今天给各位分享cwe的知识,其中也会对cwealth羽绒服进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
本文目录一览:
title: 漏洞扫描基本概念
date: 2016-06-15 10:30
tags: Kali渗透测试 漏洞扫描
通过之前的扫描我们可以知道目标主机的一些基本信息,然后我们可以基于这些个基本信息去进一步的发现目标是否存在漏洞,当然这种方式虽然可行,但是效率太低。
对于这方面,kali的提供了一个漏洞集成网站:
同时kali系统也集成了searchsploit命令,该命令可以查询到eploit-db网站中所有的漏洞信息。
由此也可以知道searchsploit的文档库的位置为: /usr/share/exploit/platforms 中
然后我们只需要对其中的脚本只进行简单的修改就可以加以利用了。
Sandi将会以图形化的界面对exploit-db库中结果进行显示。
CVSS是通用的漏洞评分系统,它是工业标准,用于描述安全漏洞严重程度的统一评分方案。
CVSS使用Metric对弱电进行了分类:
CVSS是安全内容自动化协议(SCAP)的一部分。通常CVSS与CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。
CVSS的评分范围是:0-10。10是最高等级,不同机构按CVSS分值定义威胁的中,高,低 威胁级别 ,CVSS是工业标准,但是威胁等级级别不是。
CVE是已公开的信息安全漏洞字典,同时也是统一的漏洞编号标准。
因为CVE的存在,使得漏洞的世界秩序变得清晰可辨。
当发现一个漏洞后,CAN负责指定CVE ID,然后发布到CVE LIst中:CVE-2008-4250,然后MITRE公司负责对内容进行编辑维护。
同时有的厂商也会有自己的CVE标准,比如微软的MS漏洞编号,MSKB为补丁编号。不同组织不同机构也许会有不同的CVE标准。
描述漏洞检测方法的机器可识别语言。会以xml的格式进行发布。它是一个技术性的描述。它详细的描述了漏洞检测的技术细节,可导入自动化检测工具中实施漏洞检测工作。
描述软件配置缺陷的一种标准格式。
在信息安全风险评估中,配置缺陷的检测是一项重要内容,使用CCE可以让配置缺陷以标准的方式展现出来,便于配置缺陷评估的可量化操作。
信息技术产品,系统,软件包的结构化命名规范,分类命名标准。
常见漏洞类型的字典,描述不同类型漏洞的特征,不同于OVAL,CWE只是一个大体上的分类而已,不会去具体的打分(访问控制,信息泄露,拒绝服务)。
SCAP是一个集合了多种安全标准的框架,它共有六个子元素:CVE,OVAL,CCE,CPE,CVSS,XCCDF。其目的是以标准的方法展示和操作安全数据。有NIST负责维护。
框架是个很有效率的东西,美国人民很擅长做框架的东西,因为一般只要完成了框架里所要求的事情,基本上就很规范了。所以,SCAP是当前美国比较成熟的一套信息安全评估标准体系,其标准化,自动化的思想对信息安全行业产生了深远的影响。
SCAP主要解决三个问题:
由于SCAP太完美,太细致啦,所以太复杂了,目前这个星球上完全安装按照SCAP标准去干的,只有NVD(National Vulnerabiliy Database:美国国家漏洞管理标准数据)一家。
NVD:
nvd的CheckList是很好用的。
1. China Water and Electric International Corporation 中国国际水利电力公司2. clerical work evaluation 职员工作评价3. coated wire electrode 涂丝电极4. coherent wave energy 相干波能量5. cold water extract 冷水提取物6. Commonwealth Edison 芝加哥联邦爱迪生公司7. coulometric working electrodes 电量分析工作电极;库伦计工作电极8. coupled wave equation 耦合波方程9. crude worm extract 天然蚯蚓提取物10. cutaneous water evaporation 皮肤的水蒸发
这是安全漏洞,需要修复漏洞。
安全配置错误 从上一版的第6 位上升;90% 的应用程序都经过了某种形式的错误配置测试。
WE是沿墙面敷设,CE是沿顶棚和顶板明敷,CWE我个人的理解是 沿顶棚和顶板及沿墙面明敷设
cwe的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于cwealth羽绒服、cwe的信息别忘了在本站进行查找喔。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件至举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签: #cwe
相关文章