安全测试基础之CVE、CWE、CVSS
在很多安全测试相关的工具中,很多结果都会引用一个cve或者cwe的编号,这个编号是什么?让我们一起研究探索一下吧。
01、cve介绍
cve概念
cve 的英文全称是“common vulnerabilities & exposures”通用漏洞披露。cve就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。
cve产品背景
实时入侵检测和漏洞扫描评估的技术和产品很多,有时候每个产品对同一个漏洞的表述不一样,这个沟通起来就很费劲。
使用一个共同的名字----cve,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。
cve id解析
cve+年份+4位随机数字(也有5位数字的情况)
02、cwe介绍
cwe概念
cwe(commonweakness enumeration)是社区开发的常见软件和硬件安全漏洞列表。它是一种通用语言,是安全工具的量尺,并且是弱点识别,缓解和预防工作的基准。
cwe与cve比较
cwe涉及软件安全缺陷的方方面面。基本上可以认为cwe是所有漏洞的原理基础性总结分析,cve中相当数量的漏洞的成因在cwe中都可以找到相应的条目。如在代码层、应用层等多个方面的缺陷,从cwe角度看,正是由于cwe的一个或多个缺陷,从而形成了cve的漏洞。
03、cvss介绍
cvss概念
cvss : common vulnerability scoring system,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。
cvss的目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。cvss得分基于一系列维度上的测量结果,这些测量维度被称为量度(metrics)。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞。
所以通常来说,在安全测试中,cwe也好,cve也好,7~10分的漏洞都是必须要修复的。
不过有一个地方,我目前也还没搞懂,在nvd(国家漏洞库)中,每个cve都有一个cvss评分,但是cwe的cvss评分是怎么来的我还没搞清楚。例如,appscan中,每个问题都对应有一个cwe id和cvss评分,不知道appscan是如何给cwe评分的。
京东方b 的k线分析
苹果13的爆料消息都是真的吗
基于蜂鸣器的开关三极管使用误区详解
讯维集中电源控制器:案例研究与实践经验分享
现在采购原厂二手仪器,畅享折上折
安全测试基础之CVE、CWE、CVSS
AI芯片或将主导未来,2020年全球半导体行业销售额预计达4330亿美元
戴森决定放弃造电动车,直接原因电动车不能挣钱
5G 消息将全面商用 逾 60 款能支持 5G 消息的手机终端
丘钛科技摄像头模组10月销量共2702.2万件,行业渗透率持续上升
安森美半导体最新的智能感知发展策略,以及全方位智能感知技术和方案
传华为4G芯片限制全面解锁
中国汽车芯片生产商有哪些
土壤微量元素测定仪的使用方法
程序运行后为什么没有结果
车载网络的性能和合规性_发展趋势及挑战
戴尔计划IPO 新的收购计划还在考虑中
什么是JSON JSON的语法规则
蓝思科技获小米全球核心供应商“最佳合作伙伴”奖
行业应用|立仪光谱共焦位移传感器对石墨厚度的测量
01、cve介绍
cve概念
cve 的英文全称是“common vulnerabilities & exposures”通用漏洞披露。cve就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。
cve产品背景
实时入侵检测和漏洞扫描评估的技术和产品很多,有时候每个产品对同一个漏洞的表述不一样,这个沟通起来就很费劲。
使用一个共同的名字----cve,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。
cve id解析
cve+年份+4位随机数字(也有5位数字的情况)
02、cwe介绍
cwe概念
cwe(commonweakness enumeration)是社区开发的常见软件和硬件安全漏洞列表。它是一种通用语言,是安全工具的量尺,并且是弱点识别,缓解和预防工作的基准。
cwe与cve比较
cwe涉及软件安全缺陷的方方面面。基本上可以认为cwe是所有漏洞的原理基础性总结分析,cve中相当数量的漏洞的成因在cwe中都可以找到相应的条目。如在代码层、应用层等多个方面的缺陷,从cwe角度看,正是由于cwe的一个或多个缺陷,从而形成了cve的漏洞。
03、cvss介绍
cvss概念
cvss : common vulnerability scoring system,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。
cvss的目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。cvss得分基于一系列维度上的测量结果,这些测量维度被称为量度(metrics)。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞。
所以通常来说,在安全测试中,cwe也好,cve也好,7~10分的漏洞都是必须要修复的。
不过有一个地方,我目前也还没搞懂,在nvd(国家漏洞库)中,每个cve都有一个cvss评分,但是cwe的cvss评分是怎么来的我还没搞清楚。例如,appscan中,每个问题都对应有一个cwe id和cvss评分,不知道appscan是如何给cwe评分的。
京东方b 的k线分析
苹果13的爆料消息都是真的吗
基于蜂鸣器的开关三极管使用误区详解
讯维集中电源控制器:案例研究与实践经验分享
现在采购原厂二手仪器,畅享折上折
安全测试基础之CVE、CWE、CVSS
AI芯片或将主导未来,2020年全球半导体行业销售额预计达4330亿美元
戴森决定放弃造电动车,直接原因电动车不能挣钱
5G 消息将全面商用 逾 60 款能支持 5G 消息的手机终端
丘钛科技摄像头模组10月销量共2702.2万件,行业渗透率持续上升
安森美半导体最新的智能感知发展策略,以及全方位智能感知技术和方案
传华为4G芯片限制全面解锁
中国汽车芯片生产商有哪些
土壤微量元素测定仪的使用方法
程序运行后为什么没有结果
车载网络的性能和合规性_发展趋势及挑战
戴尔计划IPO 新的收购计划还在考虑中
什么是JSON JSON的语法规则
蓝思科技获小米全球核心供应商“最佳合作伙伴”奖
行业应用|立仪光谱共焦位移传感器对石墨厚度的测量