系列文章目录

白帽子的自我修养之Web安全入门级笔记——什么是Web安全

文章目录

系列文章目录
前言
一、国家标准-网络安全漏洞分类
二、CWE分类
三.企事业单位分类
- 1.CNNVD
- 2.漏洞盒子
- 3. 腾讯SRC
四.安全爱好者
五.总结

前言

我们这个入门级主要面向没有Web安全基础，甚至是非计算机专业的小伙伴儿，所以有些词汇的解释并不是很专业，也很白话，主要是为了与更多的小伙伴儿（小白）一起学习（入坑）～～对于那些基础扎实，甚至是安全大咖或安全从业人员来说，对于专业术语的定义，Ta们都是以国家标准/国际标准/行业标准为依据。这里推荐一个非常好的网站：国家标准全文公开系统，搜索网络安全、信息安全、漏洞等关键词，就可以很方便的找到相关规范，真的非常Nice，唯一有些美中不足的就是～～不让下载唉，但是很多资料都可以在CSDN里找到，嗯，还是CSDN～～

废话说的有些多了，我们继续说漏洞分类，对于漏洞分类我们上次谈到“牵涉甚广”。为毛这么说？因为这个分类实在是～～各领风骚啊，国际有一套，国内也有一套，企事业单位也有一套（注意各个企业），安全爱好者也有整理～各个国家不出意外的话，应该也各有各的分类。看到这里是不是要捧着脑袋瓜了，傻傻分不清？NO，因为很神奇的是，你看了其他的分类，并不觉得人家不对，这主要是由于漏洞分类的依据或者细化程度不同而导致的。不过，有一点比较确定的是，漏洞类型的英文名称是唯一的，这样反过来看，漏洞的归类似乎按照国际标准更恰当一些。但是由于汉字的博大精深～本土化之后就笑了～就像我们说了半天的“漏洞（vulnerability）”，标准的翻译应该叫“脆弱性”啊～～

一、国家标准-网络安全漏洞分类

国标-网络安全漏洞分类分级指南

二、CWE分类

CWE全称CommonWeakness Enumeration，是一种通用的标准化术语，是软件安全工具的衡量标准，也是识别、修复和预防缺陷的基准。CWE视图设计了研究者视图（Research Concepts）、开发者视图（Development Concepts）和架构视图（Architectural Concepts）三种类型视图，每种CWE视图都是一个多层次的树状体系，如下图所示：

研究者视图：

开发者视图

架构视图：

全部（有1000多个呢）：

CWE中文资料参考
CWE英文资料参考

三.企事业单位分类

1.CNNVD

国家信息安全漏洞库，英文名称"China National Vulnerability Database of Information Security “，简称"CNNVD，于2009年10月18日正式成立，是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能，负责建设运维的国家信息安全漏洞库，面向国家、行业和公众提供灵活多样的信息安全数据服务，为我国信息安全保障提供基础服务。”

CNNVD漏洞分类参考资料

2.漏洞盒子

漏洞盒子（隶属于上海斗象信息科技有限公司）是一个专业的企业级互联网安全测试平台，也是国内最知名的互联网安全网站FreeBuf黑客与极客（FreeBuf.COM）的兄弟产品。

以部分Web漏洞为例：

3. 腾讯SRC

四.安全爱好者

安全爱好者也会根据各方面的资料和经验形成自己的知识体系，然后归类整理出属于自己的一套漏洞分类。有些安全大咖的漏洞分类不比那些大厂差，甚至更详细更系统化，很值得大家借鉴。

五.总结

总的来说，漏洞分类在当前已经很成熟了，主要是看具体的适用情况。例如编写标准规范的时候，可以参考国标或者行标，如果对标国际的话可以参考CWE或其他国际标准，如果提交漏洞的话，就根据漏洞平台自身的规定啦～

以下是本人的公众号（强圉云），每天都会发布一些有价值的资讯、音乐、技术等等，欢迎扫码关注：

白帽子的自我修养之Web安全入门级笔记02——安全漏洞分类相关推荐

白帽子的自我修养之Web安全入门级笔记——什么是Web安全
文章目录前言一.Web是什么二.Web安全是什么三.安全三要素 1.机密性 2.完整性 3.可用性总结前言 Web安全是什么?不妨先说一说Web是什么吧?我觉得这个对于整个CSDN的小伙伴 ...
白帽子守护网络安全，高薪酬成大学生就业首选！
漏洞一直是威胁网站安全的最重要因素.2015年,12306.携程.网易.社保系统等用户信息泄露漏洞.今年4月Struts2漏洞爆发,大量网站中招--频发的系统漏洞隐患让网络安全问题愈发受到关注和重视. ...
乌云峰会：一场白帽子的盛会
白色是最纯粹的颜色,没有一丝杂色,哪怕是掉在上面一粒灰点也能立马呈现,所以白色的世界里不允许有半点污点. 昨天,乌云大会分论坛的最后一个环节讨论了近期发生的一件大事--世纪佳缘事件. 来自中科院软件研 ...
网易SRC指责白帽子私自披露已修复漏洞，强势表态违刑必究
本文讲的是网易SRC指责白帽子私自披露已修复漏洞,强势表态违刑必究,网络安全法实施第一天,网易安全应急响应中心(NSRC)和一位白帽子争执了起来. 在今天下班时分,网易SRC发布了一则言辞极为激烈的声 ...
如何评价国内SRC纷纷上线“白帽子协议”？
2017年6月1日21:21分某监狱里,对话如下: 犯人A:你们都是怎么来的? 犯人B:我是XX漏洞平台挖漏洞不小心进来的. 犯人C:我是XX平台路人甲,输错命令了rm -rf / (批量删除) 犯 ...
乌云和漏洞盒子停业整顿：白帽子被抓是导火索？
"袁炜事件"可能成为中国"白帽子"黑客江湖的转折点. 7月20日凌晨,中国最大漏洞报告平台乌云网(WooYun)突然无法访问.网站公告称,乌云及相关服务将升级, ...
白帽子讲Web安全（纪念版）
作者:吴翰清出版社: 电子工业出版社品牌:博文视点出版时间:2021-05-01 白帽子讲Web安全(纪念版)
读《白帽子讲Web安全》之安全意识篇（一）
2019独角兽企业重金招聘Python工程师标准>>> 写在开始: 这是一本以建设者的角度去解决安全问题的书. 一直以来安全行业都不缺少所谓的技术和毫无思想的说明书式文字,缺少的是对 ...
白帽子讲web安全——认证与会话管理
在看白帽子讲web安全,刚好看到认证与会话管理:也就是我们在平常渗透测试中遇到最多的登录页面,也即是用户名和密码认证方式,这是最常见的认证方式. 了解两个概念:认证和授权 1):认证的目的是为了认出用 ...

白帽子的自我修养之Web安全入门级笔记02——安全漏洞分类