信息安全技术 网络安全漏洞分类分级指南

liangxin
367 阅读6分钟

声明

本文是学习GB-T 30279-2020 信息安全技术 网络安全漏洞分类分级指南. 下载地址 http://github5.com/view/574而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

网络安全漏洞分类

概述

网络安全漏洞分类是基于漏洞产生或触发的技术原因对漏洞进行的划分,分类导图如图1所示。本标准采用树形导图对漏洞进行分类,首先从根节点开始,根据漏洞成因将漏洞归入某个具体的类别,如果该类型节点有子类型节点,且漏洞成因可以归入该子类型,则将漏洞划分为该子类型,如此递归,直到漏洞归入的类型无子类型节点或漏洞不能归入子类型为止。

  1. 网络安全漏洞分类导图

代码问题

概述

此类漏洞指网络产品或系统的代码开发过程中因设计或实现不当而导致的漏洞。

资源管理错误

此类漏洞指因对系统资源(如内存、磁盘空间、文件、CPU使用率等)的错误管理导致的漏洞。

输入验证错误

概述

此类漏洞指因对输入的数据缺少正确的验证而产生的漏洞。

缓冲区错误

此类漏洞指在内存上执行操作时,因缺少正确的边界数据验证,导致在其向关联的其他内存位置上执行了错误的读写操作,如缓冲区溢出、堆溢出等。

注入

概述

此类漏洞指在通过用户输入构造命令、数据结构或记录的操作过程中,由于缺乏对用户输入数据的正确验证,导致未过滤或未正确过滤掉其中的特殊元素,引发的解析或解释方式错误问题。

格式化字符串错误

此类漏洞指接收外部格式化字符串作为参数时,因参数类型、数量等过滤不严格,导致的漏洞。

跨站脚本

此类漏洞是指在WEB应用中,因缺少对客户端数据的正确验证,导致向其他客户端提供错误执行代码的漏洞。

命令注入

  1. 概述

此类漏洞指在构造可执行命令过程中,因未正确过滤其中的特殊元素,导致生成了错误的可执行命令。

  1. 操作系统命令注入

此类漏洞指在构造操作系统可执行命令过程中,因未正确过滤其中的特殊字符、命令等,导致生成了错误的操作系统执行命令。

  1. 参数注入

此类漏洞指在构造命令参数过程中,因未正确过滤参数中的特殊字符,导致生成了错误的执行命令。

代码注入

此类漏洞指在通过外部输入数据构造代码段的过程中,因未正确过滤其中的特殊元素,导致生成了错误的代码段,修改了网络系统或组件的预期的执行控制流。

SQL注入

此类漏洞指在基于数据库的应用中,因缺少对构成SQL语句的外部输入数据的验证,导致生成并执行了错误的SQL语句。

路径遍历

此类漏洞指因未能正确地过滤资源或文件路径中的特殊元素,导致访问受限目录之外的位置。

后置链接

此类漏洞指在使用文件名访问文件时,因未正确过滤表示非预期资源的链接或者快捷方式的文件名,导致访问了错误的文件路径。

跨站请求伪造

此类漏洞指在WEB应用中,因未充分验证请求是否来自可信用户,导致受欺骗的客户端向服务器发送非预期的请求。

数字错误

此类漏洞指因未正确计算或转换所产生数字,导致的整数溢出、符号错误等漏洞。

竞争条件问题

此类漏洞指因在并发运行环境中,一段并发代码需要互斥地访问共享资源时,因另一段代码在同一个时间窗口可以并发修改共享资源而导致的安全问题。

处理逻辑错误

此类漏洞是在设计实现过程中,因处理逻辑实现问题或分支覆盖不全面等原因造成。

加密问题

此类漏洞指未正确使用相关密码算法,导致的内容未正确加密、弱加密、明文存储敏感信息等问题。

授权问题

此类漏洞指因缺少身份验证措施或身份验证强度不足而导致的安全问题。

信任管理问题

此类漏洞是因缺乏有效的信任管理机制,导致受影响组件存在可被攻击者利用的默认密码或者硬编码密码、硬编码证书等问题

权限许可和访问控制问题

此类漏洞指因缺乏有效的权限许可和访问控制措施而导致的安全问题。

数据转换问题

此类漏洞是指程序处理上下文因对数据类型、编码、格式、含义等理解不一致导致的安全问题。

未声明功能

此类漏洞指通过测试接口、调试接口等可执行非授权功能导致的安全问题。例如,若测试命令或调试命令在使用阶段仍可用,则可被攻击者用于显示存储器内容或执行其它功能。

配置错误

概述

此类漏洞指网络系统、网络产品或组件在使用过程中因配置文件、配置参数等不合理导致的漏洞。

默认配置错误

此类漏洞指因默认不安全的配置状态而产生的漏洞。

环境问题

概述

此类漏洞指因受影响组件部署运行环境的原因导致的安全问题。

信息泄露

概述

此类漏洞是指在运行过程中,因配置等错误导致的受影响组件信息被非授权获取的漏洞。。

日志信息泄露

此类漏洞指因日志文件非正常输出导致的信息泄露。

调试信息泄露

此类漏洞指在运行过程中因调试信息输出导致的信息泄露。

侧信道信息泄露

此类漏洞是指功耗、电磁辐射、I/O 特性、运算频率、时耗等侧信道信息的变化导致的信息泄漏。

故障注入

此类漏洞是指通过改变运行环境(如温度、电压、频率等,或通过注入强光等方式)触发,可能导致代码、系统数据或执行过程发生错误的安全问题。

其他

暂时无法将漏洞归入上述任何类别,或者没有足够充分的信息对其进行分类,漏洞细节未指明。

延伸阅读

更多内容 可以点击下载 GB-T 30279-2020 信息安全技术 网络安全漏洞分类分级指南. http://github5.com/view/574进一步学习

联系我们

DB65-T 3986-2017 番茄酱单位产品能源消耗限额 新疆维吾尔自治区.pdf

avatar
文章
阅读
粉丝