2.1.3 漏洞

漏洞是指一個系統存在的弱點或缺陷，系統對特定威脅攻擊或危險事件的敏感性，或進行攻擊的威脅作用的可能性。漏洞可能來自應用軟件或操作系統設計時的缺陷或編碼時產生的錯誤，也可能來自業務交互處理過程中的設計缺陷或邏輯流程上的不合理之處。這些缺陷、錯誤或不合理之處可能被有意或無意地利用，從而對一個組織的資產或運行造成不利影響，如信息系統被攻擊或控制、重要資料被竊取、用戶數據被篡改、系統被作為入侵其他主機系統的跳板。從目前發現的漏洞來看，應用軟件中的漏洞遠遠多于操作系統中的漏洞，特別是Web應用系統中的漏洞更是占信息系統漏洞中的絕大多數。