安全測試基礎(chǔ)之CVE、CWE、CVSS

在很多安全測試相關(guān)的工具中，很多結(jié)果都會引用一個CVE或者CWE的編號，這個編號是什么？讓我們一起研究探索一下吧。

01、CVE介紹

CVE概念

CVE 的英文全稱是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一個字典表，為廣泛認(rèn)同的信息安全漏洞或者已經(jīng)暴露出來的弱點(diǎn)給出一個公共的名稱。

CVE產(chǎn)品背景

實(shí)時入侵檢測和漏洞掃描評估的技術(shù)和產(chǎn)品很多，有時候每個產(chǎn)品對同一個漏洞的表述不一樣，這個溝通起來就很費(fèi)勁。

使用一個共同的名字----CVE，可以幫助用戶在各自獨(dú)立的各種漏洞數(shù)據(jù)庫中和漏洞評估工具中共享數(shù)據(jù)，雖然這些工具很難整合在一起。

CVE ID解析

CVE+年份+4位隨機(jī)數(shù)字（也有5位數(shù)字的情況）

02、CWE介紹

CWE概念

CWE（CommonWeakness Enumeration）是社區(qū)開發(fā)的常見軟件和硬件安全漏洞列表。它是一種通用語言，是安全工具的量尺，并且是弱點(diǎn)識別，緩解和預(yù)防工作的基準(zhǔn)。

CWE與CVE比較

CWE涉及軟件安全缺陷的方方面面。基本上可以認(rèn)為CWE是所有漏洞的原理基礎(chǔ)性總結(jié)分析，CVE中相當(dāng)數(shù)量的漏洞的成因在CWE中都可以找到相應(yīng)的條目。如在代碼層、應(yīng)用層等多個方面的缺陷，從CWE角度看，正是由于CWE的一個或多個缺陷，從而形成了CVE的漏洞。

03、CVSS介紹

CVSS概念

CVSS ： Common Vulnerability Scoring System，即“通用漏洞評分系統(tǒng)”，是一個“行業(yè)公開標(biāo)準(zhǔn)，其被設(shè)計用來評測漏洞的嚴(yán)重程度，并幫助確定所需反應(yīng)的緊急度和重要度”。

CVSS的目的是幫助人們建立衡量漏洞嚴(yán)重程度的標(biāo)準(zhǔn)，使得人們可以比較漏洞的嚴(yán)重程度，從而確定處理它們的優(yōu)先級。CVSS得分基于一系列維度上的測量結(jié)果，這些測量維度被稱為量度（Metrics）。漏洞的最終得分最大為10，最小為0。得分7~10的漏洞通常被認(rèn)為比較嚴(yán)重，得分在4~6.9之間的是中級漏洞，0~3.9的則是低級漏洞。

所以通常來說，在安全測試中，CWE也好，CVE也好，7~10分的漏洞都是必須要修復(fù)的。

不過有一個地方，我目前也還沒搞懂，在NVD（國家漏洞庫）中，每個CVE都有一個CVSS評分，但是CWE的CVSS評分是怎么來的我還沒搞清楚。例如，AppScan中，每個問題都對應(yīng)有一個CWE ID和CVSS評分，不知道AppScan是如何給CWE評分的。