0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

安全测试基础之CVE、CWE、CVSS

如意 来源:百家号 作者: 测试之心 2020-06-27 16:55 次阅读

在很多安全测试相关的工具中,很多结果都会引用一个CVE或者CWE的编号,这个编号是什么?让我们一起研究探索一下吧。

01、CVE介绍

CVE概念

CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。

CVE产品背景

实时入侵检测和漏洞扫描评估的威廉希尔官方网站 和产品很多,有时候每个产品对同一个漏洞的表述不一样,这个沟通起来就很费劲。

使用一个共同的名字----CVE,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。

CVE ID解析

CVE+年份+4位随机数字(也有5位数字的情况)

02、CWE介绍

CWE概念

CWE(CommonWeakness Enumeration)是社区开发的常见软件和硬件安全漏洞列表。它是一种通用语言,是安全工具的量尺,并且是弱点识别,缓解和预防工作的基准。

CWE与CVE比较

CWE涉及软件安全缺陷的方方面面。基本上可以认为CWE是所有漏洞的原理基础性总结分析,CVE中相当数量的漏洞的成因在CWE中都可以找到相应的条目。如在代码层、应用层等多个方面的缺陷,从CWE角度看,正是由于CWE的一个或多个缺陷,从而形成了CVE的漏洞。

03、CVSS介绍

CVSS概念

CVSS : Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。

CVSS的目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞。

所以通常来说,在安全测试中,CWE也好,CVE也好,7~10分的漏洞都是必须要修复的。

不过有一个地方,我目前也还没搞懂,在NVD(国家漏洞库)中,每个CVE都有一个CVSS评分,但是CWE的CVSS评分是怎么来的我还没搞清楚。例如,AppScan中,每个问题都对应有一个CWE ID和CVSS评分,不知道AppScan是如何给CWE评分的。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 安全测试
    +关注

    关注

    0

    文章

    26

    浏览量

    8705
  • cve漏洞库
    +关注

    关注

    0

    文章

    4

    浏览量

    4066
  • CVSS
    +关注

    关注

    0

    文章

    4

    浏览量

    2253
收藏 人收藏

    评论

    相关推荐

    电池的安全测试项目有哪些?

    电池的安全测试是保证电池在实际使用过程中稳定、安全的重要手段。通过一系列严格的测试项目,能够有效评估电池在不同条件下的表现,并提前发现潜在的安全
    的头像 发表于 12-06 09:55 302次阅读
    电池的<b class='flag-5'>安全</b>性<b class='flag-5'>测试</b>项目有哪些?

    电池安全测试关键:圆柱与软包电池测试设备指南

      在进行圆柱电池和软包电池的安全性能测试时,必须使用一系列专业的测试设备,以全面评估电池在不同极限条件下的表现。常见的必备测试仪器包括电池测试
    的头像 发表于 12-06 09:35 244次阅读
    电池<b class='flag-5'>安全</b>性<b class='flag-5'>测试</b>关键:圆柱与软包电池<b class='flag-5'>测试</b>设备指南

    国电西高产品助力电气安全性能测试

    电气安全性能测试主要有耐电压测试,绝缘电阻测试、接地电阻测试、漏电流测试等。这些
    的头像 发表于 08-20 19:30 665次阅读

    满足多场景多标准的通用多功能电气安全测试设备Profitest Prime AC

    ProfitestPrimeAC电气安全测试设备,满足多场景多标准,快速安全测试,可测量高电压电流及多种电气参数,支持多种RCD测试模式,具
    的头像 发表于 08-19 10:50 231次阅读
    满足多场景多标准的通用多功能电气<b class='flag-5'>安全</b><b class='flag-5'>测试</b>设备Profitest Prime AC

    CVE-2024-6387 OpenSSH Server 漏洞谈谈企业安全运营与应急响应

    在当今数字化时代,网络安全已成为企业运营中不可忽视的重要一环。随着威廉希尔官方网站 的不断发展,黑客攻击手段也在不断升级,其中0day漏洞的利用更是让企业防不胜防。0day漏洞是指在厂商尚未发布补丁修复的情况下
    的头像 发表于 07-10 10:29 1511次阅读
    从<b class='flag-5'>CVE</b>-2024-6387 OpenSSH Server 漏洞谈谈企业<b class='flag-5'>安全</b>运营与应急响应

    新能源汽车不安全?新能源汽车测试方案篇——充电桩综合测试

    、节能减排、保护环境等多方面的优点,成为世界汽车产业的发展方向。 安全性问题 在新能源汽车的发展中,安全性问题备受关注。其中,电池作为新能源汽车的核心组件之一,其安全性显得尤为重要。而影响电池
    的头像 发表于 06-11 14:50 406次阅读
    新能源汽车不<b class='flag-5'>安全</b>?新能源汽车<b class='flag-5'>测试</b><b class='flag-5'>之</b>方案篇——充电桩综合<b class='flag-5'>测试</b>

    开关电源安全测试项目有哪些?如何测试

    总结而言,通过对开关电源进行过压保护、过流保护、短路保护、绝缘电阻测试、高压测试以及温升测试等一系列全面的安全性检测,可以充分评估电源的可靠性、安全
    的头像 发表于 05-23 17:41 918次阅读
    开关电源<b class='flag-5'>安全</b>性<b class='flag-5'>测试</b>项目有哪些?如何<b class='flag-5'>测试</b>?

    iOS 17.4.1修复两安全漏洞,涉及多款iPhone和iPad

     据报道,iOS/iPadOS17.4.1主要解决了Google Project Zero团队成员Nick Galloway发现并报告的两大安全漏洞(CVE-2024-1580)。
    的头像 发表于 03-26 10:47 729次阅读

    DC电源模块的安全性能评估与测试方法

    BOSHIDA DC电源模块的安全性能评估与测试方法 DC电源模块的安全性能评估与测试方法应包括以下几个方面:  DC电源模块的安全性能评估
    的头像 发表于 03-08 11:15 690次阅读
    DC电源模块的<b class='flag-5'>安全</b>性能评估与<b class='flag-5'>测试</b>方法

    手表按键阻尼力测试仪:科技助力时间

    手表按键阻尼力测试仪:科技助力时间
    的头像 发表于 02-21 09:28 464次阅读
    手表按键阻尼力<b class='flag-5'>测试</b>仪:科技助力时间<b class='flag-5'>之</b>美

    Cybellum—信息安全测试工具

    Cybellum是一款信息安全测试与管理工具,帮助汽车OEM及其供应商在整个汽车生命周期内大规模评估和降低安全风险。它无需访问源代码,通过Cyber Digital Twins威廉希尔官方网站 检测开源软件
    的头像 发表于 01-26 16:48 636次阅读
    Cybellum—信息<b class='flag-5'>安全</b><b class='flag-5'>测试</b>工具

    开关电源检测电源放电测试方法

    开关电源放电测试是为了检测在电源关闭后开关电源是否能够完全放电,可以通过观察电容器的放电曲线来测量。开关电源放电测试是检测电源性能、稳定性和安全性的重要手段,以防止潜在的电击风险。
    的头像 发表于 01-16 16:51 1437次阅读

    微软2024年首个补丁周二修复49项安全漏洞,其中2项为严重级别

    值得关注的是,编号为 CVE-2024-20674 的 Windows Kerberos 漏洞 CVSS 评分为 9,可谓当之无愧的“年度最危险漏洞”。据悉,此漏洞可使黑客发动中间人攻击,通过假冒 Kerberos 认证服务器欺骗用户,从而获得设备文件的读写权限。
    的头像 发表于 01-12 14:43 928次阅读

    Helix QAC—软件静态测试工具

    Helix QAC是Perforce公司(原PRQA公司)产品,主要用于C/C++代码的自动化静态分析工作,可以提供编码规则以及信息安全相关检查、代码质量度量、软件结构分析、测试结果管理等功能
    的头像 发表于 01-10 17:35 661次阅读
    Helix QAC—软件静态<b class='flag-5'>测试</b>工具

    推拉力测试仪适用于各种不同用途测试及公式

    推拉力测试仪适用于各种不同用途测试! 1. 拉力测试。推拉力测试仪可以测试被测物体的拉力,例如
    的头像 发表于 01-08 17:01 1479次阅读
    推拉力<b class='flag-5'>测试</b>仪适用于各种不同用途<b class='flag-5'>之</b><b class='flag-5'>测试</b>及公式