系列文章目录
前言
我们这个入门级主要面向没有Web安全基础,甚至是非计算机专业的小伙伴儿,所以有些词汇的解释并不是很专业,也很白话,主要是为了与更多的小伙伴儿(小白)一起学习(入坑)~~对于那些基础扎实,甚至是安全大咖或安全从业人员来说,对于专业术语的定义,Ta们都是以国家标准/国际标准/行业标准为依据。这里推荐一个非常好的网站:国家标准全文公开系统,搜索网络安全、信息安全、漏洞等关键词,就可以很方便的找到相关规范,真的非常Nice,唯一有些美中不足的就是~~不让下载唉,但是很多资料都可以在CSDN里找到,嗯,还是CSDN~~
废话说的有些多了,我们继续说漏洞分类,对于漏洞分类我们上次谈到“牵涉甚广”。为毛这么说?因为这个分类实在是~~各领风骚啊,国际有一套,国内也有一套,企事业单位也有一套(注意各个企业),安全爱好者也有整理~各个国家不出意外的话,应该也各有各的分类。看到这里是不是要捧着脑袋瓜了,傻傻分不清?NO,因为很神奇的是,你看了其他的分类,并不觉得人家不对,这主要是由于漏洞分类的依据或者细化程度不同而导致的。不过,有一点比较确定的是,漏洞类型的英文名称是唯一的,这样反过来看,漏洞的归类似乎按照国际标准更恰当一些。但是由于汉字的博大精深~本土化之后就笑了~就像我们说了半天的“漏洞(vulnerability)”,标准的翻译应该叫“脆弱性”啊~~
一、国家标准-网络安全漏洞分类
二、CWE分类
CWE全称CommonWeakness Enumeration,是一种通用的标准化术语,是软件安全工具的衡量标准,也是识别、修复和预防缺陷的基准。CWE视图设计了研究者视图(Research Concepts)、开发者视图(Development Concepts)和架构视图(Architectural Concepts)三种类型视图,每种CWE视图都是一个多层次的树状体系,如下图所示:
研究者视图:
开发者视图
架构视图:
全部(有1000多个呢):
CWE中文资料参考
CWE英文资料参考
三.企事业单位分类
1.CNNVD
国家信息安全漏洞库,英文名称"China National Vulnerability Database of Information Security “,简称"CNNVD,于2009年10月18日正式成立,是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,面向国家、行业和公众提供灵活多样的信息安全数据服务,为我国信息安全保障提供基础服务。”
CNNVD漏洞分类参考资料
2.漏洞盒子
漏洞盒子(隶属于上海斗象信息科技有限公司)是一个专业的企业级互联网安全测试平台,也是国内最知名的互联网安全网站FreeBuf黑客与极客(FreeBuf.COM)的兄弟产品。
以部分Web漏洞为例:
3. 腾讯SRC
四.安全爱好者
安全爱好者也会根据各方面的资料和经验形成自己的知识体系,然后归类整理出属于自己的一套漏洞分类。有些安全大咖的漏洞分类不比那些大厂差,甚至更详细更系统化,很值得大家借鉴。
五.总结
总的来说,漏洞分类在当前已经很成熟了,主要是看具体的适用情况。例如编写标准规范的时候,可以参考国标或者行标,如果对标国际的话可以参考CWE或其他国际标准,如果提交漏洞的话,就根据漏洞平台自身的规定啦~
以下是本人的公众号(强圉云),每天都会发布一些有价值的资讯、音乐、技术等等,欢迎扫码关注: