）
  • 規範化攻擊（Canonicalization attacks）
  • 查詢字符串操作（Query string manipulation）
  • 表單字段操作（Form field manipulation）
  • Cookie 操作（Cookie manipulation）
  • HTTP 標頭操作（HTTP header manipulation）

• 輸入驗證中的漏洞（Vulnerabilities in Input Validation）：

  • 缺乏對用戶輸入的驗證
  • 直接使用未經驗證的用戶輸入來生成 SQL 查詢
  • 完全依賴於客戶端驗證
  • 基於已知的錯誤模式進行輸入驗證

• 對輸入驗證的攻擊（Attacks to Input Validation）：

  • 利用輸入驗證漏洞進行緩衝區溢出攻擊、跨站腳本攻擊、SQL 注入攻擊、規範化攻擊、查詢字符串操作、Cookie 操作等。