漏洞分类的一点想法
转载请注明来源:http://www.cnblogs.com/phoenix--
以http://www.wooyun.org/bugs/wooyun-2012-012570为例,该漏洞被划分为“敏感信息泄露”
个人认为,这个漏洞其实应该归为“配置不当”
实际上,在很多情况下,我都发现有些漏洞的分类不是唯一的,往往可以同时被归为多个类别
特别是漏洞非常多的情况,混乱的分类不利于整理,也不方便后续的检索。
今天才想到原因:分类标准不一样
继续以上面的案例为例,“敏感信息泄露”是属于按结果分类,而“配置不当”是属于按原因分类。
如果需要清晰的对漏洞进行归类,可以先确定按“结果”还是“原因”分类。