漏洞评级标准

最新推荐文章于 2024-06-04 10:13:20 发布

weixin_33753003

最新推荐文章于 2024-06-04 10:13:20 发布

阅读量2.4k

点赞数 2

CC 4.0 BY-SA版权

文章标签：网络操作系统 json

原文链接：http://blog.51cto.com/3838120958/1609547

本文详细阐述了网络安全中漏洞的评级标准，分为高危、中危和低危三个级别，涉及权限获取、逻辑漏洞、信息泄漏、身份盗取、代码执行、拒绝服务等问题，并列举了各类漏洞的具体实例。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

一、高危安全问题

1.1 直接获取权限的漏洞（服务器权限、重要产品客户端权限）包括但不限于：

远程任意命令执行。
文件上传获取Webshell。
代码执行，远程缓冲区溢出。
可利用的 ActiveX 堆栈溢出。
SQL注入获取系统权限。
服务器解析漏洞。
文件包含漏洞。
可利用浏览器use after free漏洞。
远程内核代码执行漏洞以及其他因逻辑问题导致的远程代码执行漏洞。

1.2 严重的逻辑漏洞，包括但不限于：

任意账号登录。<

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_33753003

关注关注

2
点赞
踩
4

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

软件代码漏洞风险等级

oscar999的专栏

07-09

895

代码漏洞的风险等级通常根据漏洞的潜在影响、利用难易程度以及可能造成的损害程度来划分。不同的组织或机构可能会采用不同的标准或评分系统来评估漏洞的风险等级。

漏洞的分类

weixin_30882895的博客

03-09

1147

漏洞的分类当前游戏漏洞方面还没有权威的定义和分类方法，不同的人可能会有不同的分类方式，比如有些人喜欢按游戏玩法模块来划分漏洞，把漏洞分为任务系统漏洞、战队系统漏洞、对战系统漏洞等等。游戏安全实现室定位还是希望走纯技术交流的专业路线。所以这里所说的分类方法主要是从技术角度来分析漏洞形成的原因，进行归纳总结出来的分类方法，仅供大家参考。 1.外挂功能漏洞外挂功能漏洞主要是指对游戏核心玩法的游...

参与评论您还未登录，请先登录后发表或查看评论

国家标准 | GB∕T 30276-2020 信息安全技术网络安全漏洞管理规范

RCC_runcheng的博客

12-18

3578

国家标准 | GB∕T 30276-2020 信息安全技术网络安全漏洞管理规范润成等保测评 12-18 16:36 近日，《GB∕T 30276-2020 信息安全技术网络安全漏洞管理规范》发布，该标准替代了《GB/T 30276-2013 信息安全技术信息安全漏洞管理规范》。本标准规定了网络安全漏洞管理流程各阶段（包括漏洞发现和报告、接收、验证、处置、发布、跟踪等）的管理流程、管理要求以及证实方法。本标准适用于网络产品和服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织等开展的网络安全

一些漏洞相关标准

热门推荐

whatday的专栏

09-05

1万+

漏洞等级采用CVSS 2.0标准的评分原则，对单个漏洞进行基本向量评分。CVSS : Common Vulnerability Scoring System，即“通用漏洞评分系统”，是一个“行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度”。 CVSS系统对所有漏洞按照从0.0至10.0的级别进行评分，其中，10.0表示最高安全风险。在CVSS系统中获得0.0...

信息服务上线渗透检测网络安全检查报告和解决方案4(网站风险等级评定标准、漏洞危害分级标准、漏洞安全建议)

cc123489ll的博客

05-24

1128

漏洞扫描是指对网络应用、服务器等进行全面的安全检测，以发现其中存在的安全漏洞，从而及时修复，确保网络系统的安全性。一种常见的漏洞扫描方法是黑盒测试，即对系统进行模拟攻击来发现潜在的漏洞风险。以下是一些常用的扫描工具：Nessus：开源的漏洞扫描工具，可用于扫描多种操作系统和应用程序漏洞，并提供了详细的用户和管理员报告。Acunetix：自动化的漏洞扫描工具，支持扫描 Web 应用、网络、API 等，能够发现多种漏洞类型。

「网络安全常用术语解读」漏洞利用预测评分系统EPSS详解

所有成功的背后，都是痛苦的坚持，所有的痛苦，都是傻瓜般的不放弃!

05-06

2401

EPSS（Exploit Prediction Scoring System，漏洞利用预测评分系统）提供了一种全新的高效、数据驱动的漏洞管理功能。EPSS是一项数据驱动的工作，使用来自 CVE 的当前威胁信息和现实世界的漏洞数据。EPSS 模型产生 0 到 1（0 到 100%）之间的概率分数，其中分数越高，漏洞被利用的概率越大。

一文搞懂漏洞严重程度分析

明光札记

11-29

3478

漏洞的级别定义主要从两个维度进行判断；1、可利用性2、影响性。

安全漏洞概念及分类

11-21

考虑漏洞依赖的相关指标计算

weixin_43915129的博客

08-10

848

在计算攻击图评估指标的时候，通常会用到CVSS得分，但这往往会导致漏洞信息的缺失。我们往往只关心这个漏洞的得分是多少，然后直接使用这个得分计算，而忽视了实际的网络拓扑环境，这是不合理的，本文提出了一种评估漏洞之间依赖关系的方法。...

DVWA上传漏洞实践（不同级别）

过客璇璇的博客

03-24

5332

DVWA上传漏洞实践（不同级别） Low级别先上传一个php文件试试发现直接就上传成功了应该是没有对文件格式做任何过滤吧打开源码看一下 <?phpif(isset($_POST['Upload'])){ //Wherearewegoingtobewritingto?$target_path=DVWA_WEB...

漏洞系列之——CSRF

LizePing_的博客

07-03

475

了解CSRF漏洞描述漏洞等级漏洞危害漏洞检测方法漏洞修复方案漏洞描述跨站请求伪造 (Cross-Site Request Forgery, CSRF)，也被称为 One Click Attack 或者 Session Riding ，通常缩写为CSRF，是一种对网站的恶意利用。尽管听起来像XSS，但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。漏洞等级高危漏洞危害以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账

常见漏洞类型汇总

A_991128a的博客

06-17

1277

SQL注入攻击（SQL Injection），简称注入攻击、SQL注入，被广泛用于非法获取网站控制权，是发生在应用程序的数据库层上的安全漏洞。在设计程序，忽略了对输入字符串中夹带的SQL指令的检查，被数据库误认为是正常的SQL指令而运行，从而使数据库受到攻击，可能导致数据被窃取、更改、删除，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。（1）表单提交，主要是POST请求，也包括GET请求；（2）URL参数提交，主要为GET请求参数；（3）Cookie参数提交；

网络漏洞分类

积极分子

07-22

8192

一、适用范围适用于威胁检测功能收录的所有漏洞，包括收集的公开漏洞以及收录的未公开漏洞。二、漏洞类型威胁信息安全漏洞划分为40种类型，分别是：缓冲区溢出、跨站脚本、DOS攻击、扫描、SQL注入、木马后门、病毒蠕虫、web攻击、僵尸网络、跨站请求伪造、文件包含、文件读取、目录遍历攻击、敏感信息泄露、暴力破解、代码执行漏洞、命令执行、弱口令、上传漏洞利用、webshell利用、配置不当/错误、逻辑/涉及错误、非授权访问/权限绕过、URL跳转、协议异常、网络钓鱼、恶意广告、网络欺骗、间谍软件、浏览器劫持、键盘

网络安全常见十大漏洞总结（原理、危害、防御）_网络安全常见漏洞类型

m0_61869253的博客

09-09

1235

安全漏洞分类之CNNVD漏洞分类指南

明光札记

11-30

8239

凡是被国家信息安全漏洞库（CNNVD）收录的漏洞，均适用此分类规范，包括采集的公开漏洞以及收录的未公开漏洞，通用型漏洞及事件型漏洞。CNNVD将信息安全漏洞划分为26种类型，分别是：配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误、资料不足。

Bugcrowd漏洞评级分类法(VRT)：安全漏洞的优先级基准

Bugcrowd是其中的一个主要参与者，它提供了一个名为'漏洞等级分类法（Vulnerability Rating Taxonomy, VRT）'的框架，该框架旨在帮助安全研究人员和组织对安全漏洞进行优先级排序和分类。Bugcrowd的VRT不仅是一个...