CVE(Common Vulnerabilities and Exposures通用漏洞披露)笔记

产生背景:目前实时入侵检测和漏洞扫描评估基于的主要方法还是“已知入侵手法检测”和“已知漏洞扫描”,即基于知识库的技术,因此决定一个IDnA(Intrusion Detection and Assessment 实时入侵检测和漏洞扫描评估)技术和产品的重要标志就是能够检测的入侵种类和漏洞数量。但在安全产业中存在着安全漏洞与系统缺陷等安全问题命名混乱的现象,需要进行标准化。
什么是CVE:CVE(Common Vulnerabilities and Exposures通用漏洞披露),是国际上一个著名的漏洞知识库,也是目前在国际上最具公信力的安全弱点披露与发布单位,CVE组织是一个由企业界、政府界和学术界综合参与的国际组织,其使命是通过非盈利的组织形式,对漏洞与暴露进行统一标识,使得用户和厂商对漏洞与暴露有统一的认识,从而更加快速而有效地去鉴别、发现和修复软件产品的脆弱性。CVE于1999年9月建立,目前其命名方案由MITER公司主持。

漏洞(Vulnerability)与暴露(Exposure):在所有合理的安全策略中都被认为是有安全问题的称之为“Vulnerability”,漏洞可能导致攻击者以其他用户身份运行,突破访问限制,转攻另一个实体,或者导致拒绝服务攻击等。对那些在一些安全策略中认为有问题,在另一些安全策略中可以被接受的情况,称之为“Exposure”,暴露可能仅仅让攻击者获得一些边缘性的信息,隐藏一些行为;可能仅仅是为攻击者提供一些尝试攻击的可能性;可能仅仅是一些可以忍受的行为,只有在一些安全策略下才认为是严重问题。如,finger服务,可能为入侵者提供很多有用的资料,但是该服务本身有时是业务必须的,因此不能说该服务本身有安全问题,宜定义为Exposure而非Vulnerability.

CVE的特点:为每个漏洞和暴露确定了唯一的名称;给每个漏洞和暴露一个标准化的描述;不是一个数据库,而是一个字典;任何完全迥异的漏洞库都可以用同一个语言表述;由于语言统一,可以使得安全事件报告更好地被理解,实现更好的协同工作;可以成为评价相应工具和数据库的基准。

CVE认证:CVE兼容(CVE Compatible)意味着一个工具、网站、数据库或者其它安全产品使用CVE名称,并且允许与其它使用CVE命名方式的产品交叉引用。通常,各家企业产品在获得CVE最高级别认证(CVE Compatible)之前,需经过5个评审阶段,这包括:CVE Intent Declared、Declared CVE Output、Declared CVE Searchable、Declared CVE Output &Searchable和CVE Compatibility Questionnaire Posted

转载于:https://www.cnblogs.com/evangel/archive/2009/02/06/1385160.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/300120.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

[006] 了解 Roslyn 编译器

维基百科对编译器的解释是:编译器是一种程序,它将某种编程语言编写的源代码(原始语言)转换成另一种编程语言(目标语言)。编译是从源代码(通常为高阶语言)到能直接被计算机或虚拟机执行的目标代码(通常为低阶语言或机器语言)的翻译过程。在 .NET 平台中&a…

arcengine 将地图文件保存为图片(包括各种图片格式)

1,最近做了个地图文件输出图片的功能,思想主要就是利用MapControl的ActiveView中的out方法: 2代码如下:欢迎交流指正 1 SaveFileDialog m_save new SaveFileDialog();2 m_save.Filter "jpeg图片(*…

这个让人看跪了的设计!实力证明,数学才是世界的最终boss!

全世界只有3.14 %的人关注了青少年数学之旅最近,有不少购买了年度数学艺术礼盒《数学之旅闪耀人类的54个数学家》的小伙伴,已经按捺不住内心的激动:但超模君秉承着“慢工出细活”的态度,多次亲自到工厂对扑克牌的细节进行把关&…

android 版本28 通知栏图标,【专题分析】应用图标、通知栏适配

# 应用图标适配## 新规范Android8.0开始,应用程序的图标分为了两层:前景层和背景层,前景用来展示应用图标的Logo,背景用来衬托应用图标的Logo,(背景层在设计的时候只允许定义颜色和纹理,但是不能定义形状)。…

win2000/xp/2003 错误代码

10009 0x2719 提供的文件句柄无效。 10013 0x271D 以一种访问权限不允许的方式做了一个访问套接字的尝试。 10014 0x271E 系统检测到在一个调用中尝试使用指针参数时的无效指针地址。 10022 0x2726 提供了一个无效的参数。 10024 0x2728 打开的套接字太多。 10035 0x2733 无法立…

[007] 详解 .NET 程序集

上一篇我们介绍了 Roslyn 编译器,我们知道,我们编写的 C#/VB 代码经过 Roslyn 编译器编译后会生成程序集文件。按照之前讲的 .NET 执行模型的顺序,这一篇我具体讲讲程序集。1什么是程序集我们编写的 C# 代码经过编译会生成 .dll 或 .exe 文件…

ueditor 编辑器再thinkphp中使用 解决转义问题

在前台common.php文件中加入下面的函数就可以解决了 <?php //取消thinkphp里面的转义 if (get_magic_quotes_gpc()) {function stripslashes_deep($value){$value is_array($value) ?array_map(stripslashes_deep, $value) :stripslashes($value);return $value;}$_POST…

轻松掌握使用 SQL Server 浏览器,解决SQL Server 2005跨网段不能连接问题

SQL Server Browser 作为 Windows 服务在服务器上运行。SQL Server Browser 侦听对 SQL Server 资源的传入请求&#xff0c;并提供计算机上安装的 SQL Server 实例的相关 信息。SQL Server Browser 可用于执行下列三种操作&#xff1a; 浏览可用服务器   连接到正确的服务器…

21岁就破解困扰人们300年难题的天才,却一生坎坷,怀才不遇,至死还得不到认可...

这不是难题本来就是无解何谓数学&#xff1f;数学家Eduardo曾这样回答“数学是永恒&#xff0c;是真理&#xff0c;是一切的答案。”回首往昔数学始终伴随我们左右纵横交错的几何、繁琐复杂的运算难以求解的方程、无从下手的猜想......尽管在数学道路上有多么的坎坷、崎岖、变化…

根据当月数据库自动生成下个月数据库--3

--创建一个每月最后一个工作日执行的作业,调用上述存储过程实现自动创建数据库 use mastergo --设置 SQL Agent 服务为自动启动exec msdb..sp_set_sqlagent_properties auto_start1go --创建作业exec msdb..sp_add_job job_nameN自动建库处理 --创建作业步骤declare sql varcha…

android 百度地图 在线建议查询,百度地图SDK-----百度地图在线建议查询,结合AutoCompleteTextView实现搜索下拉列表。...

实现效果图 如下这是百度地图 POISearch的效果&#xff0c;这是自己写的效果首先实现这个功能主要用到了两个部分第一个部分 AutoCompleteTextView具体使用参考 http://blog.csdn.net/iamkila/article/details/7230160第二个部分 百度地图的在线搜索建议功能。http://developer…

使用中断门

注意返回时得使用iretd。通过sidt取得idtr&#xff0c;找到里面的基址和limit。遍历所有的表项&#xff0c;找到一个p位没有置位的&#xff0c;添加一个调用门。和使用call gate没什么大差别。 看了下&#xff0c;我机器里的第一个空白项是0x20&#xff0c;就懒得写和ring3通信…

共享内存 Actor并发模型到底哪个快?

HI&#xff0c;前几天被.NET圈纪检委懒得勤快问到共享内存和Actor并发模型哪个速度更快。前文传送门&#xff1a;《三分钟掌握共享内存 & Actor并发模型》说实在&#xff0c;我内心10w头羊驼跑过.....先说结论1.首先两者对于并发的风格模型不一样。共享内存利用多核CPU的优…

web service

一、Web Service简介 1.1、Web Service基本概念 Web Service也叫XML Web Service WebService是一种可以接收从Internet或者Intranet上的其它系统中传递过来的请求&#xff0c;轻量级的独立的通讯技术。是:通过SOAP在Web上提供的软件服务&#xff0c;使用WSDL文件进行说明&#…

来自爸妈的敷衍问候!| 今日最佳

全世界只有3.14 % 的人关注了青少年数学之旅

SBO中的manager用户已锁定

刚建一个账套。因为好奇就找 一些功能看看。一不小心走到用户设置中&#xff0c;勾选 了“已锁定”&#xff0c;结果账套打不开了。而且就一个用户。没有办法了就在网上找资料&#xff0c;最后找到用户表&#xff0c;从表中相应字段&#xff0c;结果修改过来就OK了。开心。转载…

android蓝牙设计与实现,一个Android客户端的蓝牙支付系统设计与实现

摘要&#xff1a;本文实现了一种利用Android系统上的蓝牙技术,完成用户间资金流动的功能。本功能基于一个电子钱包客户端,本人希望以此来拓展电子钱包支付的途径,给用户提供一种新的便捷、安全的支付渠道。并希望借此功能引起支付行业对蓝牙技术的重新审视。蓝牙技术的诞生,已经…

Android系统如何实现UI的自适应

2019独角兽企业重金招聘Python工程师标准>>> 做Android应用的人都知道&#xff0c;要一个apk适用多个不同的手机屏幕是很容易的&#xff0c;就是在项目的res文件夹下面有多套相关的资源文件。程序运行的 时候&#xff0c;Android系统会根据当前设备的信息去加载不同…

javac手动编译servlet

javac -classpath D:\tomcat\common\lib\servlet-api.jar;D:\tomcat\webapps\beer-v1\WEB-INF\classes ../model/BeerExpert.java javac -classpath D:\tomcat\common\lib\servlet-api.jar;D:\tomcat\webapps\beer-v1\WEB-INF\classes BeerSelect.java pause 转载于:https://…

自定义EventSource(二)PollingCounter

在自定义EventSource时&#xff0c;可以使用四种EventCounter&#xff1a;EventCounter&#xff1a;统计指标收集器&#xff0c;比如平均值&#xff0c;最大值&#xff0c;最小值PollingCounter&#xff1a;自定义统计指标收集器&#xff0c;通过自定义统计方法的方式实现对指标…