基础漏洞条例
VUL(Vulnerability)
漏洞
POC(Proof of Concept)
漏洞证明,漏洞报告中,通过一段描述或一个样例来证明漏洞确实存在
EXP(Exploit)
漏洞利用,某个漏洞存在EXP,意思就是该漏洞存在公开的利用方式(比如一个脚本)
0DAY
含义是刚刚被发现,还没有被公开的漏洞,也没有相应的补丁程序,威胁极大。
CVE(Common Vulnerabilities & Exposures)
公共漏洞和暴露,CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据 。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题 。
官网:https://cve.mitre.org/
中文搜索:http://vulhub.org.cn/search
CAN
CAN和CVE的唯一区别是前者代表了候选条目,还未经CVE编辑委员会认可,而后者则是经过认可的条目。 然后,两种类型的条目都对公众可见,条目的编号不会随着认可而改变—仅仅是“CAN”前缀替换成了“CVE”。
BUGTRAQ
一个完整的对计算机安全漏洞(它们是什么,如何利用它们,以及如何修补它们)的公告及详细论述进行适度披露的邮件列表
CNCVE
中国(CN)的 CVE ,是CNCERT/CC(国家计算机网络应急处理协调中心)为漏洞进行编号的一个自己的标准。CNCVE不但包含漏洞的描述予以统一定义,还将包括漏洞的补丁、验证等措施,更方便、有用。
CNVD(工信)
国家信息安全漏洞共享平台。是由国家计算机网络应急技术处理协调中心(简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。
CNNVD(网安)
中国国家信息安全漏洞库。是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,为我国信息安全保障提供基础服务
SCAP标准
SCAP:The Security Content Automation Protocol安全内容自动化协议
该中文社区中集成了SCAP框架协议中的CVE(通用漏洞披露)、OVAL(开源漏洞检测语言)、CCE(通用配置枚举)、CPE(通用平台枚举)等4种网络安全相关标准数据库
SCAP版本1.0包含以下六个SCAP元素:XCCDF、OVAL、CVE、CCE、CPE、CVSS
SCAP元素的三种类型:
1、语言类,用来描述评估内容和评估方法的标准,包括了XCCDF【Extensible Configuration Checklist Description Format(可扩展配置检查描述格式)】和OVAL【Open Vulnerability and Assessment Language(开放式漏洞与评估语言)】(1.2版SCAP添加了OCIL【OpenChecklistInteractiveLanguage】开放检查表交互式语言)。
2、枚举类,描述对评估对象或配置项命名格式,并提供遵循这些命名的库,包括了CVE、CCE、CPE【Vulnerabilities、Configure、Platform】;
3、度量类,提供了对评估结果进行量化评分的度量方法,对应的元素是CVSS(1.2版SCAP添加了CCSS【Common Configure Scoring System(通用配置评分系统)】)。
SCAP的中文社区:
地址 -> http://www.scap.org.cn/
集成了SCAP框架协议的CVE、CVSS、OVAL、CCE、CPE、CWE等6种网络安全相关标准数据库,可提供用户使用,可以方便的查询CVE漏洞库、OVAL漏洞检查语言、CPE平台列表。
SCAP协议概览 -> http://wiki.scap.org.cn/scap/overview
SCAP开源工具介绍 -> http://www.scap.org.cn/article_home_38.html
开放漏洞与评估语言(OVAL)-> http://wiki.scap.org.cn/oval/architecture
SCAP的开源项目:
1、OpenSCAP由Redhat主导开发,是一个整合了SCAP中各标准的开源框架,其为SCAP的使用者提供了一套简单易用的接口。
OpenSCAP、OVALDi、jOVALDi、eSCAPe等,这些开源项目都会SCAP有一整套的开发和利用体系,其中OpenSCAP、OVALDi用于执行基于SCAP的扫描,而eSCAPe用于SCAPContent的生成。
地址 -> https://www.open-scap.org/
2、SCAP-Workbench,基于OpenSCAP框架的SCAP应用之一。在OpenSCAP框架上实现了简单易用的图形界面,具有配置检查、检查单剪裁、SCAP内容编辑和报表生成等非常实用的功能,SCAP-Workbench使用Python语言开发。
SCAP-Workbench Scanner,扫描器,SCAP-Workbench EditorXCCDF编辑器,可以很方便地编辑或生成XCCDF Benchmark文件。
地址 -> https://fedorahosted.org/scap-workbench/
地址 -> https://github.com/OpenSCAP/scap-workbench/
3、OVALDi由Mitre公司(OVAL语言的始创者)提供,OVALDi根据OVAL Definition(OVAL定义)收集主机的相关信息生成OVALSC(OVAL System Characteristics:OVAL系统概要)文件,通过对OVAL SC文件和标准的OVAL Definition进行对比得到检测结果。OVALDi是跨平台的,能够较好的支持各种操作系统,而且它能够紧跟OVAL技术的发展,但它无法解析SCAP中除OVAL以外的其他元素。
地址 -> http://sourceforge.net/projects/ovaldi/
地址 -> http://usgcb.nist.gov/
4、jOVALDi是一个Java的OVAL开源框架,它实现了诸如OVAL文档解析、执行扫描等常用的功能。jOVALDi是在jOVAL框架的基础上按照OVALDi设计模式使用纯Java语言编写的跨平台OVAL解释器和扫描器。
地址 -> https://github.com/joval/jOVAL