网络技术漏洞分级指标
代码问题:代码开发设计产生的漏洞
资源管理错误:系统资源(内存、硬盘、cpu等)的错误管理
输入验证错误:缺少数据的正确形式验证
缓存区错误:缺少边界数据,缓存区溢出、堆溢出
注入:通过用户输入构造命令
格式化字符串错误:接收外部格式化字符串,导致格式化
跨站脚本:web应用中,接收错误的客户端数据,导致向其他客户端提供错误数据
命令注入:构成可执行命令中含有特殊元素,导致命令出错
代码注入:外部输入构成代码段含有特殊元素,导致整个代码出错
SQL注入:基于数据库,外部输入的SQL语句,导致数据库出错
路径遍历:未正确过滤文件路径中的特殊元素,导致访问权限外目录
后置链接:未正确过滤文件名中的链接或快捷方式,导致访问其他文件
跨站请求伪造:web应用中,未充分验证用户信息,导致客户端向服务端发送其他请求
数字错误:数字计算、转换错误,导致整数溢出、符号错误
竞争条件错误:两段代码并发访问同一空间资源,其中一段代码可修改资源
处理逻辑错误:设计代码逻辑问题时,问题思考不全面
加密问题:重要内容未加密、弱加密等
授权问题:
信任管理问题:其他受影响组件存在可被利用的默认密码、证书等
权限许可和访问控制问题:缺乏有效的访问许可、访问控制措施
数据转换问题:程序对上下文因数据类型、编码、格式等不一致处理
未声明功能:测试调试时使用的命令或接口
配置错误:项目的配置文件、参数、状态出错
环境问题:组件的部署环境出错
信息泄露:组件信息被非授权获取
日志信息泄露:日志文件非正常输出调试信息
调试信息泄露:调试信息错误输出
侧信道信息泄露:功耗、I/O、功耗等变化
故障注入:改变运行环境(温度、电压、注入强光等)导致出错
其他:无法分类的漏洞
网络综合漏洞分级指标
被利用性:
访问路径:触发路径时与受影响组件的接触程度
网络:普通网络远程触发
邻接:共享物理、逻辑网络
本地:本地环境
物理:物理接触、操作
触发要求:受影响组件在系统环境的版本、配置等
权限需求:触发问题所要求的用户权限
交互条件:自动触发、用户交互触发
影响程度:
保密性:信息的保密
完整性:组件功能的完整
可用性:使用的程度
环境因素:
被利用成本:信息、设备获取的程度
修复难度:修复漏洞的难度
影响范围:对环境的影响危害
网安网址:漏洞文档
https://www.wangan.com/docs/2116
国家标准信息网
https://openstd.samr.gov.cn/bzgk/gb/
