安全漏洞分类之CNNVD漏洞分类指南

最新推荐文章于 2025-09-30 13:57:56 发布
原创 最新推荐文章于 2025-09-30 13:57:56 发布 · 8.8k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络 #web安全

适用范围说明
凡是被国家信息安全漏洞库(CNNVD)收录的漏洞,均适用此分类规范,包括采集的公开漏洞以及收录的未公开漏洞,通用型漏洞及事件型漏洞。
漏洞类型
CNNVD将信息安全漏洞划分为26种类型,分别是:配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误、资料不足。
在这里插入图片描述

配置错误 CWE-16: Configuration

描述
此类漏洞指软件配置过程中产生的漏洞。该类漏洞并非软件开发过程中造成的,不存在于软件的代码之中,是由于软件使用过程中的不合理配置造成的。

代码问题 CWE-17: Code

描述
此类漏洞指代码开发过程中产生的漏洞,包括软件的规范说明、设计和实现。该漏洞是一个高级别漏洞,如果有足够的信息可进一步分为更低级别的漏洞。

输入验证 CWE-20: Improper Input Validation

描述
产品没有验证或者错误地验证可以影响程序的控制流或数据流的输入。如果有足够的信息,此类漏洞可进一步分为更低级别的类型。
当软件不能正确地验证输入时,攻击者能够伪造非应用程序所期望的输入。这将导致系统接收部分非正常输入,攻击者可能利用该漏洞修改控制流、控制任意资源和执行任意代码。
常见后果
技术影响:
DoS: crash / exit / restart;
DoS: resource consumption (CPU);
DoS: resource consumption (memory);
Read memory;
Read files or directories;
Modify memory;
Execute unauthorized code or commands
影响范围:机密性、完整性和可用性

路径遍历 CWE-22: Path Traversal

描述
为了识别位于受限的父目录下的文件或目录,软件使用外部输入来构建路径。由于软件不能正确地过滤路径中的特殊元素,能够导致访问受限目录之外的位置。
许多文件操作都发生在受限目录下。攻击者通过使用特殊元素(例如,“…”、“/”)可到达受限目录之外的位置,从而获取系统中其他位置的文件或目录。相对路径遍历是指使用最常用的特殊元素“…/”来代表当前目录的父目录。绝对路径遍历(例如"/usr/local/bin")可用于访问非预期的文件。
常见后果
技术影响:
Execute unauthorized code or commands;
Modify files or directories;
Read files or directories;
DoS: crash / exit / restart
影响范围:
机密性、完整性和可用性

后置链接 CWE-59: Link Following

描述

最低0.47元/天 解锁文章
软件弱点预防之 —— Filesystem path, filename, or URI manipulation - 操控文件系统路径、文件名或 URI
oscar999的专栏
10-13 2580
Filesystem path, filename, or URI manipulation ,操控文件系统路径、文件名或 URI。 该缺陷指的是当使用外部的输入来构造一个文件路径时,如果路径中包含有一些特殊字符(.. 或者 / 等),导致可以访问到期望目录之外的文件。
爬虫练习--爬取CNNVD相关漏洞
qinlingheshang的博客
06-07 6703
目标 从国家信息安全漏洞库(CNNVD)中爬取目标软件的相关漏洞,统计漏洞类型、危害等级、相关数量等,并进行可视化。 具体流程 构造URL,根据关键词爬取相关软件的漏洞信息,统计其数量和网页数 构造URL,一个一个网页的爬取,找到每个具体漏洞的链接,保存这些链接 根据每个具体漏洞的链接,爬取相关页面,用正则表达式和BeautifulSoup找到我们需要的链接。 代码实现 结果可视化...
CWE通用缺陷对照表记录
weixin_45513192的博客
10-14 5427
CWE通用缺陷对照表记录 CWE-1 : Location CWE-113 : Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Response Splitting’) CWE-116 : Improper Encoding or Escaping of Output CWE-118 : Improper Access of Indexable Resource (‘Range Error’) CWE-119 : Buffer
四大国家网络安全漏洞提交平台对比分析
最新发布
weixin_41442865的博客
09-30 289
作为国家级应急中心,CNCERT/CC的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,运行和管理国家信息安全漏洞共享平台(CNVD),维护公共互联网安全,保障关键信息基础设施的安全运行。CSTIS平台面向电信主管部门、基础电信企业、互联网企业、网络安全企业、网络安全专业机构等用户,共同建立网络安全威胁信息上报、认定、处置、共享的管理体系,构建国家公共互联网网络安全威胁信息资源库,切实提升我国网络安全威胁监测与处置水平。
cnvd挖掘
qq_45322343的博客
11-09 751
事件型事件型漏洞必须是三大运营商(移动、联通、电信)的中高危漏洞,或者党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞才会颁发原创漏洞证书通用型中危及中危以上的通用性漏洞(CVSS2.0基准评分超过4.0)软件开发商注册资金大于等于5000万人民币或者涉及党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞通用型漏洞得十个网络案例以上**
CNNVD安全漏洞分类(转)
manok的专栏
12-09 437
我也不知道这张图从哪里来的了,也没有求证这个分类是否为CNNVD官方的,但是感觉这张图画的还是费心的,所以转发过来,因为不知道转自哪里,所以没有注明,如果有作者发给我,我这里补充上。 发在这里,是为了赚点流量票。
CNVD漏洞审核类型尺度参考标准
网安日记本的博客
12-27 4156
CNVD漏洞审核类型尺度参考标准,转发自CNVD官方交流群
CNNVD技术支撑单位申请书模板与指南
10-08
内容概要:本文档为国家信息安全漏洞库(CNNVD)的技术支撑单位申请书模板及指南,包含了详细的申请流程介绍、基本信息填写、组织结构与人员状况介绍、支持能力详情及其发展蓝图部分的内容。旨在帮助申请成为CNNVC...
CNNVD漏洞资源文件
01-04
这个"CNNVD漏洞资源文件"很可能是一个包含有关安全漏洞详细信息的数据包或代码库,用于研究、学习或者测试网络安全防护措施。 "vul_store-master"作为压缩包子文件的名称,暗示这可能是一个主仓库,存储了多个与...
漏洞分类训练:NVD与CNNVD数据集处理与模型训练指南
CNNVD(China National Vulnerability Database of Information Security,中国国家信息安全漏洞库)是中国国家互联网应急中心(CNCERT/CC)建立的,它收录了国内外的软件漏洞信息,并提供中文描述。NVD和CNNVD...
Apache Struts2(S2-045)漏洞升级指南
03-07
这一漏洞的编号为 **CNNVD-201703-152**。 #### 二、漏洞触发原理 在**Apache Struts2** 的**Jakarta Multipart Parser** 插件中,当用户提交包含文件的表单时,插件会解析`Content-Type`字段来确定如何处理这些...
安全漏洞概念及分类
11-21
本文是一个安全漏洞相关的科普,介绍安全漏洞的概念认识,漏洞在几个维度上的分类及实例展示。
cnnvddatabase.rar
07-19
包含截至到2019-7-18日的cnnvd漏洞漏洞信息,同时包含python3代码一份 运行时修改两个参数即可,自己写的代码,比较垃圾,单个程序爬取速度大概半小时1万条,可以多开
cnnvd爬虫,仅供学习参考。
07-16
# -*- coding:utf-8 -*- import sys #print (u'系统默认编码为',sys.getdefaultencoding()) default_encoding = 'utf-8' #重新设置编码方式为uft-8 if sys.getdefaultencoding() != default_encoding: reload(sys) sys.setdefaultencoding(default_encoding) #print (u'系统默认编码为',sys.getdefaultencoding()) import requests from bs4 import BeautifulSoup import traceback import re import xlwt def getURLDATA(url): #url = 'http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-1014' header={ 'user-agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.80 Safari/537.36', 'Connection': 'keep-alive',} r=requests.get(url,headers=header,timeout=30) #r.raise_for_status()抛出异常 html = BeautifulSoup(r.content.decode(),'html.parser') link=html.find(class_='detail_xq w770')#漏洞信息详情 link_introduce=html.find(class_='d_ldjj')#漏洞简介 link_others=html.find_all(class_='d_ldjj m_t_20')#其他 #print(len(link_introduce)) try: #print ("危害等级:"+link.contents[3].contents[3].find('a').text.lstrip().rstrip())#危害等级 list4.append(str(link.contents[3].contents[3].find('a').text.lstrip().rstrip())) except: #print("危害等级:is empty") list4.append("") try: #print ("CVE编号:"+link.contents[3].contents[5].find('a').text.lstrip().rstrip())#CVE编号 list5.append(str(link.contents[3].contents[5].find('a').text.lstrip().rstrip())) except: #print("CVE编号:is empty") list5.append("") try: #print ("漏洞类型:"+link.contents[3].contents[7].find('a').text.lstrip().rstrip())#漏洞类型 list6.append(str(link.contents[3].contents[7].find('a').text.lstrip().rstrip())) except : #print("漏洞类型:is empty") list6.append("") try: #print ("发布时间:"+link.contents[3].contents[9].find('a').text.lstrip().rstrip())#发布时间 list7.append(str(link.contents[3].contents[9].find('a').text.lstrip().rstrip())) except : #print("发布时间:is empty") list7.append("") try: #print ("威胁类型:"+link.contents[3].contents[11].find('a').text.lstrip().rstrip())#威胁类型 list8.append(str(link.contents[3].contents[11].find('a').text.lstrip().rstrip())) except : #print("威胁类型:is empty") list8.append("") try: #print ("更新时间:"+link.contents[3].contents[13].find('a').text.lstrip().rstrip())#更新时间 list9.append(str(link.contents[3].contents[13].find('a').text.lstrip().rstrip())) except : #print("更新时间:is empty") list9.append("") try: #print ("厂商:"+link.contents[3].contents[15].find('a').text.lstrip().rstrip())#厂商 list10.append(str(link.contents[3].contents[15].find('a').text.lstrip().rstrip())) except: #print("厂商:is empty") list10.append("") #link_introduce=html.find(class_='d_ldjj')#漏洞简介 try: link_introduce_data=BeautifulSoup(link_introduce.decode(),'html.parser').find_all(name='p') s="" for i in range(0,len(link_introduce_data)): ##print (link_introduce_data[i].text.lstrip().rstrip()) s=s+str(link_introduce_data[i].text.lstrip().rstrip()) #print(s) list11.append(s) except : list11.append("") if(len(link_others)!=0): #link_others=html.find_all(class_='d_ldjj m_t_20') #print(len(link_others)) try: #漏洞公告 link_others_data1=BeautifulSoup(link_others[0].decode(),'html.parser').find_all(name='p') s="" for i in range(0,len(link_others_data1)): ##print (link_others_data1[i].text.lstrip().rstrip()) s=s+str(link_others_data1[i].text.lstrip().rstrip()) #print(s) list12.append(s) except: list12.append("") try: #参考网址 link_others_data2=BeautifulSoup(link_others[1].decode(),'html.parser').find_all(name='p') s="" for i in range(0,len(link_others_data2)): ##print (link_others_data2[i].text.lstrip().rstrip()) s=s+str(link_others_data2[i].text.lstrip().rstrip()) #print(s) list13.append(s) except: list13.append("") try: #受影响实体 link_others_data3=BeautifulSoup(link_others[2].decode(),'html.parser').find_all('a',attrs={'class':'a_title2'}) s="" for i in range(0,len(link_others_data3)): ##print (link_others_data3[i].text.lstrip().rstrip()) s=s+str(link_others_data3[i].text.lstrip().rstrip()) #print(s) list14.append(s) except: list14.append("") try: #补丁 link_others_data3=BeautifulSoup(link_others[3].decode(),'html.parser').find_all('a',attrs={'class':'a_title2'}) s="" for i in range(0,len(link_others_data3)): ##print (link_others_data3[i].t
个人报CNVD和CNNVD披露漏洞教程
m0_59598029的博客
09-12 5645
随着越来越多关注漏洞披露对于企业和应用所带来的影响,通过国内平台披露漏洞也越来越受到关注。不同平台上披露漏洞的流程有所不同,刚好借此机会进行总结。
【愚公系列】2023年06月 网络安全高级班 082.CNVD原创漏洞证书(审核处置与证书颁发)
时光隧道
06-02 9076
CNVD 漏洞主要分为事件型漏洞和通用型漏洞。事件型漏洞指由某个单位具体管理的网站系统或业务系统存在的安全漏洞。通用型漏洞(通用软硬件漏洞)指通用框架、组件、应用程序、设备等软硬件产品存在的安全漏洞
常见漏洞类型汇总
走马观花
03-19 6228
http://www.cnvd.org.cn/publish/main/78/2012/20120924161917256776912/20120924161917256776912_.html 一、SQL注入漏洞           SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略
cnvd与cnnvd区别_漏洞都是怎么编号的CVE/CAN/BUGTRAQ/CNCVE/CNVD/CNNVD
weixin_39709194的博客
01-26 3100
在一些文章和报道中常常提到安全漏洞CVE-1999-1046这样的CVE开头的漏洞编号,这篇文章将常见的漏洞ID的表示方法做下介绍:1、以CVE开头,如CVE-1999-1046这样的CVE 的英文全称是“Common Vulnerabilities & Exposures”公共漏洞和暴露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个...
信息安全网络安全漏洞防护技术原理与应用
2201_75362610的博客
02-29 1625
攻击者基于漏洞网络系统安全构成的安全威胁主要有:敏感信息泄露、非授权访问、 身份假冒、拒绝服务。漏洞时刻威胁着网络系统的安全,要实现网络系统安全,关键问题之一就是解决漏洞问题,包括漏洞检测、漏洞修补、漏洞预防等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

方寸明光

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值