系统安全名词列表

核心提示： 范围检查范围检查，也叫做参数验证，系统安全名词列表(8)，是一种用于防止对无效参数进行操作的技术，在没有执行参数验证时，非常有用，远程用户可以从任何服务器支持 PPTP 的 ISP 处，可能由用户（可能是远程用户，也可能是匿名用户）使用无效参数激活该功能

范围检查

范围检查，也叫做参数验证，是一种用于防止对无效参数进行操作的技术。在没有执行参数验证时，可能由用户（可能是远程用户，也可能是匿名用户）使用无效参数激活该功能，导致拒绝服务、数据丢失，或更加严重的安全问题。GetAdmin exploit for Windows NT 是一个很好的示例，该示例通过使用 Win32 API 参数验证中的缺陷（特别是欠缺验证），破坏了验证。

范围错误可导致多个溢出，如超出矩阵索引限度或内存地址，或当您输入一个常数时，没有这一类型的数据。但是，有些语言不将溢出视为错误。 在很多 C 的实例中，数学溢出导致结果降低-例如，如果 m 是最大的整型值，而 s 是最小的，则 m + 1 =〉 s。

在复杂系统中执行被请求的操作前，如果没有考虑到用户权限，也可能发生范围错误。这就是说，FTP 服务器在允许用户重命名前不检查写权限，（如 wu-ftpd 中的 FTP RNFR 漏洞），在某中意义上说，就是范围检查错误。 另一个示例是，Win32 中的一个函数在不检查调用者的权限前，允许它们对系统中的内存进行写操作。(GetAdmin 漏洞) 缓冲区溢出也与范围检查相关。

PWL 文件

Windows 95、Windows for Workgroups 以及用于 DOS 计算机的 Microsoft Client 上的密码缓存文件。包含最近或经常访问系统的密码。由于远程攻击者经常可以访问 PWL 文件，而且其密码的加密很弱，因此被视为一种风险。

公共密钥

公共密钥加密系统的两个部分中的公开部分，例如 RSA。只有所有者才知道私用部分的内容。

私用密钥

公共密钥加密系统的两个部分中的私有部分，诸如 RSA。私有密钥是保密的，不通过网络传输。

PPTP

点对点的报文封装协议将其它在 IP 网络上传输信息的协议封装起来。例如，可以用它在 Internet 上发送 NetWare IPX/SPX 包。它的 RSA 加密方式在公用 Internet 中创建虚拟专用网 (VPN)时，非常有用。远程用户可以从任何服务器支持 PPTP 的 ISP 处，访问公司网络。