[网络]公共网络安全漏洞库:CVE/CNCVE

这篇具有很好参考价值的文章主要介绍了[网络]公共网络安全漏洞库:CVE/CNCVE。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1 前言

以网络安全行业中最大的、影响范围最广的CVE为例。
CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。
CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。
使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。
如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。

回到顶部(Back to Top)文章来源地址https://www.toymoban.com/news/detail-725175.html

2 公共网络安全漏洞库

  • CVE: Common Vulnerabilities and Exposures
    常见漏洞和暴露(CVE)/通用漏洞披露 / CVE发布源
    CVE -CVE

  • CNCVE: China National Common Vulnerabilities and Exposures
    中国国家通用漏洞披露

  • NVD National Vulnerability Database
    美国国家信息安全漏洞库
    NVD - Home

  • CNVD/CNNVD: China National Vulnerability Database of Information Security
    中国国家信息安全漏洞库 (运营方:中国信息安全测评中心)
    国家信息安全漏洞库

  • CVEDetails - The ultimate security vulnerability datasource
    CVE security vulnerability database. Security vulnerabilities, exploits, references and more


【补充】其它的漏洞库

  • 绿盟科技安全研究成果(漏洞检索入口) - NSFOCUS绿盟科技

回到顶部(Back to Top)

3 延申: CVSS(通用漏洞评分系统)

cve漏洞库,网络,web安全,安全,网络安全,数据库,服务器

CVSS
:= Common Vulnerability Scoring System
:= 通用漏洞评分系统
:= 一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”
:= 安全内容自动化协议(SCAP)的一部分
:= 由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的网络安全漏洞评分标准

通常地,CVSS同CVE一同由美国国家漏洞库(NVD)发布、并保持数据的更新.

  • 关于评分

利用该标准————CVSS,可以对弱点进行评分,进而帮助我们判断修复不同弱点的优先等级。
它的主要目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。
CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。

  • score in [7,10]: 高危漏洞 / High / Vulnerability High
  • score in [4,6.9]: 中危漏洞 / Middle / Vulnerability Middle
  • score in [0,3.9]: 低危漏洞 / Low / Vulnerability Low

CVSS系统包括三种类型的分数:基本分数暂时分环境分
基本得分临时得分通常由安全产品卖主、供应商给出,因为他们能够更加清楚的了解漏洞的详细信息;

环境得分通常由用户给出,因为他们能够在自己的使用环境下更好的评价该漏洞存在的潜在影响。

cve漏洞库,网络,web安全,安全,网络安全,数据库,服务器

CVE Details漏洞报告

cve漏洞库,网络,web安全,安全,网络安全,数据库,服务器

 

安全报告1(样例图)

cve漏洞库,网络,web安全,安全,网络安全,数据库,服务器

 

安全报告2(样例图)

[CVSS 官方定义]
通用漏洞评分系统(CVSS)提供了一种捕获漏洞的主要特征并产生反映其严重性的数字评分的方法。
然后,可以将数字分数转换为定性表示形式(例如低,中,高和关键),以帮助组织正确评估漏洞管理流程并确定其优先级。

CVSS是全世界组织使用的已发布标准,SIG的使命是继续对其进行改进。

回到顶部(Back to Top)

Y 2020年CCIA中国网络安全竞争力50强

有幸在2020年9/10月,处理过4轮安全漏洞报告,并阅读过这总共3家网络安全公司中的其中2家————【天融信】和【北京盛邦】的服务器安全扫描报告。
个人的感受是:

  • 用户阅读体验:北京盛邦做得更好。

例如,对全部服务器安全漏洞的整体情况,通过专门的统计可视化分析图表的形式,让报告阅读者(服务器维护者)一目了然。
反观天融信的报告,则要简陋很多!

又例如,出现漏洞所在的依赖组件/应用软件/端口,盛邦的报告就直接指明了,天融信的报告则完全读不出来,全靠读者自己去摸排线索。

总之,读天融信的报告,就有点难受。既费时,又费力!

  • 漏洞研究(深度):天融信做得更好。
天融信对应用软件中出现漏洞的最新版本、已修复的漏洞版本(Fix version),能够更及时地报告出来。

【2020年】

cve漏洞库,网络,web安全,安全,网络安全,数据库,服务器

【2016年】

cve漏洞库,网络,web安全,安全,网络安全,数据库,服务器

回到顶部(Back to Top)

X 推荐资源

  • CVE
  • 中国国家信息安全漏洞库
  • CVEDetails - CVE security vulnerability database
  • VULHUB - 信息安全漏洞门户(民营组织)
  • 处理绿盟科技安全评估的系统漏洞 [推荐] - 博客园
  • 记录一次漏洞修复,openssh安全漏洞(CVE-2017-15906)以及openssh用户枚举漏洞(CVE-2018-15919)内网openssh升级过程 [推荐] - 博客园
  • OpenSSH 输入验证错误漏洞(CVE-2020-12062)漏洞修复(本人亲测) [推荐] - CSDN
  • WX3024H 绿盟扫描安全漏洞问题处理案例 - Zhiliao
  • 漏洞风险评估:CVSS介绍及计算 - CSDN
  • 2016年《中国网络安全企业50强》 - 搜狐新闻
  • 2020年CCIA中国网络安全竞争力50强 - 搜狐新闻
  • 盛邦安全荣获国家信息安全漏洞库(CNNVD)“2018年度重大预警报送专项奖” - 搜狐新闻
  • 使用nmap 验证多种漏洞 - CSDN

到了这里,关于[网络]公共网络安全漏洞库:CVE/CNCVE的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 安全生产:CVE-2020-11022/CVE-2020-11023漏洞解析

    代码安全扫描阶段,前端资源审计发现 jQuery 版本过低导致生产系统存在 CVE-2020-11022/CVE-2020-11023 类风险。且影响范围: jQuery = 1.0.3 3.5.0 。 该类风险为应用安全缺陷类DXSS攻击,攻击者可以利用该漏洞注入恶意脚本代码,并在受害者的浏览器上执行。将导致受害者的个人信息泄

    2024年02月05日
    浏览(42)
  • Apache Tomcat 安全漏洞(CVE-2020-13935)复现

    漏洞详情: Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat中的WebSocket存在安全漏洞,该漏洞源于程序没有正确验证payload的长度。攻击者可利用该漏洞造成拒绝服务(无限循环)。 影响版

    2024年02月11日
    浏览(46)
  • 记一次修复漏洞(OpenSSH 安全漏洞(CVE-2023-28531))CentOS升级openssh

    1.查看当前openssl和openssh版本 2.安装并启用telnet服务(防止升级过程无法连接机器) 设置开机自启 启动服务 检查服务是否开启: 开启root用户在telnet登陆:   3.配置防火墙(关闭防火墙可不配置) 法一:直接对外开发23端口(高风险)  #--permanent 为永久开启,不加此参数重启

    2024年02月06日
    浏览(49)
  • Centos7修复OpenSSL 安全漏洞 (CVE-2022-0778)

    centos7环境下OpenSSL拒绝服务漏洞(CVE-2022-0778) 漏洞影响范围: OpenSSL1.0.2 OpenSSL1.1.1 OpenSSL3.0 OpenSSL拒绝服务漏洞(CVE-2022-0778):该漏洞是由于OpenSSL中的BN_mod_sqrt()函数存在解析错误,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书场景都可能受到拒绝服务攻击

    2024年02月12日
    浏览(38)
  • [JAVA安全]CVE-2022-33980命令执行漏洞分析

    在 i春秋的漏洞靶标上看见了此漏洞,所以前来分析一下漏洞原理,比较也是去年 7月的漏洞。 漏洞描述:Apache官方发布安全公告,修复了一个存在于Apache Commons Configuration 组件的远程代码执行漏洞,漏洞编号:CVE-2022-33980,漏洞威胁等级:高危。恶意攻击者通过该漏洞,可在

    2024年02月15日
    浏览(41)
  • 框架安全-CVE 漏洞复现&Django&Flask&Node.js&JQuery框架漏洞复现

    中间件及框架列表: IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic,JBoos,WebSphere,Jenkins ,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring,Flask,jQuery 等 1、开发框架-PHP-Laravel-Thinkphp 2、开发框架-Javaweb-St2-Spring 3、开发框架-Python-django-Flask 4、开发框架-Javascript-Nod

    2024年02月08日
    浏览(52)
  • 中间件安全-CVE复现&Weblogic&Jenkins&GlassFish漏洞复现

    中间件及框架列表: IIS,Apache,Nginx,Tomcat,Docker,Weblogic,JBoos,WebSphere, Jenkins ,GlassFish,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp, Spring,Flask,jQuery等 1、中间件-Weblogic安全 2、中间件-JBoos安全 3、中间件-Jenkins安全 4、中间件-GlassFish安全 常见中间件的安全测试: 1、配置

    2024年02月08日
    浏览(41)
  • 框架安全-CVE 复现&Spring&Struts&Laravel&ThinkPHP漏洞复现

    中间件及框架列表: IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic,JBoos,WebSphere,Jenkins ,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring,Flask,jQuery 等 1、开发框架-PHP-Laravel-Thinkphp 2、开发框架-Javaweb-St2-Spring 3、开发框架-Python-django-Flask 4、开发框架-Javascript-Nod

    2024年02月08日
    浏览(48)
  • 框架安全-CVE 复现&Apache Shiro&Apache Solr漏洞复现

    中间件及框架列表: IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic,JBoos,WebSphere,Jenkins ,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring,Flask,jQuery 等 1、开发框架-PHP-Laravel-Thinkphp 2、开发框架-Javaweb-St2-Spring 3、开发框架-Python-django-Flask 4、开发框架-Javascript-Nod

    2024年02月05日
    浏览(53)
  • 中间件安全-CVE复现&IIS&Apache&Tomcat&Nginx漏洞复现

    中间件及框架列表: IIS,Apache,Nginx,Tomcat,Docker,Weblogic,JBoos,WebSphere, Jenkins ,GlassFish,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp, Spring,Flask,jQuery等 1、中间件-IIS-短文件解析蓝屏等 2、中间件-Nginx-文件解析命令执行等 3、中间件-Apache-RCE目录遍历文件解析等 4、中间件

    2024年02月07日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包