漏洞是一個永遠的童話。實現(xiàn)劫富濟貧的英雄夢想，實現(xiàn)打破技術(shù)壟斷的自由藍圖，發(fā)現(xiàn)漏洞的人，利用漏洞的人，修補漏洞的人，喜歡漏洞的人，害怕漏洞的人就象這個多彩的世界一樣，他們構(gòu)成了計算機網(wǎng)絡安全世界永遠的角色！

現(xiàn)在很多口必稱漏洞，把漏洞的利用當自己的絕招和寶貝，其實漏洞是什么，我們或許存在著很多誤解。下面結(jié)合相關(guān)資料和我個人的理解，我們今天就講講什么是漏洞，這個十分基本的問題。

1、什么是漏洞

專業(yè)上講漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上（主要是人為）存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。但是，其實這是一個綱目，很多書上定義都不同，這里算是比較全面的。怎么理解呢，還是有例子來說吧，這幾十年來，漏洞太多了，不能一一說。

2、漏洞的狹義范圍

漏洞會影響到很大范圍的軟硬件設備，包括作系統(tǒng)本身及其支撐軟件，網(wǎng)絡客戶和服務器軟件，網(wǎng)絡路由器和安全防火墻等。怎么理解呢，就是在這些不同的軟硬件設備中都可能存在不同的安全漏洞問題。

3、漏洞的廣義范圍

這里的漏洞是指所有威脅到計算機信息安全的事物。包括人員、硬件、軟件、程序、數(shù)據(jù)。

4、漏洞的長久性

漏洞問題是與時間緊密相關(guān)的。一個系統(tǒng)從發(fā)布的那一天起，隨著用戶的深入使用，系統(tǒng)中存在的漏洞會被不斷暴露出來，這些早先被發(fā)現(xiàn)的漏洞也會不斷被系統(tǒng)供應商發(fā)布的補丁軟件修補，或在以后發(fā)布的新版系統(tǒng)中得以糾正。而在新版系統(tǒng)糾正了舊版本中具有漏洞的同時，也會引入一些新的漏洞和錯誤。因而隨著時間的推移，舊的漏洞會不斷消失，新的漏洞會不斷出現(xiàn)。漏洞問題也會長期存在。

5、漏洞的隱蔽性

系統(tǒng)安全漏洞是指可以用來對系統(tǒng)安全造成危害，系統(tǒng)本身具有的，或設置上存在的缺陷。總之，漏洞是系統(tǒng)在具體實現(xiàn)中的錯誤。比如在建立安全機制中規(guī)劃考慮上的缺陷，作系統(tǒng)和其他軟件編程中的錯誤，以及在使用該系統(tǒng)提供的安全機制時人為的配置錯誤等。

系統(tǒng)安全漏洞是在系統(tǒng)具體實現(xiàn)和具體使用中產(chǎn)生的錯誤，但并不是系統(tǒng)中存在的錯誤都是安全漏洞。只有能威脅到系統(tǒng)安全的錯誤才是漏洞。許多錯誤在通常情況下并不會對系統(tǒng)安全造成危害，只有被人在某些條件下故意使用時才會影響系統(tǒng)安全。

6、漏洞的必然被發(fā)現(xiàn)性

漏洞雖然可能最初就存在于系統(tǒng)當中，但一個漏洞并不是自己出現(xiàn)的，必須要有人發(fā)現(xiàn)。在實際使用中，用戶會發(fā)現(xiàn)系統(tǒng)中存在錯誤，而入侵者會有意利用其中的某些錯誤并使其成為威脅系統(tǒng)安全的工具，這時人們會認識到這個錯誤是一個系統(tǒng)安全漏洞。系統(tǒng)供應商會盡快發(fā)布針對這個漏洞的補丁程序，糾正這個錯誤。這就是系統(tǒng)安全漏洞從被發(fā)現(xiàn)到被糾正的一般過程。

系統(tǒng)攻擊者往往是安全漏洞的發(fā)現(xiàn)者和使用者，要對于一個系統(tǒng)進行攻擊，如果不能發(fā)現(xiàn)和使用系統(tǒng)中存在的安全漏洞是不可能成功的。對于安全級別較高的系統(tǒng)尤其如此。

系統(tǒng)安全漏洞與系統(tǒng)攻擊活動之間有緊密的關(guān)系。因而不該脫離系統(tǒng)攻擊活動來談論安全漏洞問題。廣泛的攻擊存在，才使漏洞存在必然被發(fā)現(xiàn)性。

7、為什么要緊跟最新的計算機系統(tǒng)及其安全問題的最新發(fā)展動態(tài)

脫離具體的時間和具體的系統(tǒng)環(huán)境來討論漏洞問題是毫無意義的。只能針對目標系統(tǒng)的作系統(tǒng)版本、其上運行的軟件版本以及服務運行設置等實際環(huán)境來具體談論其中可能存在的漏洞及其可行的解決辦法。

同時應該看到，對漏洞問題的研究必須要跟蹤當前最新的計算機系統(tǒng)及其安全問題的最新發(fā)展動態(tài)。這一點如同對計算機病毒發(fā)展問題的研究相似。如果在工作中不能保持對新技術(shù)的跟蹤，就沒有談論系統(tǒng)安全漏洞問題的發(fā)言權(quán)，既使是以前所作的工作也會逐漸失去價值。

你喜歡漏洞，你討厭也好。它永遠存在，做到了"不以物喜，不以己悲"，實現(xiàn)了"愛她就愛她的靈魂----自由，平等，共享，創(chuàng)新"。 同時它也證明了這個世界沒有絕對的安全，如果世界上永遠存在計算機存在軟件，那么它又將證明什么叫永恒。童話里有永恒的虛假的美， 而漏洞是永恒的真實的童話。

一、不同角度看安全漏洞的分類

對一個特定程序的安全漏洞可以從多方面進行分類。