白帽子的自我修养之Web安全入门级笔记02——安全漏洞分类
系列文章目录
白帽子的自我修养之Web安全入门级笔记——什么是Web安全
文章目录
- 系列文章目录
- 前言
- 一、国家标准-网络安全漏洞分类
- 二、CWE分类
- 三.企事业单位分类
- 1.CNNVD
- 2.漏洞盒子
- 3. 腾讯SRC
- 四.安全爱好者
- 五.总结
前言
我们这个入门级主要面向没有Web安全基础,甚至是非计算机专业的小伙伴儿,所以有些词汇的解释并不是很专业,也很白话,主要是为了与更多的小伙伴儿(小白)一起学习(入坑)~~对于那些基础扎实,甚至是安全大咖或安全从业人员来说,对于专业术语的定义,Ta们都是以国家标准/国际标准/行业标准为依据。这里推荐一个非常好的网站:国家标准全文公开系统,搜索网络安全、信息安全、漏洞等关键词,就可以很方便的找到相关规范,真的非常Nice,唯一有些美中不足的就是~~不让下载唉,但是很多资料都可以在CSDN里找到,嗯,还是CSDN~~
废话说的有些多了,我们继续说漏洞分类,对于漏洞分类我们上次谈到“牵涉甚广”。为毛这么说?因为这个分类实在是~~各领风骚啊,国际有一套,国内也有一套,企事业单位也有一套(注意各个企业),安全爱好者也有整理~各个国家不出意外的话,应该也各有各的分类。看到这里是不是要捧着脑袋瓜了,傻傻分不清?NO,因为很神奇的是,你看了其他的分类,并不觉得人家不对,这主要是由于漏洞分类的依据或者细化程度不同而导致的。不过,有一点比较确定的是,漏洞类型的英文名称是唯一的,这样反过来看,漏洞的归类似乎按照国际标准更恰当一些。但是由于汉字的博大精深~本土化之后就笑了~就像我们说了半天的“漏洞(vulnerability)”,标准的翻译应该叫“脆弱性”啊~~
一、国家标准-网络安全漏洞分类
国标-网络安全漏洞分类分级指南
二、CWE分类
CWE全称CommonWeakness Enumeration,是一种通用的标准化术语,是软件安全工具的衡量标准,也是识别、修复和预防缺陷的基准。CWE视图设计了研究者视图(Research Concepts)、开发者视图(Development Concepts)和架构视图(Architectural Concepts)三种类型视图,每种CWE视图都是一个多层次的树状体系,如下图所示:
研究者视图:
开发者视图
架构视图:
全部(有1000多个呢):
CWE中文资料参考
CWE英文资料参考
三.企事业单位分类
1.CNNVD
国家信息安全漏洞库,英文名称"China National Vulnerability Database of Information Security “,简称"CNNVD,于2009年10月18日正式成立,是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,面向国家、行业和公众提供灵活多样的信息安全数据服务,为我国信息安全保障提供基础服务。”
CNNVD漏洞分类参考资料
2.漏洞盒子
漏洞盒子(隶属于上海斗象信息科技有限公司)是一个专业的企业级互联网安全测试平台,也是国内最知名的互联网安全网站FreeBuf黑客与极客(FreeBuf.COM)的兄弟产品。
以部分Web漏洞为例:
3. 腾讯SRC
四.安全爱好者
安全爱好者也会根据各方面的资料和经验形成自己的知识体系,然后归类整理出属于自己的一套漏洞分类。有些安全大咖的漏洞分类不比那些大厂差,甚至更详细更系统化,很值得大家借鉴。
五.总结
总的来说,漏洞分类在当前已经很成熟了,主要是看具体的适用情况。例如编写标准规范的时候,可以参考国标或者行标,如果对标国际的话可以参考CWE或其他国际标准,如果提交漏洞的话,就根据漏洞平台自身的规定啦~
以下是本人的公众号(强圉云),每天都会发布一些有价值的资讯、音乐、技术等等,欢迎扫码关注:
白帽子的自我修养之Web安全入门级笔记02——安全漏洞分类相关推荐
- 白帽子的自我修养之Web安全入门级笔记——什么是Web安全
文章目录 前言 一.Web是什么 二.Web安全是什么 三.安全三要素 1.机密性 2.完整性 3.可用性 总结 前言 Web安全是什么?不妨先说一说Web是什么吧?我觉得这个对于整个CSDN的小伙伴 ...
- 白帽子守护网络安全,高薪酬成大学生就业首选!
漏洞一直是威胁网站安全的最重要因素.2015年,12306.携程.网易.社保系统等用户信息泄露漏洞.今年4月Struts2漏洞爆发,大量网站中招--频发的系统漏洞隐患让网络安全问题愈发受到关注和重视. ...
- 乌云峰会:一场白帽子的盛会
白色是最纯粹的颜色,没有一丝杂色,哪怕是掉在上面一粒灰点也能立马呈现,所以白色的世界里不允许有半点污点. 昨天,乌云大会分论坛的最后一个环节讨论了近期发生的一件大事--世纪佳缘事件. 来自中科院软件研 ...
- 网易SRC指责白帽子私自披露已修复漏洞,强势表态违刑必究
本文讲的是网易SRC指责白帽子私自披露已修复漏洞,强势表态违刑必究,网络安全法实施第一天,网易安全应急响应中心(NSRC)和一位白帽子争执了起来. 在今天下班时分,网易SRC发布了一则言辞极为激烈的声 ...
- 如何评价国内SRC纷纷上线“白帽子协议”?
2017年6月1日21:21分 某监狱里,对话如下: 犯人A:你们都是怎么来的? 犯人B:我是XX漏洞平台挖漏洞不小心进来的. 犯人C:我是XX平台路人甲,输错命令了rm -rf / (批量删除) 犯 ...
- 乌云和漏洞盒子停业整顿:白帽子被抓是导火索?
"袁炜事件"可能成为中国"白帽子"黑客江湖的转折点. 7月20日凌晨,中国最大漏洞报告平台乌云网(WooYun)突然无法访问.网站公告称,乌云及相关服务将升级, ...
- 白帽子讲Web安全(纪念版)
作者:吴翰清 出版社: 电子工业出版社 品牌:博文视点 出版时间:2021-05-01 白帽子讲Web安全(纪念版)
- 读《白帽子讲Web安全》之安全意识篇(一)
2019独角兽企业重金招聘Python工程师标准>>> 写在开始: 这是一本以建设者的角度去解决安全问题的书. 一直以来安全行业都不缺少所谓的技术和毫无思想的说明书式文字,缺少的是对 ...
- 白帽子讲web安全——认证与会话管理
在看白帽子讲web安全,刚好看到认证与会话管理:也就是我们在平常渗透测试中遇到最多的登录页面,也即是用户名和密码认证方式,这是最常见的认证方式. 了解两个概念:认证和授权 1):认证的目的是为了认出用 ...
最新文章
- angular蚂蚁_Angular 中后台前端解决方案 - Ng Alain 介绍
- wireshare capture filter捕捉过滤的设置
- html中 alt 和 title 的区别
- python语法怎么读-python语法技巧
- matlab 的均值t检验,用MATLAB做T检验(ttest)
- mysql修改表的字段_mysql修改表字段学习笔记
- 作业 输出演练 1751
- CentOS部署Harbor镜像仓库,java分布式技术栈
- 玩冒险岛java卸载_如何删除冒险岛安装了,现在不想玩
- 微信小程序常见的UI框架/组件库总结
- 计算机怎样更新卡驱动,电脑显卡驱动怎么更新(NVIDIA显卡手动更新教程)
- ENSPAC的web配置直接转发
- 小游戏《别踩白块》-第十一个程序20200625
- 含身故赔付的重疾险对程序员群体有什么好处呢?
- 感慨颇多:清华差生10年奋斗经历
- 用MySQL数据库来处理中英文取首字母排序
- 笔记:Linux系统调用在文件中的分布情况
- 房屋装修(卫生间/浴室)
- 气人!终于知道为什么华为手机删了照片,存储空间还是不足了!
- 电子商务顾客评论的热点话题分析(转)