🔓 漏洞類型¶
軟體與系統中的安全弱點分類
共 51 個術語。
| 英文 | 中文 | 說明 |
|---|---|---|
| ACE | 任意程式碼執行 | 攻擊者可執行任意程式碼的漏洞 |
| Authentication Bypass | 驗證繞過 | 繞過身分驗證機制取得未授權存取的漏洞 |
| Broken Access Control | 存取控制失效 | 存取控制機制實作不當導致的漏洞 |
| Buffer Overflow | 緩衝區溢位 | 程式寫入資料超過緩衝區大小的漏洞 |
| Command Injection | 命令注入 | 透過應用程式執行系統命令的漏洞 |
| CORS Misconfiguration | CORS 設定錯誤 | 跨來源資源共用設定不當導致的安全問題 |
| CRLF Injection | CRLF 注入 | 透過注入換行符號操控 HTTP 標頭的漏洞 |
| CSRF | 跨站請求偽造 | 誘騙使用者在已登入網站執行非預期操作的攻擊 |
| Double Free | 重複釋放 | 程式對同一記憶體區塊執行兩次釋放操作 |
| Exploit | 漏洞利用程式 | 用於利用特定漏洞的程式碼或技術 |
| Format String Vulnerability | 格式化字串漏洞 | 因不當使用格式化函式導致的漏洞 |
| Hardcoded Credentials | 硬編碼憑證 | 將密碼或金鑰直接寫入程式碼的弱點 |
| Heap Overflow | 堆積溢位 | 堆積記憶體區域的緩衝區溢位漏洞 |
| HTTP Request Smuggling | HTTP 請求走私 | 利用前後端伺服器解析差異的攻擊 |
| IDOR | 不安全直接物件參考 | 透過修改參數存取未授權資源的漏洞 |
| Information Disclosure | 資訊洩露 | 非預期暴露敏感資訊的漏洞 |
| Input Validation | 輸入驗證 | 檢查和清理使用者輸入的安全措施 |
| Insecure Deserialization | 不安全反序列化 | 反序列化不受信任資料導致的安全漏洞 |
| Insecure File Upload | 不安全的檔案上傳 | 未充分驗證上傳檔案導致的安全漏洞 |
| Integer Overflow | 整數溢位 | 整數運算超出型別範圍導致的漏洞 |
| JWT Vulnerability | JWT 漏洞 | JSON Web Token 實作或設定不當導致的漏洞 |
| LCE | 本地程式碼執行 | 在本地系統執行任意程式碼的漏洞 |
| LDAP Injection | LDAP 注入 | 透過惡意 LDAP 查詢存取或修改目錄資料 |
| LFI | 本地檔案包含 | 透過操縱參數讀取伺服器本地檔案的漏洞 |
| LPE | 本地權限提升 | 從低權限提升至高權限的漏洞 |
| Mass Assignment | 批量賦值漏洞 | 允許攻擊者修改不應被修改的物件屬性 |
| Memory Corruption | 記憶體損壞 | 程式不當操作記憶體導致的安全問題 |
| NoSQL Injection | NoSQL 注入 | 針對 NoSQL 資料庫的注入攻擊 |
| Null Pointer Dereference | 空指標解參考 | 程式嘗試存取空指標所指向的記憶體位置 |
| Open Redirect | 開放重導向 | 將使用者重導向至任意外部網站的漏洞 |
| Out-of-Bounds Read | 越界讀取 | 程式讀取超出緩衝區邊界的記憶體資料 |
| Out-of-Bounds Write | 越界寫入 | 程式寫入資料到緩衝區邊界之外 |
| Path Traversal | 路徑遍歷 | 透過操縱路徑存取未授權檔案的漏洞 |
| PoC | 概念驗證 | 證明漏洞可被利用的示範程式碼 |
| Prototype Pollution | 原型污染 | 污染 JavaScript 物件原型導致的安全漏洞 |
| Race Condition | 競爭條件 | 多執行緒競爭存取共享資源導致的漏洞 |
| RCE | 遠端程式碼執行 | 攻擊者可遠端在目標系統執行任意程式碼的漏洞 |
| RFI | 遠端檔案包含 | 透過操縱參數載入外部惡意檔案的漏洞 |
| Security Misconfiguration | 安全設定錯誤 | 因不當設定導致的安全弱點 |
| SQL Injection | SQL 注入 | 透過惡意 SQL 語句操縱資料庫的攻擊 |
| SSRF | 伺服器端請求偽造 | 利用伺服器發送請求存取內部資源的攻擊 |
| SSTI | 伺服器端模板注入 | 在伺服器端模板引擎中注入惡意程式碼 |
| Stealth Techniques | 隱匿技術 | 惡意程式用於規避偵測的技術 |
| Subdomain Takeover | 子網域接管 | 接管指向已失效服務的子網域 |
| Type Confusion | 型別混淆 | 程式將資料當作錯誤的型別處理 |
| Use-After-Free | 釋放後使用 | 程式使用已釋放記憶體區域的漏洞 |
| Vulnerability | 漏洞 | 系統或軟體中可被利用的安全弱點 |
| Vulnerability Assessment | 弱點評估 | 系統性識別和評估安全弱點的過程 |
| XPath Injection | XPath 注入 | 透過惡意 XPath 查詢存取 XML 資料的漏洞 |
| XSS | 跨站腳本 | 在網頁中注入惡意腳本的攻擊 |
| XXE | XML 外部實體注入 | 利用 XML 解析器處理外部實體的漏洞 |