安全测试基础之CVE、CWE、CVSS

在很多安全测试相关的工具中，很多结果都会引用一个CVE或者CWE的编号，这个编号是什么？让我们一起研究探索一下吧。

01、CVE介绍

CVE概念

CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。

CVE产品背景

实时入侵检测和漏洞扫描评估的技术和产品很多，有时候每个产品对同一个漏洞的表述不一样，这个沟通起来就很费劲。

使用一个共同的名字----CVE，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些工具很难整合在一起。

CVE ID解析

CVE+年份+4位随机数字（也有5位数字的情况）

02、CWE介绍

CWE概念

CWE（CommonWeakness Enumeration）是社区开发的常见软件和硬件安全漏洞列表。它是一种通用语言，是安全工具的量尺，并且是弱点识别，缓解和预防工作的基准。

CWE与CVE比较

CWE涉及软件安全缺陷的方方面面。基本上可以认为CWE是所有漏洞的原理基础性总结分析，CVE中相当数量的漏洞的成因在CWE中都可以找到相应的条目。如在代码层、应用层等多个方面的缺陷，从CWE角度看，正是由于CWE的一个或多个缺陷，从而形成了CVE的漏洞。

03、CVSS介绍

CVSS概念

CVSS ： Common Vulnerability Scoring System，即“通用漏洞评分系统”，是一个“行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度”。

CVSS的目的是帮助人们建立衡量漏洞严重程度的标准，使得人们可以比较漏洞的严重程度，从而确定处理它们的优先级。CVSS得分基于一系列维度上的测量结果，这些测量维度被称为量度（Metrics）。漏洞的最终得分最大为10，最小为0。得分7~10的漏洞通常被认为比较严重，得分在4~6.9之间的是中级漏洞，0~3.9的则是低级漏洞。

所以通常来说，在安全测试中，CWE也好，CVE也好，7~10分的漏洞都是必须要修复的。

不过有一个地方，我目前也还没搞懂，在NVD（国家漏洞库）中，每个CVE都有一个CVSS评分，但是CWE的CVSS评分是怎么来的我还没搞清楚。例如，AppScan中，每个问题都对应有一个CWE ID和CVSS评分，不知道AppScan是如何给CWE评分的。