浅谈漏洞来源(CVE,NVD,CNVD,CNNVD)
网络安全人士可能会问这样一个问题,安全漏洞是哪里来的,什么渠道,可靠吗。那么多的安全产品,他们的漏洞库都是自己整理的吗?(怎么可能撒),虽然各安全厂商都搞自己的威胁情报中心,但是威胁情报除了自研的,很多还是靠类似公益的机构来支持,比如业界大家都知道的几个平台,我们就简单和大家掰扯掰扯吧。
头部的安全厂商会搞自己的漏洞收集平台,也有项目形式的,比如国外的CVE,NVD和国内的CNVD,CNNVD。重点说说CVE吧。
CVE:英文全称是“Common Vulnerabilities & Exposures” 通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。
官网: http://cve.mitre.org/
为什么会有CVE: 各个安全厂家在阐述自己产品的水平时,都会声称自己的扫描漏洞数最多,你说有1000种,我说有5000。直接比较他们的数据库是很困难的,也不科学,但是用户如何辨别?不同的厂家在入侵手法和漏洞这方面的知识库各有千秋,用户如何最大限度地获得所有安全信息?CVE就是在这样的环境下应运而生的。现在的安全工具,比如漏扫,都支持或者兼容CVE漏洞,就是CVE里有的漏洞,它都能作为漏洞库进行检测。
CVE的特点:
- 为每个漏洞和暴露确定了唯一的名称
- 给每个漏洞和暴露一个标准化的描述
- 不是一个数据库,而是一个字典
- 任何完全迥异的漏洞库都可以用同一个语言表述
- 由于语言统一,可以使得安全事件报告更好地被理解,实现更好的协同工作
- 可以成为评价相应工具和数据库的基准
- 非常容易从互联网查询和下载,
- 通过“CVE编辑部”体现业界的认可
(CVE 的编辑部成员包括了各种各样的有关信息安全的组织,包括:安全厂商,学术界,研究机构,政府机构还有一些卓越的安全专家。通过开放和合作式的讨论,编辑部决定哪些漏洞和暴露要包含进CVE,并且确定每个条目的公共名称和描述。)
CVE的命名:
命名过程从发现一个潜在的安全漏洞开始;首先赋予一个CVE候选号码;接着,编辑部会讨论该候选条目能否成为一个CVE条目;如果候选条目被投票通过,该条目会加进CVE,并且公布在CVE网站上。
我们结合某一产品举个例子吧。
这个是某安全工具里的漏洞检测功能,此处它提示检车到某IP地址的漏洞,就是符合CVE-2009-1172的描述。那么用户如果想知道详细的改漏洞的描述或者信息,可以在CVE的官网查阅,比如下图
在CVE的官方网站可以查阅到收录的各种漏洞,目前已经快15万条了。
关于漏洞的详细描述,网站上有相关信息,包括该漏洞在其他平台组织的编号信息等。也就是同一个漏洞,在不同的组织中被命名或编号是不同的,但是他们说的是同一个漏洞。
除了CVE,著名的再就是NVD(美国国家通用漏洞数据库)和CNVD,NNVD了。
CNVD: 国家信息安全漏洞共享平台(China National Vulnerability Database)https://www.cnvd.org.cn/
由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。
CNNVD : 国家信息安全漏洞库 http://www.cnnvd.org.cn/web/index.html
CNNVD是中国国家信息安全漏洞库,英文名称“China National Vulnerability Database of Information Security”,简称“CNNVD”,隶属于中国信息安全测评中心(一般简称国测,国测的主管单位是Security部),是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家级信息安全漏洞库,为我国信息安全保障提供基础服务。
详细内容,可以点进去看看,但是今天这个网站,点了就报错,估计也经常被攻击吧。
其他就不多说了,多是一些安全厂商自建的平台,可以理解为第三方众测平台吧。感觉第三方这种的含金量要差一些,没有CVE等那么高质量吧。毕竟CVE的申请过程也比较麻烦。
原文:https://blog.csdn.net/weixin_41686586/article/details/113996298
浅谈漏洞来源(CVE,NVD,CNVD,CNNVD)相关推荐
- 从春节12响浅谈漏洞利用
春节12响是2019大年初一上映的电影<流浪地球>中的一个桥段,天才少年李11通过黑客技术,获得行星发动机控制权,从而拯救地球的故事. 本文简介了unix操作系统内核定时器事件.epoll ...
- 浅谈漏洞修复的方法论
序言 大人,时代变了 面临的场景不同 技术的不同 应该怎么做 战略 组织 技术 策略 未来的发展 是否是创业的方向 序言 近日在看到安全牛发布的<漏洞管理的八大趋势>,其中提到了" ...
- web渗透测试思路浅谈-----漏洞发现及利用
0x02 漏洞发现及利用 1.SQL注入 SQL注入是一种将SQL代码插入或添加到应用(用户)的输入参数中,再将这些参数 传递给后台的SQL数据库加以解析并执行的漏洞,具体过程如下: 注入类型有get ...
- 浅谈漏洞思路分享-只有登录框的渗透测试
目录 0x00 弱口令 0x01 sql注入 0x02 暴力破解 0x03 验证码绕过 0x04 修改响应码 0x05 目录扫描 0x06 找回密码功能 0x07 注册功能 0x08 历史漏洞 0x0 ...
- 浅谈XXE漏洞攻击与防御——本质上就是注入,盗取数据用
浅谈XXE漏洞攻击与防御 from:https://thief.one/2017/06/20/1/ XML基础 在介绍xxe漏洞前,先学习温顾一下XML的基础知识.XML被设计为传输和存储数据,其焦点 ...
- rails 调用php函数_潜藏在PHP安全的边缘——浅谈PHP反序列化漏洞
潜藏在PHP安全的边缘--浅谈PHP反序列化漏洞 注意事项:1.本篇文章由复眼小组的瞳话原创,未经允许禁止转载2.本文一共1376字,8张图,预计阅读时间6分钟3.本文比较基础,请大佬酌情观看,如果有 ...
- php反序列化绕过,浅谈php反序列化漏洞
关于php的反序列化漏洞要先说到序列化和反序列化的两个函数,即: serialize() 和unserialize(). 简单的理解: 序列化就是将一个对象变成字符串 反序列化是将字符串恢复成对象 这 ...
- 浅谈Windows XP系统漏洞的封堵
浅谈Windows XP系统漏洞的封堵 2010年11月18日 9号 浏览:96次 发表评论 阅读评论 微软WindowsXP自出世以来就在中国市场中获得了广泛好评和客户的认同,它出色的兼容性和 ...
- 计算机网络安全漏洞及防范措施论文,浅谈计算机网络安全漏洞及防范措施论文.doc...
浅谈计算机网络安全漏洞及防范措施 摘要 随着系统信息化建设的飞速发展,网络的建设和应用得到了广泛的普及,随之而来的计算机网络安全也成为了关系公共机关管理和发展的重大问题,如何从技术.管理等方面加强对计 ...
- 浅谈云上攻防 --SSRF 漏洞带来的新威胁
前言 在<浅谈云上攻防--元数据服务带来的安全挑战>一文中,生动形象的为我们讲述了元数据服务所面临的一系列安全问题,而其中的问题之一就是通过SSRF去攻击元数据服务:文中列举了2019年美 ...
最新文章
- css删除线_前端删除文字贯穿线的方法有哪些
- 我的天,你工作5年了,连Java agent都不知道...
- 通俗易懂理解GBDT算法原理-转
- Javascript--Folder对象
- JSK-27321 统计单词数【字符串】
- ectouch手机商城首页调用指定分类下的商品
- 让前端设计相见恨晚的器件,ADI为你详解PGIA!
- windows下mysql忘记密码重置
- 微型计算机原理与接口技术冯博琴答案,冯博琴微型计算机原理与接口技术第3版课后习题答案解析...
- Win10投影到此电脑用不了
- [jzoj 4722] [NOIP2016提高A组模拟8.21] 跳楼机 解题报告 (spfa+同余)
- 表达式求值问题数据结构课程设计
- 计算机毕业设计Java高校学生综合评价系统(源码+系统+mysql数据库+Lw文档)
- 编程比赛项目和时间汇总
- 云医在线服务器不可用,云医在线app
- iOS企业证书的申请教程
- Chromium的GPU进程启动过程分析
- 忽略链路状态的功能详解——网络测试仪实操
- api质量等级_API分级说明
- 局域网工具_如何局域网管理企业海量文件?用这一个工具就够了!