Hỏi về: Tiêu chí phân loại các lỗ hổng bảo mật

hainv

Member
02/06/2021
0
5 bài viết
Hỏi về: Tiêu chí phân loại các lỗ hổng bảo mật
Chào mọi người,
Em mới tìm hiểu CVE, em có một câu hỏi nhờ mọi người giải đáp:
Tiêu chí nào giúp phân loại ra các lỗ hổng bảo mật nói chung (DOS, XSS, SQLi, CSRF,....) và tiêu chí phân loại các lỗ hổng bảo mật theo CVE có khác nhau gì không?
Tiêu chí là chủ quan, khách quan, ngẫu nhiên hay do quá trình thiết kế chế tạo, khai thác, khu vực phát sinh lỗ hổng. Hay có tài liệu nào nói rõ về vấn đề này không?
Em cảm ơn!
upload_2021-7-25_1-14-1.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Tiêu chí phân loại các lỗ hổng bảo mật là theo cách thức nó xảy ra. Ví dụ, SQLi, OS command... xếp chung vào loại lỗ hổng là Injection.

Cách CVE được tạo ra:
Quá trình bắt đầu với việc phát hiện ra lỗ hổng bảo mật tiềm ẩn. Thông tin sau đó được Cơ quan đánh số CVE (CNA) gán ID CVE. CNA viết mô tả và thêm các tài liệu tham khảo, và sau đó bản ghi CVE hoàn chỉnh sẽ được Ban Thư ký Chương trình CVE đăng trên trang web của CVE.

Bạn có thể xem thêm tại đây.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Tiêu chí phân loại các lỗ hổng bảo mật là theo cách thức nó xảy ra. Ví dụ, SQLi, OS command... xếp chung vào loại lỗ hổng là Injection.

Cách CVE được tạo ra:
Quá trình bắt đầu với việc phát hiện ra lỗ hổng bảo mật tiềm ẩn. Thông tin sau đó được Cơ quan đánh số CVE (CNA) gán ID CVE. CNA viết mô tả và thêm các tài liệu tham khảo, và sau đó bản ghi CVE hoàn chỉnh sẽ được Ban Thư ký Chương trình CVE đăng trên trang web của CVE.

Bạn có thể xem thêm tại đây.
Về CVE em muốn hỏi tiêu chí phân loại lỗ hổng của nó có khác gì với tiêu chí phân loại lỗ hổng của các định danh khác như: CWE, BUGTRAQ, CAPAC không vậy Ad
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Về CVE em muốn hỏi tiêu chí phân loại lỗ hổng của nó có khác gì với tiêu chí phân loại lỗ hổng của các định danh khác như: CWE, BUGTRAQ, CAPAC không vậy Ad
Ở đây bạn đang bị nhầm lẫn giữa CVE mà CWE.
CVE là mã định danh cho một lỗ hổng cụ thể. Trong khi CWE là thông tin liên quan đến lỗ hổng bảo mật, không phải là lỗ hổng trong một sản phẩm hoặc hệ thống.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Ở đây bạn đang bị nhầm lẫn giữa CVE mà CWE.
CVE là mã định danh cho một lỗ hổng cụ thể. Trong khi CWE là thông tin liên quan đến lỗ hổng bảo mật, không phải là lỗ hổng trong một sản phẩm hoặc hệ thống.
Em đang muốn nói đến tiêu chí mà CVE dùng để phân loại ra thành các loại lỗ hổng. Trong ảnh ở bài đăng CVE có phân loại thành 13 loại lỗ hổng (em lấy thông kê trên cvedetails), thì CVE dựa vào đâu để phân loại ạ. Nó có giống với các tiêu chí mà ad nói ban đầu không vậy.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Em đang muốn nói đến tiêu chí mà CVE dùng để phân loại ra thành các loại lỗ hổng. Trong ảnh ở bài đăng CVE có phân loại thành 13 loại lỗ hổng (em lấy thông kê trên cvedetails), thì CVE dựa vào đâu để phân loại ạ. Nó có giống với các tiêu chí mà ad nói ban đầu không vậy.
CVE là do các công ty hoặc các tổ chức đệ trình lên cơ quan đánh số CVE bạn nhé. Việc đệ trình sẽ phải tuân theo mẫu, đáng chú ý có mục "description" tức là mô tả lỗ hổng. Ở đây sẽ nói đó là SQLi, XSS...
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
cve lỗ hổng bảo mật
Bên trên