bug与vulnerability的关系

来源:alert7 blog

以前在焦点BLOG上写的小东西

软件的bug有多种多样,在我看来,只要是违反软件意图的行为都可以视为bug,当然bug的严重性也分三六九等,有直接crash的,有内存泄漏的,有功能性的,有逻辑性的,有界面显示问题的……

vulnerability中文翻译为弱点,一般人所说的漏洞.
那些能引起弱点(vulnerability)的bug,我们称软件有该bug的vulnerability.

那么,何为能引起弱点(vulnerability)的bug??
这里是指能利用(exploit)这个bug,可以做一些危害系统.危害系统的使用者的这么一些bug.例如权限提升,CSS拿别人的cookie进别人的邮件系统,sql注入改数据库等等.

经过上面的一小段说明,我们可以做个总结
1:不是每个bug都是vulnerability,只有能引起弱点的bug才能属于vulnerability,所以说,vulnerability是bug的子集.
2: bug能否转化为vulnerability,跟能否利用这个bug相关.但是能否利用这个bug是跟当前的计算机技术和攻击技术发展水平有关.比如同样一个bug,在几年前不能称之为vulnerability,这几年就可以称之为vulnerability了.所以vulnerability还具有技术关联性.

胡乱总结一翻,希望能给green hand明确下概念.

ps:或许我理解的也有问题,欢迎指正.

相关日志

发表评论