漏洞利用

漏洞利用(英语:Exploit,本意为“利用”)是计算机安全术语,指的是利用程序中的某些漏洞,来得到计算机的控制权(使自己编写的代码越过具有漏洞的程序的限制,从而获得运行权限)。在英语中,本词也是名词,表示为了利用漏洞而编写的攻击程序,即漏洞利用程序。

经常还可以看到名为ExploitMe的程序。这样的程序是故意编写的具有安全漏洞的程序,通常是为了练习写Exploit程序。[原创研究?]

分类编辑

有多种对漏洞进行分类的方法。 最常见的是漏洞利用如何与易受攻击的软件进行通信。[1]

远程利用在网络上工作,并在没有事先访问易受攻击的系统的情况下利用安全漏洞。[2]

本地漏洞利用需要事先访问易受攻击的系统,并且通常会将运行漏洞利用的人员的权限增加到超过系统管理员授予的权限。 还存在针对客户端应用程序的漏洞利用,通常由修改后的服务器组成,如果通过客户端应用程序访问,这些服务器会发送漏洞利用。[3]

针对客户端应用程序的漏洞利用也可能需要与用户进行一些交互,因此可以与社会工程方法结合使用。 另一种分类是针对易受攻击的系统采取的行动; 未经授权的数据访问、任意代码执行和拒绝服务就是例子。

参见编辑

  1. ^ Exploits Database by Offensive Security. www.exploit-db.com. [2021-10-25]. (原始内容存档于2016-07-29). 
  2. ^ Ric Messier. CEH v11 Certified Ethical Hacker Study Guide. Sybex. 2021 [2021-10-25]. ISBN 978-1119800286. (原始内容存档于2021-10-27). 
  3. ^ Exploit Database | Rapid7. www.rapid7.com. [2021-10-25]. (原始内容存档于2019-04-16).