网络空间安全学习群-有奖竞答通过三道题的方式,由浅入深,逐步讲解,帮助大家了解一个知识点,最终掌握知识点。我们会在麟学堂公众号对知识点进行归纳整理。
今日三题: OWASP TOP10 在全球安全行业影响非常大。它将全世界发生频率最高的漏洞进行排序,发布。这样各家软件公司,通常会对比这个列表,修补自己软件或者查找软件漏洞。而通常安全厂家会提供白盒测试工具帮助软件公司查走代码问题,参考也是要用这个OWASP TOP10。当然,OWASP的贡献远远不止web应用,还有移动应用,IOT应用等等。以后大家可以深入了解。
1、什么是OWASP?主要目的是为了什么?
A、开源web应用安全项目,关注提升软件安全的国际非盈利组织
B、开源应用安全项目,关注提升工具安全的国际非盈利组织
C、开放安全项目,关注软件安全的国内非盈利组织
D、开发安全项目,关注提升开发安全的国际非盈利组织
2、CWE,通用缺陷列表 (Common Weakness Enumeration)是?
A、常见软件和硬件安全弱点类型列表
B、 美国国家漏洞库
C、由NIST美国国家标准研究所提供
D、美国非营利组织MITRE维护的公共漏洞库
3、哪个通常不列入属于OWASP TOP10漏洞范围?
A、DDOS
B、XSS
C、注入/injection
D、安全配置错误
今日三题正确答案是:
1. 答案:A
解析:安全从业人员,深入学习,合规方面一定要知道的是NIST机构 ,漏洞方面一定要知道的组织就是OWASP
2. 答案: A
解析:全世界安全人员无私奉献,但是那么多人奉献了这么多东西,总要放到一处吧?总得要有编号吧?方便大家一起共享。放到一起的,就是漏洞库,国际上重要的漏洞库是啥?给漏洞编号的叫啥?总要起个名字吧。然后,漏洞扫描工具类似 nessus ,appscan之类就会读取这些漏洞库,然后对比扫描对象,是否有存在漏洞。读取时候,必须有编号规则才能调用吧。
CWE,通用缺陷列表 (Common Weakness Enumeration)是常见软件和硬件安全弱点类型列表。是美国非营利组织MITRE维护的公共漏洞库CVE采用的编号。美国国家漏洞库叫做NVD,由NIST美国国家标准研究所提供
3. 答案:A
解析:看OWASP TOP10学习。