安全测试常用术语解释

安全测试中常用的术语整理如下：

1.CPE

CPE全称是Common Platform Enumeration，意思是通用平台枚举项。它是对识别出来的软件、操作系统和硬件的一种命名方式。它目前有2种格式，2.2和2.3，
2.2的格式如下：
　　cpe:/h:huawei:e200e-usg2100:v100r005c01
　　cpe:/<part>:<vendor>:<product>:<version>:<update>:<edition>:<language>
2.3的格式如下：
　　cpe:2.3:h:huawei:e200_usg2200:v200r003c00:*:*:*:*:*:*:*
　　cpe:<2.3>:<part>:<vendor>:<product>:<version>:<update>:<edition>:<language>

举一反三：

cpe:2.3:a:apache:log4j:2.14.1:*:*:*:*:*:*:*

　　其中，

part表示目标类型，允许的值有a（应用程序）、h（硬件平台）、o（操作系统）；

vendor表示厂商名字；

product表示产品名称；

version表示版本号；

update表示更新包；

edition表示版本；

language表示语言项。
这七项不一定每次都出现。例如，在cpe:/o:freebsd:freebsd:3.5.1中，part为o，表示操作系统类型；vendor为freebsd，表示向量类型为freebsd；product为freebsd，表示产品为FreeBSD；version为3.5.1，表示FreeBSD的版本号。

 

    2.CVSS 

Common Vulnerability Scoring System，即“通用漏洞评分系统”，是一个“行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度”。

CVSS是安全内容自动化协议（SCAP）[2]的一部分，通常CVSS同CVE一同由美国国家漏洞库（NVD）发布，由美国国家基础建设咨询委员会（NIAC）委托制作，是一套公开的评测标准，经常被用来评比企业资讯科技系统的安全性，并受到eBay、(Symantec)、思科(Cisco)、甲古文(Oracle)等众多厂商支援。

CVSS的目标是为所有软件安全漏洞提供一个严重程度的评级

这就意味着CVSS旨在为一个已知的安全漏洞的严重程度提供一个数值(分数)，而不管这个安全漏洞影响的软件类型是什么，不管它是操作系统、杀毒软件、数据库、邮件服务器、桌面还是商务应用程序。由于这个评分范围非常广，这个评分系统把能够完全攻破操作系统层的已知安全漏洞评为基准分数10.0分。换句话说，CVSS基准分数为10.0分的安全漏洞一般指能够完全攻破系统的安全漏洞，典型的结果是攻击者完全控制一个系统，包括操作系统层的管理或者“根”权限。例如，国家安全漏洞数据库中一个第三方产品中的这种安全漏洞被解释为，攻击者能够安装程序;观看、修改或者删除数据;或者创建拥有用户全部权利的新账户。

它的主要目的是帮助人们建立衡量漏洞严重程度的标准，使得人们可以比较漏洞的严重程度，从而确定处理它们的优先级。CVSS得分基于一系列维度上的测量结果，这些测量维度被称为量度（Metrics）。漏洞的最终得分最大为10，最小为0。得分7~10的漏洞通常被认为比较严重，得分在4~6.9之间的是中级漏洞，0~3.9的则是低级漏洞

 

3.CVE

CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。

CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。

如果在一个漏洞报告中指明的一个漏洞，如果有CVE名称，你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题

 

4.CWE（Common Weakness Enumeration，通用缺陷枚举）

 

5.NVD

NVD是美国国家计算机通用漏洞数据库（National Vulnerability Database，NVD）

https://nvd.nist.gov

 

6.CNVD

国家信息安全漏洞共享平台（China National Vulnerability Database，简称CNVD）

http://www.cnvd.org.cn/

 

7.CNNVD

中国国家信息安全漏洞库

http://www.cnnvd.org.cn/