本文的目地是为了总结一些东西,解决在试图构造一个漏洞数据库的过程中碰到的主要问题,也就是如何对计算机网络漏洞进行分类的问题。文中的一些想法并不成熟,有些甚至连自己也不满意,权作抛砖引玉,以期与在这方面有深入研究的同仁交流,共同提高完善。
对漏洞被利用方式的分类(2)
四、中间人方式
当攻击者位于一个可以观察或截获两个机器之间的通信的位置时,就可以认为攻击者处于中间人方式。因为很多时候主机之间以明文方式传输有价值的信息,因此攻击者可以很容易地攻入其他机器。对于某些公钥加密的实现,攻击者可以截获并取代密钥伪装成网络上的两个节点来绕过这种限制。图示:
窍听或篡改
本文对网络安全漏洞作了粗浅地分类,这远不是一个完美的方案,有兴趣的欢迎来信交流心得。
一些我读过的参考资料:
http://www.securityfocus.com/external/http://seclab.cs.ucdavis.edu/projects/vulnerabilities/scriv/index.html
http://www.securityfocus.com/external/http://seclab.cs.ucdavis.edu/projects/vulnerabilities/scriv/index.html
http://www.securityfocus.com/external/http://seclab.cs.ucdavis.edu/projects/vulnerabilities/scriv/index.html
http://www.securityfocus.com/data/library/compvuln_draft.pdf
来源:ChinaUnix.net
网友评论