计算机软件中安全漏洞概述及防范方法摘要：随着科技进步与信息化的迅猛发展，软件安全问题越来越受到研究者们的重视，尤其是在计算机软件中，这些安全漏洞会带类很大的安全问题，有时是那些被证实可以攻击的软件弱点，这些漏洞需要我们有着较为清晰的认识，只有在了解的基础上才能有有效的防范方法。关键词：计算机软件；安全漏洞；防范方法中图分类号：F123.1文献标识码：A软件安全弱点就是可能会带來安全问题的计算机软件中的代码。软件安全弱点和软件安全漏洞不同，只有被证实可以引起攻击的弱点才是漏洞。弱点不一定都是漏洞，但漏洞一定是弱点。软件安全弱点信息披露的三个比较著名的地方是：Bugtraq.CERT与RISKSDigesto每个计算机系统中都存在着安全脆弱点，而且现在软件安全性问题比过去更大，更加严重。其中的原因有三:第一个原因就是计算机网络的无所不在，这给攻击者寻求弱点提供了途径和方便性；第二个原因是现代信息系统及其相应程序的庞大和复朵，而且广泛使用的低级语言更加剧了弱点的存在；第三个原因就是软件的可扩展性。软件安全弱点随着上述因素的存在而在H益增加，这使得软件安全性问题比以往任何时候都更紧迫。了解软件中存在哪些可能的漏洞就显得很重要了。,软件安全漏洞分类---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---软件安全漏洞可以从不同的如度和层次进行分类，分类的目的是有助于更好的把握漏洞的共性，使漏洞的检测效率更高、针对性更强。操作系统和绝大多数的协议通信软件都是使用C或C++开发的，该语言拥有简洁、使用方便、灵活、运算能力好、硕件访问能力强、可移植性好和程序执行效率高等诸多的优点，所以使用也是最为广泛的。本论文对漏洞的分类也主要从C或C++语台一的特点出发。软件安全漏洞从语言的角度说就是那些已经成功通过了编译器的编译，但编译器发现不了的，潜藏在程序源代码中的能引起安全故障的编程错误或遗漏。这些软件安全漏洞主耍分为如下的几类：(-)缓冲区溢出引起缓冲区溢出漏洞的原因也很简单。从大的方面说就是使用了不安全的编程语言，比如C语言或C+十语言等，再加上程序员拙劣的编程技巧。从小的方面说就是语言自身没冇边界检查，使得数组或指针的访问常常越界。溢出漏洞导致的程序行为有：目标程序的执行很占怪；目标程序的执行完全崩溃；目标程序可以继续，而口没有任何明显的不同。其中第三种情况是最棘手的，也是最坏的情况，它掩盖了可能发生的攻击，使得软件的测试人员也不能发现问题。(弐)竞争条件竞争条件，是一种常见的软件BUG。特别是在多进程多任务的现在操作系统面前情况更是严重。这个问题比起缓冲区溢出漏洞來说更难解决，一---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---个程序可能几年来都一直运行正常，但是突然间就因为竞争条件BUG而出现异常，而这种异常表现乂是不能确定的。即使发现了竞争条件问题的存在，想修正它也是十分困难，因为它们极少岀现。随着并行计算和分布式系统的开发和扩展，竞争条件问题近年來愈演愈烈。其中基于文件的竞争条件问题在安全方面一直是最臭名昭著的。大多数基于文件的竞争条件问题都有一个共同的规律:在使用文件Z前都会对文件的屈性进行检查。但是这个检查存在缺陷。这个缺陷在安全界被称为检查时刻使用时刻，缩写就是TOCTOUo当然了，涉及安全性的竞争条件TOCTOU问题不仅仅在访问文件的时候发生，在其他的各式各样的复朵系统中也常常出现。比如电子商务中的多数据库同步就是一个典型的竞争条件问题。（三）格式化字符串格式化字符串，漏洞是另一类微妙的程序代码缺陷。这个漏洞在几年前就已经被发布了，但是现在的很多软件产甜仍然含冇这个漏洞。格式化字符串是程序函数中特殊的一类字符串参数。除了可以利用格式化字符串漏洞显示重要信息外，最危险的就是它可以向内存中写入指定的数据。格式化字符串漏洞只要存在，就可以被用来在进程的内存空间中任意读写，其危害还是非常大的。所以这类漏洞是软件安全漏洞检测的一个重要方面。（四）随机数从事过安全研究的人都知道随机数在安全性应用中是很重要的...