Tiêu chí phân loại các lỗ hổng bảo mật

Thảo luận trong 'Hỏi đáp' bắt đầu bởi hainv, 25/07/21, 01:07 AM.

  1. hainv

    hainv Member

    Tham gia: 02/06/21, 11:06 AM
    Bài viết: 5
    Đã được thích: 0
    Điểm thành tích:
    1
    Chào mọi người,
    Em mới tìm hiểu CVE, em có một câu hỏi nhờ mọi người giải đáp:
    Tiêu chí nào giúp phân loại ra các lỗ hổng bảo mật nói chung (DOS, XSS, SQLi, CSRF,....) và tiêu chí phân loại các lỗ hổng bảo mật theo CVE có khác nhau gì không?
    Tiêu chí là chủ quan, khách quan, ngẫu nhiên hay do quá trình thiết kế chế tạo, khai thác, khu vực phát sinh lỗ hổng. Hay có tài liệu nào nói rõ về vấn đề này không?
    Em cảm ơn!
    upload_2021-7-25_1-14-1.png
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 2,016
    Đã được thích: 485
    Điểm thành tích:
    83
    Tiêu chí phân loại các lỗ hổng bảo mật là theo cách thức nó xảy ra. Ví dụ, SQLi, OS command... xếp chung vào loại lỗ hổng là Injection.

    Cách CVE được tạo ra:
    Quá trình bắt đầu với việc phát hiện ra lỗ hổng bảo mật tiềm ẩn. Thông tin sau đó được Cơ quan đánh số CVE (CNA) gán ID CVE. CNA viết mô tả và thêm các tài liệu tham khảo, và sau đó bản ghi CVE hoàn chỉnh sẽ được Ban Thư ký Chương trình CVE đăng trên trang web của CVE.

    Bạn có thể xem thêm tại đây.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. hainv

    hainv Member

    Tham gia: 02/06/21, 11:06 AM
    Bài viết: 5
    Đã được thích: 0
    Điểm thành tích:
    1
    Về CVE em muốn hỏi tiêu chí phân loại lỗ hổng của nó có khác gì với tiêu chí phân loại lỗ hổng của các định danh khác như: CWE, BUGTRAQ, CAPAC không vậy Ad
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 2,016
    Đã được thích: 485
    Điểm thành tích:
    83
    Ở đây bạn đang bị nhầm lẫn giữa CVE mà CWE.
    CVE là mã định danh cho một lỗ hổng cụ thể. Trong khi CWE là thông tin liên quan đến lỗ hổng bảo mật, không phải là lỗ hổng trong một sản phẩm hoặc hệ thống.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. hainv

    hainv Member

    Tham gia: 02/06/21, 11:06 AM
    Bài viết: 5
    Đã được thích: 0
    Điểm thành tích:
    1
    Em đang muốn nói đến tiêu chí mà CVE dùng để phân loại ra thành các loại lỗ hổng. Trong ảnh ở bài đăng CVE có phân loại thành 13 loại lỗ hổng (em lấy thông kê trên cvedetails), thì CVE dựa vào đâu để phân loại ạ. Nó có giống với các tiêu chí mà ad nói ban đầu không vậy.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 2,016
    Đã được thích: 485
    Điểm thành tích:
    83
    CVE là do các công ty hoặc các tổ chức đệ trình lên cơ quan đánh số CVE bạn nhé. Việc đệ trình sẽ phải tuân theo mẫu, đáng chú ý có mục "description" tức là mô tả lỗ hổng. Ở đây sẽ nói đó là SQLi, XSS...
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. DDos
  2. WhiteHat News #ID:3333
  3. WhiteHat Team
  4. WhiteHat Team
  5. WhiteHat Team