网络安全系列-I: 基本概念之事件型漏洞、通用型漏洞、渗透测试

已于 2022-03-23 10:38:01 修改
阅读量6.6k 收藏 9
点赞数 1
分类专栏: 网络安全学习 文章标签: 网络安全 事件型漏洞 通用型漏洞 漏洞 渗透测试
于 2022-03-23 10:34:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/penriver/article/details/123676632
版权
本文介绍了网络安全中的事件型漏洞和通用型漏洞的区别,强调事件型漏洞涉及非法扫描,而通用型漏洞存在于一类软件或设备中。此外,还探讨了渗透测试的流程和漏洞定级标准,提供了SRC漏洞提交平台的相关信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

事件型漏洞和通用型漏洞的区别

一句话区别:如果你提交华为官网的漏洞严格意义上是非法的,因为这涉及未授权扫描;但是你针对你自己购买并部署在本地的华为设备或系统做漏洞扫描、渗透测试是没有问题的,因为你攻击的是你自己的资产(虽然它能影响所有用到同类设备的其他企业)。前一种是事件型漏洞,后一种是通用型漏洞。

注意:事件型漏洞是违法的,无论是否进行了攻击,因为这涉及了未受权的扫描及测试。

通用型漏洞

通用型漏洞是指一类软件或设备具有的漏洞
如Python、Discuz、Springboot等开源软件本身的漏洞,使用这些开源软件的软件 可能都具有这些漏洞。

示例:

  • 如Python、Springboot存在漏洞,那么只要使用了Python、Springboot的软件都可能存在这些漏洞
  • win10系统存在漏洞,那么只要装了win10系统的设备都存在漏洞。

事件型漏洞

事件型漏洞是指某一个具体网站或应用的漏洞,需要主动针对网站或应用进行渗透测试,注意:此行为违法

示例:

    了解本专栏 订阅专栏 解锁全文 超级会员免费看
    1.渗透测试基础
    GUDGET的博客
    03-21 7390
    目录 渗透测试介绍 渗透术语介绍 测试环境配置 HTTP协议讲解 渗透测试介绍 1.介绍 渗透测试 (penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。 换句话来说,渗透测试是指渗透人员在不同...
    88.网络安全渗透测试—[常规漏洞挖掘与利用篇4]—[xss漏洞测试-加载payload的方法]
    qwsn
    01-25 4172
    我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞测试-加载payload的方法 1、背景 2、xss平台通用payload加载 3、img 创建script标签加载 4、字符并接加载 5、jquery加载
    通用型事件型漏洞区别
    anlr2020的博客
    08-18 8106
    通用型漏洞 第三方软件,应用,系统对应的漏洞。那么每个使用这个软件应用系统的用户都存在这个漏洞。 如ECShop、Discuz、PHPCMS的SQL注入,XSS漏洞。开源软件,安全浏览器,手机应用,路由器,开发框架,甚至是某VPN系统某防火墙系统的漏洞。 举个例子:   win10系统存在漏洞,那么只要装了win10系统的都存在漏洞。 使用某个建站系统搭建了网站,那么用这个建站系统的多个网站都存在这个漏洞。这些都叫通用型 事件型漏洞 即非通用型漏洞,主要是指互联网上应用的...
    由点到面-事件型漏洞通用型漏洞的发掘
    weixin_52501704的博客
    08-10 528
    本文主要记录我从事件型漏洞通用型漏洞的发掘过程,由于不可描述的原因,所以本次挖掘分享点到为止,将不涉及后台和服务器的渗透,主要分享挖掘思路。打码比较厉害,请多多见谅。
    新手小白如何挖掘cnvd通用漏洞之存储xss漏洞(利用xss钓鱼)
    最新发布
    fly_enum的博客
    03-11 1082
    新手小白如何挖掘cnvd通用漏洞之存储xss漏洞
    提交漏洞-事件型漏洞通用型漏洞的区分
    atw63792的博客
    09-17 6080
    事件型漏洞就是某一个具体的网站或应用的漏洞。例如,某手机官方论坛800多万用户信息泄露、某旅游网站用户信用卡信息泄露均属于该漏洞类型。 通用型漏洞就是某一类的网站或应用的漏洞,比如各种CMS、通用组件等漏洞。 转载于:https://www.cnblogs.com/rab3it/p/11532919.html...
    通用漏洞挖掘思路(黑盒篇)
    白帽子凯哥聊黑客
    06-21 951
    / 相对而言,密码处存在注入的可能性比较小,因为密码会经过相关加密(数据库中的password字段值一般是密文),如果数据库中保存的密码就是明文的话,那也是会有产生SQL注入的风险。如果是,并且运气好,该产品公司的注册资金大于5000w,那么一个cnvd证书就来了(运气再好些,还可以在一个系统多薅几个)。回到上文的SQL注入,如果思维不发散,那么它就是一个事件型漏洞,思维发散了的话,说不定也还是一个事件型漏洞…话说回来,平常在黑盒测试过程中,挖掘到的漏洞,都可以去尝试一下,是否是通用型漏洞
    Web通用型漏洞简介
    热门推荐
    Breeze的博客
    01-20 2万+
    本篇文章主要简单介绍一下(我能想到的)Web通用型漏洞(以OWASP体系为主,非组件引起的,可能出现在任何语言任何环境中的web漏洞)的原理以及简单的攻击者利用方式。注:看本篇文章不会学到任何新技术,但如果本篇文章里存在任何你感兴趣却不了解的技术,可以去其他地方查阅资料。当然文章中也有很多错误,也希望能获得指正。 文章目录注入SQL注入基于利用方式分类union回显注入报错回显注入布尔盲注延时盲注...
    漏洞挖掘 】 通用型漏洞挖掘思路技巧
    xxwn200301的博客
    08-22 991
    大概是在上半年提交了某个CMS的命令执行漏洞,现在过了那么久,也想通这次现挖掘通用型漏洞,整理一下挖掘思路,分享给大家。如果对网安和挖洞感兴趣的小伙伴又看不懂本文的话,可以直接跳转最后,有惊喜。挖掘后干嘛?提交漏洞呗~好的,这个算是刚开始学习没多久挖掘到的漏洞,其实现在觉得技术含量不高,发现漏洞也不难,主要想分享一下过程以及思路。最后,希望看到这篇文章到小伙伴也能很快挖掘到通用型漏洞
    「安全活动」OceanBase 1.0:云服务的新一代通用关系型数据库 - 渗透测试.zip
    12-04
    同时,配合渗透测试,能够发现并修复潜在的安全漏洞,增强系统的安全性。 6. 漏洞分析:在攻防靶场中,通过对OceanBase进行渗透测试,可以发现并解决潜在的系统漏洞,提高数据库的安全性。这涉及到Web安全领域的...
    网络安全之路:我的系统性渗透测试学习框架
    03-19 1990
    没有兴趣,何来成就,难道就只是为了咕噜猫?hahaha(听不懂吧,没关系,只是因为加密了,你能从我的笔记中找到答案么嘿嘿嘿嘿!!!) 注意:以下内容仅记录本人当时学习时任然不知的相关知识。笔记草率,可能有错,仅供参考。我会慢慢完善的哦! 写在前面: 1.业界比较好的信息安全网站: freebuff:这个看来你已经找到了 secWiKi:ennnnn 安全客:收集了各大SRC哦,如果你哪一天灵感大发发现一个漏洞或者业务逻辑Bug,赶快去提交吧,也可以去补天,漏洞盒子提交哦!还有众测平台哈哈哈。还有
    安全基础~通用漏洞1,网络安全开发揭秘
    m0_61418075的博客
    04-09 319
    测列数:order by 4-测显位:第2,3and 1=2 union select ‘null’,null,null,null 错误and 1=2 union select null,‘null’,null,null 正常and 1=2 union select null,null,‘null’,null 正常and 1=2 union select null,null,null,‘null’ 错误-获取信息:– 爆库。
    漏洞挖掘 | 通用型漏洞挖掘思路技巧
    hackzkaq的博客
    01-10 3823
    `搜索公众号:白帽子左一,每天更新技术干货! 作者:ajie 转自地址:https://xz.aliyun.com/t/10539 0x01 前言 大概是在上半年提交了某个CMS的命令执行漏洞,现在过了那么久,也想通这次现挖掘通用型漏洞,整理一下挖掘思路,分享给大家。 0x02 挖掘前期 一、CMS选择 如果你是第一次挖白盒漏洞,那么建议你像我一样,先找一些简单的来挖掘。 具体源码下载地址可以参考: https://github.com/search?q=cms https://search.git.
    漏洞安全事件/漏洞安全事件有哪些-零基础信息安全技巧
    程序员三九的博客
    06-29 1017
    漏洞分级方面,使用自己内部分级标准,将网络安全漏洞划分为高、中、低三种危害级别。
    小白如何获取CNVD事件型原创漏洞证明?——记CNVD漏洞挖掘思路
    黑战士的博客
    08-03 3759
    证书就不在这里放了,写本文的初心也是为了帮助更多想要获取CNVD证书而不知如何行动的小伙伴而写,因为网上的教程良莠不齐,我尽量用通俗易懂的语言教会大家,其中不妨掺杂着一些幽默成分,在看完本文或许会对你有所帮助,或许很多人看到这篇文章是因为消息推送,亦或是想要拿到CNVD证书,给自己以后铺路……像这种CNVD要把你送进去的案例也就不要再测了。总的来说爆洞的几率不小,CNVD审核也都很给力,发邮件的话1-2天内回复,审核速度也不慢(事件型)。实测这种方法能拿到的漏洞还是不少的,不过也会有这种情况……
    【安全笔记】
    FSZ111的博客
    12-04 625
    漏洞类型 **通用型漏洞:**第三方软件,应用,系统对应的漏洞。 如ECShop、Discuz、PHPCMS的SQL注入,XSS漏洞。开源软件,安全浏览器,手机应用,路由器,开发框架,甚至是某VPN系统某防火墙系统的漏洞。 举个例子:   学校的教务系统,确定cms类型。发现存在这个漏洞,复现一下并且发现其他学校也存在漏洞。有的话就是通用,把这些例子加上,就是一张证书。    **事件型漏洞:**即非通用型漏洞,主要是指互联网上应用的一个具体漏洞,xx网站命令执行可被渗透,xx电商订单泄漏任意充值,xx网站
    有这个证书,网络安全工程师找工作不用愁
    2302_76672693的博客
    06-09 99
    有这个证书,网络安全工程师找工作不用愁
    看大佬们都是如何获得cnvd原创漏洞证书?
    Y525698136的博客
    06-12 3933
    最近不少粉丝都在问关于怎么拿cnvd证书,之前也零散的分享过学员们的一些经验 今天带你们看看大佬是如何拿到cnvd原创漏洞证书的
    安全漏洞分类之CNNVD漏洞分类指南
    明光札记
    11-30 7725
    凡是被国家信息安全漏洞库(CNNVD)收录的漏洞,均适用此分类规范,包括采集的公开漏洞以及收录的未公开漏洞通用型漏洞事件型漏洞。CNNVD将信息安全漏洞划分为26种类型,分别是:配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误、资料不足。
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包

    打赏作者

    enjoy编程

    你的鼓励将是我创作的最大动力

    ¥1 ¥2 ¥4 ¥6 ¥10 ¥20
    扫码支付:¥1
    获取中
    扫码支付

    您的余额不足,请更换扫码支付或充值

    打赏作者

    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值