کمیته ملی سیستم­های امنیتی ایالات متحده آمریکا[1]، در دستورالعمل CNSSشماره 4009، در تاریخ 26 آوریل 2010، واژه نامه تضمین اطلاعات ملی: آسیب پذیری ضعف در یک IS، روش­های امنیتی سیستم، کنترل­های داخلی یا پیاده سازی است، که می ­تواند منجر به بهره کشی شود (4).

ENISA: وجود یک ضعف طراحی یا خطای پیاده سازی که بتواند منجر به رویداد غیر منتظره نامطلوبی شود، که این رویداد امنیت سیستم کامپیوتر، شبکه، برنامه یا پروتکل را به خطر اندازد (5).

گروه باز[2]: حالتی که قدرت مهاجم بیش از قدرت مقاومت در برابر آن باشد (6).

تحلیل عاملی از خطر اطلاعات[3](FAIR): احتمال اینکه یک دارایی قادر به مقاومت در برابر عوامل خطر نباشد (7).

امنیت داده و کامپیوتر، فرهنگ لغات مفاهیم و لغات استاندارد، نویسندگان دنیس لانگلی[4] و مایکل شین[5]، استاکتون پرس[6]، ISBN 0-935859-17-9:

1. در امنیت کامپیوتر، ضعف کارکرد امنیتی سیستم­های خودکار شده، کنترل­های ناظران، کنترل­های اینترنت و غیره، که بتوانند بوسیله یک مهاجم با دسترسی غیر مجاز به اطلاعات، پردازش اطلاعات را مختل کنند.

2. 

3.  

4. در امنیت کامپیوتر، یک ضعف در لایه فیزیکی، سازمان، کارکرد، کارکنان، مدیریت، سرپرستی، سخت افزار یا نرم افزار که امکان بهره کشی از آن­ها با هدف آسیب رساندن به سیستم یا فعالیت­ وجود داشته باشد.
5. در امنیت کامپیوتر، هر ضعف یا نقص موجود در یک سیستم، حمله، رویداد مضر یا فرصت دسترسی برای یک عامل تهدید کننده، که امکان تهدید را برای عامل فراهم کند، را آسیب پذیری گویند.

2-1-1- کلاس بندی آسیب پذیری ها

آسیب پذیری­ها، براساس نوع دارایی به دسته­های زیر تقسیم می­شوند (2):

• سخت افزار، برای مثال: حساسیت به رطوبت، حساسیت به گرد و غبار، استعداد ابتلا به ذخیره سازی محافظت نشده.
• نرم افزار، برای مثال: تست ناکافی، فقدان پیگیری.
• شبکه، برای مثال: خطوط ارتباطی محافظت نشده، معماری شبکه ناامن.
• کارکنان، برای مثال: روند جذب ناکافی، آگاهی­های امنیتی ناکافی.
• مکان، برای مثال: منطقه مستعد سیل،منبع برق غیر قابل اعتماد.
• سازمانی، برای مثال: عدم پیگیری منظم، عدم تداوم برنامه­ها.

3-1-1- علت­های ایجاد آسیب پذیری­ها

برخی از منابع و علت­های ایجاد آسیب پذیری­ها عبارتند از:

این مطلب را هم بخوانید :

• پیچیدگی سیستم: احتمال وجود نقص و نقاط دسترسی ناخواسته در سیستم­های بزرگ پیچیده، بیشتر است (8).
• متعارف بودن سیستم: استفاده از کدها، نرم افزارها، سیستم عامل­ها یا سخت افزارهای معمول و معروف، احتمال اینکه یک مهاجم بتواند به دانش و ابزار، جهت بهره کشی از نقص موجود دسترسی پیدا کند، را افزایش می­دهد (9).
• اتصال: اتصالات فیزیکی، امتیازات[1]، پورت­ها، پروتکل­ها و سرویس­های بیشتر و افزایش مدت زمان هر یک از آن­ها، دسترسی پذیری به آسیب پذیری­ها را افزایش می­دهد (7).
• نقص در مدیریت پسوردها: کاربران کامپیوتر از پسوردهای ضعیفی که با تلاش اندکی کشف می­شوند، استفاده می­ کنند یا اینکه آن­ها را در برخی برنامه­ها ذخیره می­ کنند، و این پسوردها بین بسیاری از برنامه­ها و صفحات وب­ مشترک است (8).
• نقص­های طراحی در سیستم عامل­های اصلی: طراحان سیستم عامل­ها، عموماً سیاست­هایی که کمتر کاربر/مدیر سیستم را درگیر کنند را برمی­گزینند. برای مثال سیستم عامل­ها، سیاست­هایی مثل پیش فرض­های اعطای