CWE(常见弱点枚举)和CVE(常见漏洞和暴露)之间有什么区别?它们的用法有何不同?
答案 0 :(得分:12)
CVE:特定软件包中的漏洞。例如CVE-2013-3527:香草论坛中的SQL注入
CWE:可能导致漏洞的弱点类别。例如CWE-89:SQL注入
答案 1 :(得分:1)
CVE(常见漏洞和披露)通常由以下组成:
借助CVE,我们可以了解有关漏洞的基本信息,我们还可以使用CVSS分数评估批评程度。 CVSS得分是通过一些向量计算得出的,得分在0到10之间给出了批评。 CVSS有一个时间得分。该分数给出了临界度随时间的变化。例如,如果今天没有修补漏洞,那么时间得分将很高。但是,如果明天提供补丁,则时间得分将降低。
CWE是一种漏洞。从理论上讲,所有漏洞都可以由CWE确认。例如,如果漏洞因果关系是XSS(跨站点脚本),则定义它的CWE将为“ CWE-79”。可以在这里找到所有这些CWE及其描述:https://cwe.mitre.org/index.html
答案 2 :(得分:-1)
软件缺陷是可能导致软件漏洞的错误。软件漏洞(例如常见漏洞和披露(CVE)列表中列举的漏洞)是软件中的错误,黑客可以直接使用该漏洞来访问系统或网络。