2.3.2 典型的漏洞库及其分类
1.国外的漏洞库
(1)NVD
2006年8月,为配合布什政府的国家网络安全战略,美国加强国家互联网和计算机基础设施建设,在原有“互联网可搜查漏洞索引ICAT”的基础上,建立了美国国家漏洞数据库,由国土安全部研究部署并提供建设资金,由美国国家标准技术研究院(NIST)负责技术开发和运维管理。NVD提供漏洞类型、严重程度、危害等级、软件名称、版本号,以及漏洞历史等相关统计信息,实际为一个混合资源库,囊括了美国政府所有公开漏洞资源,并提供参考索引。
NVD的主要漏洞类型有代码注入(Code Inject1On)、缓冲错误(Buffer Error)、跨站脚本(cross-site Scripting(XSS))、权限许可和访问控制(Permissions Privileges and Access Control)、配置(Configuration)、路径游历(Path Traversal)、数字错误(Numeric Error)、SQL注入(SQL Injection)、输入验证(Input Validation)、授权问题(Authentication Issues)、跨站请求伪造(Cross-Site Request Forgery(CSRF))、资源管理错误(Resource Management Errors)、信任管理(Credentials Management)、加密问题(Cryptographic Issues)、信息泄露(Information Leak/Disclosure)、竞争条件(Race Condition)、后置链接(Link Following)、格式化字符串(Format String Vulnerability)、操作系统命令注入(OSCommand Injections)、设计错误(Design Error)、信息不足(Insufficient Informa-tion)。
(2)Bug Traq
Bug Traq是安全公司Security Focus建立的网络黑客社区,坚持全面曝光各种类型的漏洞,曾经抢先公布历史上最臭名昭著的病毒或软件漏洞,2002年该公司被赛门铁克收购。Bug Traq不提供漏洞等级划分,但对漏洞类型做出了划分。
Bug Traq的主要漏洞类型有输入验证错误(Input Validation Error)、边界条件错误(Boundary Condition Error)、处理异常条件失败(Failure to Handle Exceptional Conditions)、设计错误(Design Error)、访问验证错误(Access Validation Error)、配置错误(Configuration Error)、竞争条件错误(Race Condition Error)、环境错误(Environment Error)、源验证错误(Origin Validation Error)、序列化错误(Serialization Error)、原子错误(Atomicity Error)、未知(Unknown)。
(3)Secunia
Secunia是丹麦知名互联网安全公司,成立于2002年,作为一家独立的漏洞信息披露方,Secunia的漏洞信息并不来自外部资源,而是来自内容研究。其安全漏洞评级分为非重要、次重要、一般重要、重要、极其重要5级。
Secunia的主要漏洞类型有暴力破解(Brute Force)、跨站脚本(Cross Site Scripting)、拒绝服务(DoS)、敏感信息泄露(Exposure of Sensitive Information)、系统信息泄露(Exposure of System Information)、劫持(Hijacking)、数据操纵(Manipulation of Data)、权限提升(Privilege Escalation)、绕过安全机制(Security Bypass)、欺骗(Spoofing)、系统访问(System access)、未知(Unknown)。
(4)ISS X-Force
IBM公司2006年10月收购互联网安全系统公司ISS后,进行了全面整合,提供安全产品与安全服务,包括MMS安全服务、IPS和企业漏洞扫描。X-Force对多种产品及技术开展安全研究,并监控安全环境和恶意软件。1996年,X-Force开始将研究发现以安全通告的形式发布在其数据库中,其漏洞风险程度分为高、中、低三档。
ISS主要漏洞类型有绕过安全机制(Bypass Security)、数据操纵(Data Maipulation)、拒绝服务(Denial of Service)、文件操纵(File Manipulation)、获得访问权限(Gain Access)、获得权限(Gain Privileges)、获得信息(Obtain Information)、其他(Other)。其中,获得访问权限包括获得远程和本地的访问以及执行代码或命令的权限。获得权限是指获得本地系统权限。
2.国内的漏洞库
(1)中国国家信息安全漏洞库
中国国家信息安全漏洞库(China National Vulnerability Database of Information Security,CNNVD)是由中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家级信息安全漏洞库。CNNVD针对漏洞发现、流通和修复等环节建立了全方位、多层次的数据收集渠道,目前CNNVD数据库涵盖了补丁、受影响产品、安全事件等各类相关数据,面向国家、行业和公众提供灵活多样的信息安全数据服务。
CNNVD根据漏洞形成原因,将漏洞分为22种类型,包括:代码注入、缓冲区溢出、跨站脚本、权限许可和访问控制、配置错误、路径遍历、数字错误、SQL注入、输入验证、授权问题、跨站请求伪造、资源管理错误、信任管理、加密问题、信息泄露、竞争条件、格式化字符串、操作系统命令注入、后置链接、设计错误、资料不足、其他。
(2)国家信息安全漏洞共享平台
国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD)是由国家互联网应急中心联合国家信息技术安全研究中心发起,联合国内信息安全漏洞研究机构、厂商以及多家重要信息系统单位、电信运营企业、互联网企业和软件厂商共同成立的漏洞库共建共享组织。截至2010年年底,CNVD共收集整理漏洞信息28 942条,其中,高危漏洞12 982个,收集补丁信息206条,验证可利用远程攻击代码2 456个,发布漏洞公告46期。
CNVD根据漏洞的产生原因将漏洞类型分为输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。