[网络]公共网络安全漏洞库:CVE/CNCVE

最新推荐文章于 2024-02-20 09:20:03 发布
最新推荐文章于 2024-02-20 09:20:03 发布
阅读量1.7k 收藏 4
点赞数
文章标签: 网络 web安全 安全 网络安全 数据库 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dexi113/article/details/131554710
版权

1 前言

以网络安全行业中最大的、影响范围最广的CVE为例。
CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。
CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。
使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。
如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。

回到顶部(Back to Top)

2 公共网络安全漏洞库

【补充】其它的漏洞库

回到顶部(Back to Top)

3 延申: CVSS(通用漏洞评分系统)

CVSS
:= Common Vulnerability Scoring System
:= 通用漏洞评分系统
:= 一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”
:= 安全内容自动化协议(SCAP)的一部分
:= 由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的网络安全漏洞评分标准

通常地,CVSS同CVE一同由美国国家漏洞库(NVD)发布、并保持数据的更新.

  • 关于评分

利用该标准————CVSS,可以对弱点进行评分,进而帮助我们判断修复不同弱点的优先等级。
它的主要目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。
CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。

  • score in [7,10]: 高危漏洞 / High / Vulnerability High
  • score in [4,6.9]: 中危漏洞 / Middle / Vulnerability Middle
  • score in [0,3.9]: 低危漏洞 / Low / Vulnerability Low

CVSS系统包括三种类型的分数:基本分数暂时分环境分
基本得分临时得分通常由安全产品卖主、供应商给出,因为他们能够更加清楚的了解漏洞的详细信息;

环境得分通常由用户给出,因为他们能够在自己的使用环境下更好的评价该漏洞存在的潜在影响。

CVE Details漏洞报告

 

安全报告1(样例图)

 

安全报告2(样例图)

[CVSS 官方定义]
通用漏洞评分系统(CVSS)提供了一种捕获漏洞的主要特征并产生反映其严重性的数字评分的方法。
然后,可以将数字分数转换为定性表示形式(例如低,中,高和关键),以帮助组织正确评估漏洞管理流程并确定其优先级。

CVSS是全世界组织使用的已发布标准,SIG的使命是继续对其进行改进。

回到顶部(Back to Top)

Y 2020年CCIA中国网络安全竞争力50强

有幸在2020年9/10月,处理过4轮安全漏洞报告,并阅读过这总共3家网络安全公司中的其中2家————【天融信】和【北京盛邦】的服务器安全扫描报告。
个人的感受是:

  • 用户阅读体验:北京盛邦做得更好。

例如,对全部服务器安全漏洞的整体情况,通过专门的统计可视化分析图表的形式,让报告阅读者(服务器维护者)一目了然。
反观天融信的报告,则要简陋很多!

又例如,出现漏洞所在的依赖组件/应用软件/端口,盛邦的报告就直接指明了,天融信的报告则完全读不出来,全靠读者自己去摸排线索。

总之,读天融信的报告,就有点难受。既费时,又费力!

  • 漏洞研究(深度):天融信做得更好。
天融信对应用软件中出现漏洞的最新版本、已修复的漏洞版本(Fix version),能够更及时地报告出来。

【2020年】

【2016年】

回到顶部(Back to Top)

X 推荐资源

羊村最强沸羊羊
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2021-22192 靶场: 未授权用户 RCE 漏洞.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,靶场为安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全的学习环境。在靶场中,学生可以通过实际操作掌握安全知识,了解攻击技术和防御策略。这样的学习方式比传统的理论课程更加生动直观,有助于深化对安全领域的理解。 最后,靶场也是安全社区交流的平台。在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好地应对不断演变的网络威胁,提高整体的安全水平。
CVE-2013-6117:CVE-2013-6117
04-29
CVE-2013-6117 $ ./CVE-2013-6117 -h Options: -h, --help display help information -f, --filename File containing list of IP addresses -t, --target Target IP -n, --threads No of concurrent threads (default: 100) $ ./CVE-2013-6117 -f hostfile.txt 1.2.4.4|name.no-ip.org:80|username|password $ ./CVE-2013-6117 -t 1.2.3.4 1.2.4.4|name.no-ip.org:80|username|password 参考:
网络安全人士必备的13个漏洞
最新发布
Javachichi的博客
02-20 1323
最近2年在网络安全界比较热门的一项产品和技术是攻击面管理,漏洞是攻击面管理中的重要组成部分,基于此,收集整理了一些知名漏洞并分享出来。
https://www.exploit-db.com/下载POC比较完善的代码
12-21
1,通过读取CVE编号自动下载 2,由于网络问题,下载容易中断。所以设置一个变量来记录执行到了哪一步。 i = 0 #重新开始的话,记得从cve_num1.json的最后一行中取值 可以将这个变量加在CVE列表的最后的一行。 cve_num1_context[-1] = i 3,就是remove,会出现跳过的问题。这个是由于索引的问题。只能通过复制来解决。可以通过,代码来解决。之前都是手动的。 def refresh():#将最新的数据更新至CVE_NUM中! cve_num1_file = open('D:/1swqcve/test/cve_num1.json', "r")
CVE-2018-8174-msf:CVE-2018-8174-VBScript内存损坏漏洞利用
05-17
CVE-2018-8174-MSF 这是一个metasploit模块,该模块创建恶意的Word文档以利用CVE-2018-8174-VBScript内存损坏漏洞。 该模块是一个非常快速的端口,并使用在野外发现的漏洞利用示例。 该漏洞仅适用于32位Microsoft Office。 在本模块上有很多事情需要改进,但是如果有时间我会在将来进行更新。 安装 将CVE-2018-8174.rb复制到/ usr / share / metasploit-framework / modules / exploits / windows / fileformat / 将CVE-2018-8174.rtf复制到/ usr / share / metasploit-framework / data / exploits / 该漏洞无法与meterpreter shellcode一起很好地工作,因此
go-cve-dictionary:构建CVE的本地副本(NVD和日语JVN)。 服务器模式,方便查询
05-01
政府词典 这是用于构建NVD(国家漏洞数据库)[1]和日语JVN [2]的本地副本的工具,这些副本根据其CVE标识符[3]包含安全漏洞,其中包括详尽的信息和风险评分。 本地副本以sqlite格式生成,并且该工具具有服务器模式以便于查询。 [1] [2] [3] 安装 安装要求 go-cve-dictionary需要以下软件包。 SQLite3,MySQL,PostgreSQL或Redis 吉特 海湾合作委员会 前往v1.7.1或更高版本 这是Amazon EC2服务器的示例。 $ ssh [email protected] -i ~ /.ssh/private.pem $ sudo yum -y install sqlite git gcc $ wget https://storage.googleapis.com/golang/go1.7.1.linux-a
几个cve漏洞查询网站-什么是CVE?常见漏洞和暴露列表概述
学习 记录 总结 分享
03-17 8162
CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。原文链接:https://blog.csdn.net/zhongxj183/article/details/119456735。tenable漏洞(nessus)
漏洞扫描(漏洞&漏洞扫描器)
weixin_63082823的博客
09-21 1192
是一个自动化的Web应用程序安全测试工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。— 其运作效能能随着系统的资源而自行调整。BugTraq漏洞(http://www.securityfocus.com/bid)中国计算机网络应急处理协调中心 (http://www.cert.org.cn)ICAT漏洞(http://icat.nist.gov/icat.cfm)CERT/CC漏洞信息数据库 ( http://www.cert.org )
浅谈漏洞来源(CVE,NVD,CNVD,CNNVD)
TT成长博客
02-23 2万+
网络安全人士可能会问这样一个问题,安全漏洞是哪里来的,什么渠道,可靠吗。那么多的安全产品,他们的漏洞都是自己整理的吗?(怎么可能撒),虽然各安全厂商都搞自己的威胁情报中心,但是威胁情报除了自研的,很多还是靠类似公益的机构来支持,比如业界大家都知道的几个平台,我们就简单和大家掰扯掰扯吧。
AI Security3-通用漏洞披露(CVE: Common Vulnerabilities and Exposures)
学渣的博客
12-25 1万+
这是目录1 漏洞的来源2 漏洞分析2.1 数据来源2.2 数据分析3 举例 回顾之前的内容 逃逸攻击 投毒攻击 在前文中,我们介绍了Attack AI的基础概念,即黑客对AI发起的攻击,主要可以分为三种攻击类型,破坏模型完整性、可用性和机密性的攻击。 在本文,我们将介绍破坏模型可用性的一些攻击示例。 模型的可用性主要是指模型能够被正常使用。这一块的攻击面主要是算法系统依赖的底层框架、依赖,攻击方式主要是对模型代码或底层依赖的代码进行漏洞挖掘和利用,如溢出攻击、DDos攻击。 由于在野0day的信息无法
几个cve漏洞查询网站
热门推荐
zhongxj183的博客
08-06 4万+
分享几个cve漏洞查询网站,自己在工作中经常用到 阿里云漏洞 https://avd.aliyun.com/nvd/list tenable漏洞(nessus) https://www.tenable.com/cve/search https://cve.mitre.org/cve/search_cve_list.html https://nvd.nist.gov/vuln/search https://www.securityfocus.com/bid ...
网络安全漏洞
10-09
随着计算机网络和分布式计算机的普及和应用,网络安全变得越来越重要。
CVE漏洞知识介绍
binzhu1987的专栏
07-24 8379
    CVE的英文全称是Common Vulnerabilities and Exposures公共漏洞和风险。CVE就好象是一个字典,为大家广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。由于漏洞的本质特性,导致每个漏洞都有许多特征,在MITRE还没有创建CVE之前,不同的厂商在对同一个漏洞进行称谓时,各厂商各抓住漏洞的某一特征,使用完全不同的名称,这样让使用其产品的用户不知所
漏洞发现】|多个严重CVE漏洞被发现,系内存类安全漏洞
m0_73736695的博客
02-20 463
近日,云起无垠的无垠代码模糊测试系统通过对json parse、MojoJson进行检测发现多个CVE漏洞漏洞编号为:CVE-2023-23083 ~ CVE-2023-23088,该系列漏洞皆为内存类漏洞漏洞允许攻击者执行恶意代码进行攻击,从而造成严重后果。其中,CVE-2023-23086~CVE-2023-23088已公开。
漏洞补丁:漏洞命名(CVE和CNNVD)及补丁查找
guyuelin123的博客
10-18 1万+
截图为报告的部分内容,里面包含了编号,描述,解决地址。这里对 CVE编号,CVSS分值,国家漏洞编号(CNNVD)等几个主要名称含义进行记录。
网络安全常用术语解读 」通用漏洞披露CVE详解
网络安全
03-04 6555
CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。当前CVE累计收录了19万+个安全漏洞
cve漏洞是什么意思?cve漏洞复现及利用
白帽黑客鹏哥的博客
12-08 2287
CVE(Common Vulnerabilities and Exposures)漏洞是一个网安技术术语,用于描述和标识信息安全领域的已知漏洞安全风险。CVE是一个公开的列表或数据库,它为各种公开知晓的信息安全漏洞和风险提供了标准化的名称。每个CVE标识符都是唯一的,并按照一定的格式命名。这些标识符允许安全专家和研究人员在讨论、分析或修复特定的漏洞时保持一致性。
CNVD、CNNVD、CICSVD、NVD、CVE等区别与联系详解
Hardworking666的博客
01-09 2万+
文章目录一、CNVD(国家信息安全漏洞共享平台)CNCERT(国家互联网应急中心)ANVA(中国反网络病毒联盟)二、CNNVD(中国国家信息安全漏洞)CNITSEC(中国信息安全测评中心)三、CICSVD(国家工业信息安全漏洞,工业控制产品安全漏洞专业)CICS-CERT(国家工信安全中心) 一、CNVD(国家信息安全漏洞共享平台) 国家信息安全漏洞共享平台(CNVD,China National Vulnerability Database) 是由国家计算机网络应急技术处理协调中心(中文简称:国..
CVE10大漏洞总结【网络安全
heikeyouyou的博客
05-19 2713
网络安全cve十大漏洞总结
python爬取https://www.cnnvd.org.cn/home/globalSearch?keyword=CVE-2018-8715
06-12
你可以使用 Python 的 requests 和 Beautiful Soup 来爬取 https://www.cnnvd.org.cn/home/globalSearch?keyword=CVE-2018-8715 页面的信息。以下是一个简单的示例代码: ```python import requests from bs4 import BeautifulSoup url = 'https://www.cnnvd.org.cn/home/globalSearch?keyword=CVE-2018-8715' response = requests.get(url) soup = BeautifulSoup(response.text, 'html.parser') result = soup.find('div', class_='search-result-list') for item in result.find_all('li'): title = item.find('a').text.strip() link = item.find('a')['href'] date = item.find('span', class_='time').text.strip() print(title, link, date) ``` 这个代码使用 requests 获取页面的 HTML 内容,然后使用 Beautiful Soup 解析 HTML 内容,并找到 class 为 `search-result-list` 的 div 元素。然后遍历每个 li 元素,找到其中的标题、链接和日期信息,并打印出来。你可以根据自己的需求修改代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值