是否有权威的漏洞分类?
是否有权威的漏洞分类?
提问于 2020-09-09 03:52:29
是否对漏洞进行了分类?
众所周知,存在着许多漏洞,如SQL注入漏洞、文件上传漏洞、文件包含漏洞、XSS漏洞、SSRF漏洞、XXE漏洞、数据库泄漏漏洞等。
但我没有找到权威的漏洞分类。
谁能对它们进行权威性的分类?例如关于Operation System / Web application / Networking的分类。在Web应用程序漏洞之下,应该有XSS/SSRF/XXE...。
回答 1
Security用户
回答已采纳
发布于 2020-09-09 04:21:52
您可以检查安全测试框架和方法;您提到的组属于(OWASP)。https://owasp.org/www-project-top-ten/
对于非web控制,如人力、物理、无线、电信和网络,您可以考虑OSSTMM框架。OWASP和OSSTMM都是安全测试方法;OWASP被认为是BlackBox测试,而OSSTMM是灰色盒测试。
例如,可以对漏洞进行评分。
- CVSS常见漏洞评分系统CWSS常见弱点评分系统CWE常见弱点枚举
请注意:在VAPT的任何测试实践结束时,您作为测试人员需要将评分系统包括在您的报告中,这样您就可以在即将到来的集成商的业务所有者之间对风险进行统一的理解。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/238098
复制相关文章
相似问题
腾讯云开发者
