漏洞数据库

漏洞扫描

漏洞扫描只能去识别漏洞数据库中已知的漏洞。

在操作上只要是具备有良好网络知识的安全人员即可操作，在扫描成本上也是相对较低的。

 

渗透测试

渗透测试是比较有针对性的，是需要有专业的专家来进行测试工作的，在测试过程中也需要用到很多专业的工具，

优秀的渗透测试员是需要懂编程的，在测试中难免会需要编写脚本，修改攻击参数等。所以渗透测试在实际操作中是需要有专业技术能力的人才能做的，在成本耗费上也会更高一些。

 

 

Open Source Vulnerability Database(OSVDB)

http://osvdb.org/

 

 

NIST National Vulnerability Database

NVD - Home

 

 

Common Vulnerabilities and Exposures(CVE)Details

CVE security vulnerability database. Security vulnerabilities, exploits, references and more

 

https://www.bilibili.com/video/BV1Hh411Y7Kt?p=41&vd_source=23bbef1a0ed252d7aacda86a35631639

 

 

CVE Common Vulnerabilities&Exposures,通用漏洞披露

 

CNA CVE Numbering Authority,CVE编号机构

NVD National Vulnerability Database,美国国家漏洞数据库

CVSS Common Vulnerability Scoring System,通用漏洞评估系统

CWE Common Weakness Enumeration。。通用缺陷枚举

OWASP,Open Web Application Security Project(开放式Web应用程序安全项目)

 

CVE申请的那些事 - FreeBuf网络安全行业门户

 

 

 

CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。

CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。

使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，这样就使得CVE成为了安全信息共享的“关键字”。

如果在一个漏洞报告中指明的一个漏洞，如果有CVE名称，你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题。

 

 

 

 

分享几个cve漏洞库查询网站，自己在工作中经常用到

 

 

阿里云漏洞库

Tenable漏洞库(nessus)

https://www.tenable.com/cve/search

 

https://cve.mitre.org/cve/search_cve_list.html

 

NVD - Search and Statistics

 

 

安秉信息防泄密：最强大的网络安全“公司”：MITRE