|
|
|
知识路径: > 网络安全漏洞防护技术原理与应用 > 网络安全漏洞分类与管理 > 网络安全漏洞分类分级(CNNVD 漏洞分级方法、通用漏洞计分系统、OWASP TOP 10 Web 应用漏洞等) > 网络安全漏洞分类 >
|
|
相关知识点:4个
|
|
|
|
|
我国网络安全管理部门建立了国家信息安全漏洞库(CNNVD)漏洞分类分级标准、国家信息安全漏洞共享平台(CNVD)漏洞分类分级标准。
|
|
|
|
|
|
CNNVD将信息安全漏洞划分为:配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误和资料不足,如下图所示。
|
|
|
|
|
|
|
|
|
|
CNVD根据漏洞产生原因,将漏洞分为11种类型:输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。此外,CNVD依据行业划分安全漏洞,主要分为行业漏洞和应用漏洞。行业漏洞包括:电信、移动互联网、工控系统;应用漏洞包括Web应用、安全产品、应用程序、操作系统、数据库、网络设备等。在漏洞分级方面,将网络安全漏洞划分为高、中、低三种危害级别。
|
|
|
|
|
|
|
|
| |
|
|
|
