CWE(Common Weakness Enumeration)和 CVE(Common Vulnerabilities and Exposures)有什么区别?它们的用法有什么区别?
问问题
6452 次
3 回答
13
CVE:特定软件包中的漏洞。例如 CVE-2013-3527:原版论坛中的 SQL 注入
CWE:可能导致漏洞的弱点类别。例如 CWE-89:SQL 注入
于 2013-07-21T11:33:18.590 回答
1
CVE(Common Vulnerabilities and Exposure)通常由以下部分组成:
- 一个 ID(例如:CVE-2020-1403);
- 漏洞描述;
- 一个CVSS分数(后面会讲);
- A CWE(漏洞的种类/家族);
- CPE 清单(受 CVE 影响的产品);
通过 CVE,我们可以了解有关漏洞的基本信息,我们还可以使用 CVSS 分数来评估批评度。CVSS 分数是用一些向量计算的,0 到 10 之间的分数给出了批评。CVSS 有一个时间分数。该分数给出了作为时间函数的临界值。例如,如果今天没有针对漏洞的补丁,则时间分数会很高。但是如果明天提供补丁,时间分数会降低。
CWE 是一种脆弱性。理论上,所有漏洞都可以通过 CWE 进行限定。例如,如果漏洞因果关系是 XSS(跨站点脚本),则定义它的 CWE 将是“CWE-79”。可以在此处找到所有这些 CWE 及其描述:https ://cwe.mitre.org/index.html
于 2020-09-21T10:21:29.057 回答
0
软件弱点是可能导致软件漏洞的错误。软件漏洞(例如常见漏洞和暴露 (CVE) 列表中列举的漏洞)是软件中的错误,黑客可以直接使用该漏洞访问系统或网络。
于 2014-02-10T03:57:12.407 回答