2017.W28 - 进入世界的门票 > 强者随着你的等级会有不一样的定义 ## 前言 ## 上礼拜跟朋友聚会的时候 聊到了在资安界有很多强者大大 但随着自己等级 (所学的内容) 提升 以前的大大似乎不是那麽强(?) 感觉就真在猎人中 猎人试炼遇到的新人杀手 根本就是个串场人物 而已经强到爆炸的蚁人篇 居然也只有等级 B 而已 连进入到黑暗大陆也只是 A 级难度而已 ## 内容 ## 在资安圈子内 会有很多基本的概念需要了解 就跟猎人十条之二 猎人必须具备最低限度的武之心得，所谓最低限度即是念的修得。 如果有些东西不知道 在这圈子内可能会被当作是新人等级 CVE (Common Vulnerabilities and Exposures)[0] 是一个通用漏洞整理的地方 各种常见、不常见的产品安全性漏洞 都可以找到一个 CVE 编号 这个编号用 CVE-[年份]-[流水号] 的方式表示 例如 CVE-2014-0160 就是 2014 年发现的漏洞 当年度(可能)的第 160 漏洞 但是对於没有熟记或者不熟悉 CVE 的人或许不了解这是哪一个安全性漏洞 但如果提到 HeartBleed 则大家都会想到知名的 OpenSSL 的记忆体泄漏问题 原则上来说 所有人都可以提报 CVE 但是需要原厂公司确认安全性漏洞 而在 MITRE 组织中有一个 CNA (CVE Numbering Authorities) 可以替自己的产品申请 CVE 编号 加快 CVE 的申请流程 另一个跟 CVE 很像的则是 CWE (Common Weakness Enumeration)[1] 这依然是 MITRE 杰作 用来分类各种安全性威胁 他可以藉由两种观点：安全研究员 与 开发人员 的角度来分类 像是 CWE-763 NULL Pointer Dereference[2] 则是一种潜在的安全性漏洞 代表存在这种问题的程式则会有 DoS 类型的安全性漏洞 [0]: https://cve.mitre.org/ [1]: https://cwe.mitre.org/index.html [2]: https://cwe.mitre.org/data/definitions/476.html --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.193.122.171 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1499785250.A.3E4.html