Мошенническое программное обеспечение безопасности
Зомби
Защита
Безопасность приложений
Безопасное кодирование
Безопасно по умолчанию
Безопасность по дизайну
Дело о неправильном использовании
Контроль доступа к компьютеру
Аутентификация
Многофакторная аутентификация
Авторизация
Программное обеспечение для компьютерной безопасности
Антивирусная программа
Операционная система, ориентированная на безопасность
Безопасность, ориентированная на данные
Обфускация кода
Маскировка данных
Шифрование
Брандмауэр
Система обнаружения вторжений
Хост-система обнаружения вторжений (HIDS)
Обнаружение аномалий
Информация о безопасности и управление событиями (SIEM)
Мобильный безопасный шлюз
Самозащита приложений во время выполнения
в
т
е
Часть серии о
Взлом компьютера
История
Фрикинг
Криптовирусология
Взлом бытовой электроники
Список хакеров
Хакерская культура и этика
Хакатон
Хакерский манифест
Хакерспейс
Хактивизм
Культура создателя
Типы хакеров
Черная шляпа
Серая шляпа
белая шляпа
Конференции
Брифинги черной шляпы
Хаос Коммуникационный Конгресс
ЗАЩИТА КОН
Хакеры на планете Земля
Безопасность
ШмуКон
Саммеркон
Компьютерное преступление
Криминальное ПО
Список компьютерных преступников
Сценарий малыш
Инструменты взлома
Эксплойт
криминалистические операционные системы
Полезная нагрузка
Социальная инженерия
Уязвимость
Практические сайты
Взломать этот сайт
Зона-H
Вредоносное ПО
руткит
Задняя дверь
троянский конь
Вирус
Червь
Шпионское ПО
Программы-вымогатели
Логическая бомба
Ботнет
Регистрация нажатий клавиш
СКРЫТ
Веб-оболочка
РЦЭ
Компьютерная безопасность
Безопасность приложений
Безопасность облачных вычислений
Сетевая безопасность
Группы
Анонимный
Компьютерный Клуб Хаоса
Клуб домашних компьютеров (несуществующий)
Легион Судьбы (несуществующий)
LulzSec (несуществующий)
Мастера обмана (несуществующий)
Красная команда / Синяя команда
Публикации
2600: Ежеквартальное издание «Хакер»
Хакер Новости
Орехи и вольты
Фрак
в
т
е
В компьютерной безопасности уязвимость — это уязвимость, которую может использовать субъект угрозы , например злоумышленник, для пересечения границ привилегий (т. е. выполнения несанкционированных действий) в компьютерной системе. Чтобы воспользоваться уязвимостью, злоумышленник должен иметь по крайней мере один применимый инструмент или метод, который может подключиться к слабости системы. В этом фрейме уязвимости также известны как поверхность атаки .
Управление уязвимостями — это циклическая практика, которая теоретически различается, но содержит общие процессы, которые включают: обнаружение всех ресурсов, определение приоритетов активов, оценку или выполнение полного сканирования уязвимостей, отчет о результатах, устранение уязвимостей, проверку исправления — повторение. Эта практика обычно относится к уязвимостям программного обеспечения в вычислительных системах. [1] Гибкое управление уязвимостями означает предотвращение атак путем максимально быстрого выявления всех уязвимостей. [2]
Угроза безопасности часто ошибочно классифицируется как уязвимость. Использование уязвимости с тем же значением риска может привести к путанице. Риск — это возможность значительного воздействия в результате использования уязвимости. Затем есть уязвимости без риска: например, когда затронутый актив не имеет ценности. Уязвимость с одним или несколькими известными экземплярами работающих и полностью реализованных атак классифицируется как эксплуатируемая уязвимость — уязвимость, для которой существует эксплойт . Окно уязвимости — это время с момента появления или проявления уязвимости в развернутом программном обеспечении до момента, когда доступ был удален, стало доступно/развернуто исправление безопасности или злоумышленник был отключен — см . Атака нулевого дня .
Ошибка безопасности ( дефект безопасности ) — более узкое понятие. Есть уязвимости, не связанные с программным обеспечением: аппаратные , сайтовые, кадровые уязвимости — примеры уязвимостей, которые не являются программными ошибками безопасности.
Конструкции в языках программирования , которые трудно использовать должным образом, могут содержать большое количество уязвимостей.
Содержание
1 Определения
2 Модели уязвимости и факторов риска
3 Система управления информационной безопасностью
4 Классификация
5 причин
6 Последствия
7 Раскрытие уязвимости
7.1 Перечень уязвимостей
8 Дата раскрытия уязвимости
9 мест, в которых проявляются уязвимости
9.1 Уязвимости программного обеспечения
10 См. также
11 ссылок
12 Внешние ссылки
Определения
ISO 27005 определяет уязвимость как: [3]
Слабость актива или группы активов, которые могут быть использованы одной или несколькими угрозами, где активом является все, что имеет ценность для организации, ее бизнес-операций и их непрерывности, включая информационные ресурсы, поддерживающие миссию организации [4] .
Уязвимость IETF RFC 4949 как: [5]
Недостаток или слабость в конструкции, реализации или эксплуатации и управлении системой, которые могут быть использованы для нарушения политики безопасности системы.
Комитет по системам национальной безопасности Соединенных Штатов Америки определил уязвимость в Инструкции CNSS № 4009 от 26 апреля 2010 г. Национальный глоссарий обеспечения информации : [6]
Уязвимость — уязвимость в информационной системе, процедурах обеспечения безопасности системы, внутреннем контроле или реализации, которая может быть использована источником угрозы.
Многие публикации NIST определяют уязвимость в контексте ИТ в разных публикациях: термин FISMApedia [7] [8] приводит список. Между ними СП 800-30, [9] дают более широкое:
Недостаток или слабость в процедурах безопасности системы, дизайне, реализации или внутреннем контроле, которые могут быть реализованы (случайно или преднамеренно) и привести к нарушению безопасности или политике безопасности системы.
ENISA определяет уязвимость в [10] как:
Существование слабости, ошибки проектирования или реализации, которые могут привести к неожиданному нежелательному событию [G.11], ставящему под угрозу безопасность задействованной компьютерной системы, сети, приложения или протокола (ITSEC).
Open Group определяет уязвимость в [11] как
Вероятность того, что возможности угрозы превышают возможности противостоять угрозе .
Факторный анализ информационного риска (FAIR) определяет уязвимость как: [12]
Вероятность того, что актив не сможет противостоять действиям агента угрозы
Согласно FAIR уязвимость связана с силой контроля, т. е. силой контроля по сравнению со стандартной мерой силы и возможностями угрозы , т. е. вероятным уровнем силы, которую агент угрозы способен применить к активу.
ISACA определяет уязвимость в структуре Risk It как:
Слабость в дизайне, реализации, эксплуатации или внутреннем контроле
Data and Computer Security: Словарь понятий и терминов стандартов, авторы Деннис Лонгли и Майкл Шейн, Stockton Press, ISBN 0-935859-17-9 , определяет уязвимость как:
1) В компьютерной безопасности уязвимость в процедурах безопасности автоматизированных систем, административном контроле, интернет-контроле и т. д., которая может быть использована с целью получения несанкционированного доступа к информации или нарушения критической обработки. 2) В компьютерной безопасности слабость в физическом расположении, организации, процедурах, персонале, управлении, администрировании, оборудовании или программном обеспечении, которая может быть использована для причинения вреда системе или деятельности ADP. 3) В компьютерной безопасности любая слабость или изъян, существующий в системе. Атака или вредоносное событие, или возможность, доступная агенту угрозы для организации этой атаки.
Мэтт Бишоп и Дэйв Бейли [13] дают следующее определение компьютерной уязвимости :
Компьютерная система состоит из состояний, описывающих текущую конфигурацию объектов, составляющих компьютерную систему. Система вычисляет посредством применения переходов между состояниями, которые изменяют состояние системы. Все состояния, достижимые из заданного начального состояния с помощью набора переходов между состояниями, попадают в класс авторизованных или неавторизованных, как определено политикой безопасности. В данной работе определения этих классов и переходов считаются аксиоматическими. Уязвимое состояние — это авторизованное состояние, из которого можно перейти в неавторизованное состояние с помощью авторизованных переходов между состояниями. Скомпрометированное состояние — это достигнутое таким образом состояние. Атака — это последовательность авторизованных переходов между состояниями, которые заканчиваются скомпрометированным состоянием. По определению атака начинается в уязвимом состоянии.Уязвимость — это характеристика уязвимого состояния, которая отличает его от всех неуязвимых состояний. Если уязвимость является общей, она может характеризовать множество уязвимых состояний; если конкретно, то может характеризовать только один...
Национальный учебный и образовательный центр обеспечения информации определяет уязвимость : [14] [15]
Слабость в автоматизированных процедурах безопасности системы, административного контроля, внутреннего контроля и т. д., которая может быть использована угрозой для получения несанкционированного доступа к информации или нарушения критической обработки. 2. Слабые места в процедурах безопасности системы, аппаратном обеспечении, внутреннем контроле и т. д., которые могут быть использованы для получения несанкционированного доступа к секретной или конфиденциальной информации. 3. Слабые места в физическом расположении, организации, процедурах, персонале, управлении, администрировании, оборудовании или программном обеспечении, которые могут быть использованы для причинения вреда системе или деятельности ADP. Наличие уязвимости само по себе не причиняет вреда; Уязвимость — это просто условие или набор условий, которые могут привести к повреждению системы или деятельности ADP в результате атаки. 4.
Модели уязвимости и факторов риска
Ресурс (физический или логический) может иметь одну или несколько уязвимостей, которые могут быть использованы злоумышленником. Результат может поставить под угрозу конфиденциальность , целостность или доступность ресурсов (не обязательно уязвимых), принадлежащих организации и/или другим вовлеченным сторонам (клиенты, поставщики). Так называемая триада ЦРУ является краеугольным камнем информационной безопасности .
Атака может быть активной , когда она пытается изменить системные ресурсы или повлиять на их работу, ставя под угрозу целостность или доступность. « Пассивная атака » пытается получить или использовать информацию из системы, но не затрагивает системные ресурсы, ставя под угрозу конфиденциальность. [5]
OWASP: связь между агентом угрозы и влиянием на бизнес
OWASP (см. рисунок) изображает то же явление в несколько иных терминах: агент угрозы через вектор атаки использует слабость (уязвимость) системы и связанные с ней элементы управления безопасностью, вызывая техническое воздействие на ИТ-ресурс (актив), подключенный к воздействие на бизнес.
Общая картина представляет собой факторы риска сценария риска. [16]
Система управления информационной безопасностью
Набор политик, касающихся системы управления информационной безопасностью (ISMS), был разработан для управления, в соответствии с принципами управления рисками , контрмерами для обеспечения того, чтобы стратегия безопасности была настроена в соответствии с правилами и положениями, применимыми к данной организации. Эти контрмеры также называются средствами безопасности , но применительно к передаче информации они называются службами безопасности . [17]
Классификация
Уязвимости классифицируются в соответствии с классом активов, к которому они относятся: [3]
аппаратное обеспечение
восприимчивость к влажности или пыли
восприимчивость к незащищенному хранению
возрастной износ, который приводит к выходу из строя
перегрев
программное обеспечение
недостаточное тестирование
небезопасное кодирование
отсутствие аудиторского следа
недостаток конструкции
сеть
незащищенные линии связи (например, отсутствие криптографии )
небезопасная сетевая архитектура
персонал
неправильный процесс найма
недостаточная осведомленность о безопасности
внутренняя угроза
физический сайт
территория, подверженная стихийным бедствиям (например, наводнение, землетрясение)
прерывание источника питания
организационный
отсутствие регулярных проверок
отсутствие планов преемственности
отсутствие безопасности
Причины
Сложность. Большие и сложные системы повышают вероятность ошибок и непреднамеренных точек доступа . [18]
Знакомство: использование общеизвестного кода, программного обеспечения, операционных систем и/или оборудования увеличивает вероятность того, что злоумышленник имеет или может найти знания и инструменты для использования уязвимости. [19]
Возможности подключения: больше физических подключений, привилегий, портов, протоколов и сервисов, а также время, в течение которого каждый из них доступен, повышают уязвимость. [12]
Недостатки управления паролями: пользователь компьютера использует слабые пароли, которые могут быть обнаружены методом грубой силы. [20] Пользователь компьютера сохраняет пароль на компьютере, где программа может получить к нему доступ. Пользователи повторно используют пароли между многими программами и веб-сайтами. [18]
Фундаментальные недостатки дизайна операционной системы : разработчик операционной системы выбирает неоптимальные политики управления пользователями/программами. Например, операционные системы с такими политиками, как разрешение по умолчанию, предоставляют каждой программе и каждому пользователю полный доступ ко всему компьютеру. [18] Этот недостаток операционной системы позволяет вирусам и вредоносным программам выполнять команды от имени администратора. [21]
Просмотр веб-сайтов в Интернете. Некоторые веб-сайты в Интернете могут содержать вредоносное шпионское или рекламное ПО , которое может автоматически устанавливаться в компьютерных системах. После посещения этих веб-сайтов компьютерные системы заражаются, а личная информация будет собираться и передаваться третьим лицам. [22]
Ошибки программного обеспечения : программист оставляет в программе ошибку, которую можно использовать. Программная ошибка может позволить злоумышленнику использовать приложение не по назначению. [18]
Непроверенный пользовательский ввод : программа предполагает, что весь пользовательский ввод безопасен. Программы, которые не проверяют пользовательский ввод, могут допустить непреднамеренное прямое выполнение команд или операторов SQL (известное как переполнение буфера , внедрение SQL или другие непроверенные вводы). [18]
Не учиться на прошлых ошибках: [23] [24] например, большинство уязвимостей, обнаруженных в программном обеспечении протокола IPv4 , были обнаружены в новых реализациях IPv6 . [25]
Исследование показало, что наиболее уязвимым местом в большинстве информационных систем является человек-пользователь, оператор, разработчик или другой человек: [26] поэтому людей следует рассматривать в их различных ролях как актив, угроза, информационные ресурсы. Социальная инженерия становится все более серьезной проблемой безопасности.
Последствия
Последствия нарушения безопасности могут быть очень высокими. [27] Большинство законодательных актов рассматривает неспособность ИТ-менеджеров устранить уязвимости ИТ-систем и приложений, если они известны им как неправомерные действия; ИТ-менеджеры несут ответственность за управление ИТ-рисками . [28] Закон о конфиденциальности обязывает менеджеров действовать, чтобы уменьшить влияние или вероятность этого риска безопасности. Аудит безопасности информационных технологий — это способ позволить другим независимым людям подтвердить, что ИТ-среда управляется должным образом, и уменьшить ответственность, по крайней мере, продемонстрировав добросовестность. Тест на проникновение — это форма проверки слабости и контрмер, принятых организацией: Белая шляпахакер пытается атаковать активы информационных технологий организации, чтобы выяснить, насколько легко или сложно взломать ИТ-безопасность. [29] Надлежащий способ профессионально управлять ИТ-рисками — это принять Систему управления информационной безопасностью, такую как ISO/IEC 27002 или Risk IT , и следовать им в соответствии со стратегией безопасности, установленной высшим руководством. [17]
Одной из ключевых концепций информационной безопасности является принцип эшелонированной защиты , т. е. создание многоуровневой системы защиты, которая может: [27]
предотвратить эксплойт
обнаружить и перехватить атаку
выяснить агентов угрозы и привлечь их к ответственности
Система обнаружения вторжений является примером класса систем, используемых для обнаружения атак .
Физическая безопасность — это набор мер по физической защите информационного актива: если кто-то может получить физический доступ к информационному активу, общепризнано, что злоумышленник может получить доступ к любой информации на нем или сделать ресурс недоступным для его законных пользователей.
Были разработаны некоторые наборы критериев, которым должен удовлетворять компьютер, его операционная система и приложения для обеспечения хорошего уровня безопасности: два примера - ITSEC и общие критерии .
Раскрытие уязвимости
Скоординированное раскрытие уязвимостей (некоторые называют это « ответственным раскрытием », но другие считают этот термин предвзятым) об уязвимостях является предметом серьезных споров. Как сообщала The Tech Herald в августе 2010 года, « Google , Microsoft , TippingPoint и Rapid7 выпустили инструкции и заявления, касающиеся того, как они будут поступать с раскрытием информации в будущем». [30] Другим методом обычно является полное раскрытие информации ., когда публикуются все подробности уязвимости, иногда с намерением оказать давление на автора программного обеспечения, чтобы тот быстрее опубликовал исправление. В январе 2014 года, когда Google обнаружил уязвимость Microsoft до того, как Microsoft выпустила исправление для ее устранения, представитель Microsoft призвал разработчиков программного обеспечения координировать действия по раскрытию информации. [31]
Инвентаризация уязвимостей
Корпорация Mitre ведет неполный список публично раскрытых уязвимостей в системе под названием Common Vulnerabilities and Exposures . Эта информация немедленно передается в Национальный институт стандартов и технологий (NIST), где каждой уязвимости присваивается оценка риска с использованием общей системы оценки уязвимостей (CVSS), схемы общего перечисления платформ (CPE) и общего перечисления слабых мест .
OWASP ведет список классов уязвимостей с целью обучения проектировщиков систем и программистов, тем самым снижая вероятность непреднамеренной записи уязвимостей в программное обеспечение. [32]
Дата раскрытия уязвимости
Время раскрытия уязвимости определяется по-разному в сообществе безопасности и отрасли. Чаще всего это называют «видом публичного раскрытия информации о безопасности определенной стороной». Обычно информация об уязвимостях обсуждается в списке рассылки или публикуется на веб-сайте по безопасности, после чего выдается совет по безопасности.
Моментом раскрытия является первая дата описания уязвимости безопасности на канале, где раскрываемая информация об уязвимости должна соответствовать следующему требованию:
Информация находится в свободном доступе для общественности
Информация об уязвимости публикуется надежным и независимым каналом/источником.
Уязвимость была проанализирована экспертами, поэтому информация о рейтинге риска включается при раскрытии.
Выявление и устранение уязвимостей
Существует множество программных инструментов, которые могут помочь в обнаружении (а иногда и в устранении) уязвимостей в компьютерной системе. Хотя эти инструменты могут предоставить аудитору хороший обзор возможных уязвимостей, они не могут заменить человеческое суждение. Если полагаться исключительно на сканеры, это приведет к ложным срабатываниям и ограниченному обзору проблем, присутствующих в системе.
Уязвимости были обнаружены во всех основных операционных системах [33] , включая Windows , macOS , различные формы Unix и Linux , OpenVMS и другие. Единственный способ снизить вероятность того, что уязвимость будет использована против системы, — это постоянное наблюдение, включая тщательное обслуживание системы (например, применение исправлений программного обеспечения), передовой опыт развертывания (например, использование брандмауэров и средств контроля доступа ) и аудит (как во время разработки и на протяжении всего жизненного цикла развертывания).
Места, в которых проявляются уязвимости
Уязвимости связаны и могут проявляться в:
физическая среда системы
персонал (т.е. сотрудники, руководство)
административные процедуры и политика безопасности
ведение бизнеса и предоставление услуг
оборудование, включая периферийные устройства [34] [35]
программное обеспечение (например, локально или в облаке)
подключение (т.е. коммуникационное оборудование и средства)
Очевидно, что чисто технический подход не всегда может защитить материальные активы: необходимо иметь административную процедуру, позволяющую обслуживающему персоналу входить на объекты, и людей, обладающих достаточным знанием процедур, мотивированных следовать ей с должным вниманием. Однако технические средства защиты не обязательно останавливают атаки социальной инженерии (безопасности) .
Примеры уязвимостей:
злоумышленник находит и использует уязвимость, связанную с переполнением буфера, для установки вредоносного ПО, а затем эксфильтрации конфиденциальных данных;
злоумышленник убеждает пользователя открыть сообщение электронной почты с прикрепленным вредоносным ПО;
наводнение повреждает компьютерные системы, установленные на первом этаже.
Уязвимости программного обеспечения
Общие типы недостатков программного обеспечения, которые приводят к уязвимостям, включают:
Нарушения безопасности памяти , такие как:
Буфер переполняется и перечитывается
Висячие указатели
Ошибки проверки ввода , такие как:
Внедрение кода
Межсайтовый скриптинг в веб-приложениях
Обход каталога
Электронная почта
Атаки на строку формата
Внедрение HTTP-заголовка
Разделение HTTP-ответа
SQL-инъекция
Ошибки путаницы привилегий , такие как:
кликджекинг
Подделка межсайтовых запросов в веб-приложениях
FTP-атака отказом
Повышение привилегий
Условия гонки , такие как:
Гонки по символическим ссылкам
Ошибки от времени проверки до времени использования
Атака по побочному каналу
Атака по времени
Сбои пользовательского интерфейса , такие как:
Обвинение жертвы , побуждающее пользователя принять решение о безопасности, не предоставляя пользователю достаточно информации для ответа [36] .
Условия гонки [37] [38]
Предупреждение об усталости [39] или кондиционирования пользователя.
Был разработан некоторый набор руководств по кодированию, и было использовано большое количество статических анализаторов кода для проверки того, что код соответствует рекомендациям.
Смотрите также
Безопасность браузера
Группа реагирования на компьютерные аварии
Информационной безопасности
Интернет-безопасность
Мобильная безопасность
Сканер уязвимостей
Ответственное раскрытие информации
Полное раскрытие
использованная литература
^ «Жизненный цикл управления уязвимостями | NPCR | CDC» . www.cdc.gov (на американском английском). 2019-03-12 . Проверено 4 июля 2020 г. .
^ Дин, Аарон Йи; Де Хесус, Джанлука Лимон; Янссен, Марин (2019). «Этический взлом для улучшения управления уязвимостями IoT: первый взгляд на программы вознаграждения за обнаружение ошибок и ответственное раскрытие информации» . Материалы Восьмой Международной конференции по телекоммуникациям и дистанционному зондированию - ICTRS '19 . Иктры '19. Родос, Греция: ACM Press: 49–55. архив : 1909.11166 . дои : 10.1145/3357767.3357774 . ISBN 978-1-4503-7669-3. S2CID 202676146 .
^ a b ISO / IEC, «Информационные технологии. Методы безопасности. Управление рисками информационной безопасности» ISO / IEC FIDIS 27005: 2008
^ Британский институт стандартов, Информационные технологии. Методы безопасности. Управление безопасностью информационных и коммуникационных технологий. Часть 1: Концепции и модели управления безопасностью информационных и коммуникационных технологий. BS ISO/IEC 13335-1-2004.
^ a b Internet Engineering Task Force RFC 4949 Глоссарий интернет-безопасности, версия 2
^ «Инструкция CNSS № 4009» (PDF) . 26 апреля 2010 г. Архивировано из оригинала (PDF) 28 июня 2013 г.
^ "ФИСМАпедия" . fismapedia.org .
^ «Термин: Уязвимость» . fismapedia.org .
^ NIST SP 800-30 Руководство по управлению рисками для систем информационных технологий
^ "Глоссарий" . Европа.eu .
^ Технический стандарт таксономии рисков ISBN 1-931624-77-1 Номер документа: C081 Опубликовано The Open Group, январь 2009 г.
^ a b «Введение в факторный анализ информационных рисков (FAIR)», Risk Management Insight LLC, ноябрь 2006 г. Архивировано 18 ноября 2014 г. в Wayback Machine ;
^ Мэтт Бишоп и Дэйв Бейли. Критический анализ таксономий уязвимостей. Технический отчет CSE-96-11, факультет компьютерных наук Калифорнийского университета в Дэвисе, сентябрь 1996 г.
^ Скоу, Кори (1996). Справочник терминов INFOSEC, версия 2.0. CD-ROM (Университет штата Айдахо и Организация безопасности информационных систем)
^ Глоссарий НИАТЕК
^ ISACA THE RISK IT FRAMEWORK (требуется регистрация) . Архивировано 5 июля 2010 г. на Wayback Machine .
^ б Райт, Джо ; Харменинг, Джим (2009). "15". В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности . Публикации Моргана Кауфмана. Elsevier Inc. с. 257. ИСБН 978-0-12-374354-1.
^ a b c d e Какарека, Алмантас (2009). "23". В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности . Публикации Моргана Кауфмана. Elsevier Inc. с. 393. ИСБН 978-0-12-374354-1.
↑ Крсул , Иван (15 апреля 1997 г.). «Технический отчет CSD-TR-97-026» . Лаборатория COAST, факультет компьютерных наук, Университет Пердью. CiteSeerX 10.1.1.26.5435 .{{cite journal}}: Журнал цитирования требует |journal=( помощь )
↑ Паули, Даррен (16 января 2017 г.). «Просто сдавайся: 123456 по-прежнему остается самым популярным паролем в мире» . Регистр . Проверено 17 января 2017 г. .
^ «Шесть самых глупых идей в области компьютерной безопасности» . ranum.com .
^ «Консорциум безопасности веб-приложений / Статистика безопасности веб-приложений» . webappsec.org .
^ Росс Андерсон. Почему криптосистемы терпят неудачу. Технический отчет, Университетская компьютерная лаборатория, Кембридж, январь 1994 г.
^ Нил Шлагер. Когда технологии терпят неудачу: серьезные технологические катастрофы, аварии и неудачи двадцатого века. Гейл Рисёрч Инк., 1994.
^ Взлом: Искусство эксплуатации, второе издание
^ Киунтузис, Э.А.; Коколакис, С.А. (31 мая 1996 г.). Безопасность информационных систем: перед лицом информационного общества 21 века . Лондон: Chapman & Hall , Ltd. ISBN 0-412-78120-4.
↑ a b Расмуссен, Джереми (12 февраля 2018 г.). «Лучшие методы кибербезопасности: оставайтесь кибер-УМНЫМИ» . Технические решения . Проверено 18 сентября 2020 г. .
^ «Что такое уязвимость? - База знаний - ICTEA» . www.ictea.com . Проверено 03 апреля 2021 г. .
^ Бависи, Санджай (2009). "22". В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности . Публикации Моргана Кауфмана. Elsevier Inc. с. 375. ISBN 978-0-12-374354-1.
^ «Новая эра раскрытия уязвимостей — краткий разговор с Х.Д. Муром» . Технический вестник . Архивировано из оригинала на 2010-08-26 . Проверено 24 августа 2010 г. .
↑ Бетц, Крис (11 января 2015 г.). «Призыв к более скоординированному раскрытию информации об уязвимостях — MSRC — Домашняя страница сайта — Блоги TechNet» . blogs.technet.com . Проверено 12 январю 2015 .
^ «Категория: Уязвимость» . owasp.org .
↑ Дэвид Харли (10 марта 2015 г.). «Уязвимости операционной системы, эксплойты и небезопасность» . Проверено 15 января 2019 г.
^ Большинство ноутбуков уязвимы для атак через периферийные устройства. http://www.sciencedaily.com/releases/2019/02/190225192119.htm Источник: Кембриджский университет]
^ Использование сетевых принтеров. Институт ИТ-безопасности, Рурский университет, Бохум
^ [1] Архивировано 21 октября 2007 г. в Wayback Machine .
^ «Джесси Рудерман» Условия гонки в диалогах безопасности» . SquareFree.com .
^ "блог lcamtuf" . lcamtuf.blogspot.com . 16 августа 2010 г.
^ "Предупреждение об усталости" . свобода-to-tinker.com .
внешняя ссылка
СМИ, связанные с уязвимостью (вычисления) на Викискладе?
Ссылки на рекомендации по безопасности из Open Directory http://dmoz-odp.org/Computers/Security/Advisories_and_Patches/