在很多安全測(cè)試相關(guān)的工具中，很多結(jié)果都會(huì)引用一個(gè)CVE或者CWE的編號(hào)，這個(gè)編號(hào)是什么？讓我們一起研究探索一下吧。

01、CVE介紹

CVE概念

CVE 的英文全稱是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一個(gè)字典表，為廣泛認(rèn)同的信息安全漏洞或者已經(jīng)暴露出來(lái)的弱點(diǎn)給出一個(gè)公共的名稱。

CVE產(chǎn)品背景

實(shí)時(shí)入侵檢測(cè)和漏洞掃描評(píng)估的技術(shù)和產(chǎn)品很多，有時(shí)候每個(gè)產(chǎn)品對(duì)同一個(gè)漏洞的表述不一樣，這個(gè)溝通起來(lái)就很費(fèi)勁。

使用一個(gè)共同的名字----CVE，可以幫助用戶在各自獨(dú)立的各種漏洞數(shù)據(jù)庫(kù)中和漏洞評(píng)估工具中共享數(shù)據(jù)，雖然這些工具很難整合在一起。

CVE ID解析

CVE+年份+4位隨機(jī)數(shù)字（也有5位數(shù)字的情況）

02、CWE介紹

CWE概念

CWE（CommonWeakness Enumeration）是社區(qū)開(kāi)發(fā)的常見(jiàn)軟件和硬件安全漏洞列表。它是一種通用語(yǔ)言，是安全工具的量尺，并且是弱點(diǎn)識(shí)別，緩解和預(yù)防工作的基準(zhǔn)。

CWE與CVE比較

CWE涉及軟件安全缺陷的方方面面。基本上可以認(rèn)為CWE是所有漏洞的原理基礎(chǔ)性總結(jié)分析，CVE中相當(dāng)數(shù)量的漏洞的成因在CWE中都可以找到相應(yīng)的條目。如在代碼層、應(yīng)用層等多個(gè)方面的缺陷，從CWE角度看，正是由于CWE的一個(gè)或多個(gè)缺陷，從而形成了CVE的漏洞。

03、CVSS介紹

CVSS概念

CVSS ： Common Vulnerability Scoring System，即“通用漏洞評(píng)分系統(tǒng)”，是一個(gè)“行業(yè)公開(kāi)標(biāo)準(zhǔn)，其被設(shè)計(jì)用來(lái)評(píng)測(cè)漏洞的嚴(yán)重程度，并幫助確定所需反應(yīng)的緊急度和重要度”。

CVSS的目的是幫助人們建立衡量漏洞嚴(yán)重程度的標(biāo)準(zhǔn)，使得人們可以比較漏洞的嚴(yán)重程度，從而確定處理它們的優(yōu)先級(jí)。CVSS得分基于一系列維度上的測(cè)量結(jié)果，這些測(cè)量維度被稱為量度（Metrics）。漏洞的最終得分最大為10，最小為0。得分7~10的漏洞通常被認(rèn)為比較嚴(yán)重，得分在4~6.9之間的是中級(jí)漏洞，0~3.9的則是低級(jí)漏洞。

所以通常來(lái)說(shuō)，在安全測(cè)試中，CWE也好，CVE也好，7~10分的漏洞都是必須要修復(fù)的。

不過(guò)有一個(gè)地方，我目前也還沒(méi)搞懂，在NVD（國(guó)家漏洞庫(kù)）中，每個(gè)CVE都有一個(gè)CVSS評(píng)分，但是CWE的CVSS評(píng)分是怎么來(lái)的我還沒(méi)搞清楚。例如，AppScan中，每個(gè)問(wèn)題都對(duì)應(yīng)有一個(gè)CWE ID和CVSS評(píng)分，不知道AppScan是如何給CWE評(píng)分的。