第1章-滲透測(cè)試基礎(chǔ)

滲透測(cè)試和漏洞基礎(chǔ)知識(shí)目錄/CONTENTS滲透測(cè)試漏洞簡(jiǎn)介：滲透測(cè)試并沒有一個(gè)標(biāo)準(zhǔn)的定義，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC，NationalCyberSecurityCentre）對(duì)滲透測(cè)試的定義如下：滲透測(cè)試是一種通過使用與攻擊者相同的工具和技術(shù)來(lái)嘗試破壞IT（InformationTechnology，信息技術(shù)）系統(tǒng)的部分或全部安全性，以獲得該系統(tǒng)的安全性保證的方法。滲透測(cè)試定義目的：滲透測(cè)試旨在識(shí)別計(jì)算機(jī)系統(tǒng)的弱點(diǎn)（也稱為漏洞），即未授權(quán)方訪問系統(tǒng)功能和數(shù)據(jù)的潛在威脅。滲透測(cè)試可以幫助確定防御是否充足，并確定哪些已有防御措施容易被破壞。滲透測(cè)試定義起源：滲透測(cè)試（PenetrationTest）是保證計(jì)算機(jī)系統(tǒng)安全性的關(guān)鍵環(huán)節(jié)。我們從了解滲透測(cè)試的起源開始，逐步探索這個(gè)信息安全專業(yè)詞匯背后的意義。滲透測(cè)試的起源滲透測(cè)試并沒有嚴(yán)格的分類方法，根據(jù)滲透實(shí)踐方式，普遍認(rèn)同的一種分類方法包括：黑盒測(cè)試、白盒測(cè)試和灰盒測(cè)試。滲透測(cè)試分類黑盒測(cè)試：黑盒測(cè)試只能通過外部網(wǎng)絡(luò)遠(yuǎn)程對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行滲透，信息通常通過DNS、網(wǎng)頁(yè)以及各種公開渠道來(lái)獲取。滲透測(cè)試分類白盒測(cè)試：白盒測(cè)試中滲透測(cè)試團(tuán)隊(duì)能夠提前獲得網(wǎng)絡(luò)拓?fù)洹?nèi)部數(shù)據(jù)、源代碼等內(nèi)部信息，也可以和被測(cè)方相關(guān)人員進(jìn)行溝通。滲透測(cè)試分類灰盒測(cè)試：灰盒測(cè)試中滲透測(cè)試團(tuán)隊(duì)從外部對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行滲透的過程中，需要結(jié)合其所擁有的網(wǎng)絡(luò)拓?fù)涞葍?nèi)部信息，選擇能夠評(píng)估目標(biāo)系統(tǒng)安全性的最佳測(cè)試方法。滲透測(cè)試分類安全業(yè)界存在多種執(zhí)行滲透測(cè)試的標(biāo)準(zhǔn)框架和方法。其中，PTES（PenetrationTestingExecutionStandard）滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)是業(yè)界普遍認(rèn)同的一套標(biāo)準(zhǔn)化滲透測(cè)試方法，包括以下7個(gè)階段。滲透測(cè)試框架PTES1.前期交互階段：前期交互階段中滲透測(cè)試團(tuán)隊(duì)通過與客戶進(jìn)行溝通，來(lái)確定滲透測(cè)試的范圍、目標(biāo)以及其他合同的細(xì)節(jié)等。定義測(cè)試范圍定義測(cè)試范圍是完成一次成功的滲透測(cè)試的基礎(chǔ)，這一過程中需明確滲透測(cè)試的具體邊界，該過程的疏忽可能造成極為嚴(yán)重的后果，如范圍蔓延、客戶不滿意甚至法律糾紛。規(guī)劃測(cè)試目標(biāo)規(guī)劃測(cè)試目標(biāo)需要測(cè)試團(tuán)隊(duì)分析客戶的業(yè)務(wù)結(jié)構(gòu)和需求，規(guī)劃測(cè)試任務(wù)的主要和次要目標(biāo)明確時(shí)間度量明確時(shí)間度量時(shí)通常會(huì)以預(yù)估的測(cè)試周期為基準(zhǔn)，增加20%的額外時(shí)間，為測(cè)試中的突發(fā)狀況提供緩沖。滲透測(cè)試框架PTES2.情報(bào)搜集階段：情報(bào)搜集階段中滲透測(cè)試團(tuán)隊(duì)通過各種信息來(lái)源與信息搜集方法，嘗試獲取更多與目標(biāo)組織有關(guān)的信息，包括網(wǎng)絡(luò)拓?fù)?、系統(tǒng)配置以及部署的安全防御措施等。情報(bào)搜集方法情報(bào)搜集階段可以使用的方法包括公開信息查詢、GoogleHacking、社會(huì)工程學(xué)、網(wǎng)絡(luò)踩點(diǎn)、掃描探測(cè)、被動(dòng)監(jiān)聽、服務(wù)查點(diǎn)等。情報(bào)搜集作用對(duì)目標(biāo)系統(tǒng)的情報(bào)搜集能力是滲透團(tuán)隊(duì)一項(xiàng)非常重要的技能，在此階段獲取的信息越多，后續(xù)階段可使用的攻擊手段也就越多。因此情報(bào)搜集是否充分在很大程度上決定了滲透測(cè)試的成敗，遺漏某些關(guān)鍵信息可能導(dǎo)致測(cè)試人員在后續(xù)工作中一無(wú)所獲。

滲透測(cè)試框架PTES3.威脅建模階段：威脅建模階段中滲透測(cè)試團(tuán)隊(duì)使用在情報(bào)搜集階段獲取到的信息來(lái)制定攻擊計(jì)劃。該階段需要對(duì)目前的情報(bào)進(jìn)行詳細(xì)的分析，識(shí)別出目標(biāo)系統(tǒng)中可能存在的安全缺陷，從而確定最為可行的滲透攻擊通道。威脅建模階段通常從業(yè)務(wù)資產(chǎn)、業(yè)務(wù)流程、人員社區(qū)等角度，識(shí)別其可能存在的威脅并進(jìn)行建模。在威脅模型建立之后，滲透攻擊的途徑也就基本確定。在后續(xù)的攻擊驗(yàn)證過程中，依然會(huì)伴隨著信息的收集和威脅模型的調(diào)整。滲透測(cè)試框架PTES4.漏洞分析階段：漏洞分析階段中滲透測(cè)試團(tuán)隊(duì)通過各種手段發(fā)現(xiàn)系統(tǒng)漏洞，并分析如何通過漏洞獲取目標(biāo)系統(tǒng)的訪問控制權(quán)。該階段需要分析前期的漏洞情報(bào)，并對(duì)一些關(guān)鍵的系統(tǒng)服務(wù)進(jìn)行安全漏洞探測(cè)，查找已知和未知的安全漏洞。滲透人員可以利用公開的滲透代碼資源，或開發(fā)攻擊代碼，在實(shí)驗(yàn)環(huán)境中進(jìn)行驗(yàn)證。漏洞分析時(shí)滲透測(cè)試團(tuán)隊(duì)首先應(yīng)該明確漏洞分析的尺度。一般來(lái)說(shuō)，滲透測(cè)試要求盡可能多地發(fā)現(xiàn)目標(biāo)系統(tǒng)中存在的漏洞，在授權(quán)范圍內(nèi)保證發(fā)現(xiàn)漏洞的廣度。其中大部分漏洞通常只需要證明其存在即可，不需要再進(jìn)行深入的漏洞利用。滲透測(cè)試框架PTES5.滲透攻擊階段：滲透攻擊階段中滲透測(cè)試團(tuán)隊(duì)利用之前發(fā)現(xiàn)的安全漏洞對(duì)目標(biāo)系統(tǒng)實(shí)施正式的入侵。滲透攻擊是滲透測(cè)試中的關(guān)鍵環(huán)節(jié)，該階段需要通過繞過目標(biāo)系統(tǒng)的安全限制來(lái)獲取目標(biāo)系統(tǒng)的訪問控制權(quán)限，同時(shí)需要以系統(tǒng)中最有價(jià)值的信息作為目標(biāo)。真實(shí)場(chǎng)景中的滲透攻擊在真實(shí)場(chǎng)景中，系統(tǒng)往往會(huì)采用多種安全防御措施來(lái)提高安全性，測(cè)試團(tuán)隊(duì)則需要根據(jù)目標(biāo)系統(tǒng)的特性來(lái)定制滲透攻擊方法，對(duì)系統(tǒng)的安全防御措施進(jìn)行規(guī)避或破壞。滲透測(cè)試框架PTES6.后滲透攻擊階段：后滲透攻擊階段，滲透測(cè)試團(tuán)隊(duì)在進(jìn)行滲透攻擊取得目標(biāo)系統(tǒng)的控制權(quán)之后，實(shí)施進(jìn)一步的攻擊行為。該階段需要根據(jù)目標(biāo)組織的業(yè)務(wù)結(jié)構(gòu)和資產(chǎn)管理形式等，來(lái)確定進(jìn)一步攻擊的目標(biāo)，以對(duì)目標(biāo)組織的重要業(yè)務(wù)進(jìn)行更深入的破壞。后門植入后門植入是為了維持對(duì)目標(biāo)系統(tǒng)的訪問權(quán)限，以進(jìn)行長(zhǎng)久地控制。權(quán)限提升權(quán)限提升是指如果當(dāng)前權(quán)限不是系統(tǒng)最高權(quán)限，還應(yīng)該繼續(xù)進(jìn)行權(quán)限的提升，以獲取更多重要系統(tǒng)資源的訪問控制權(quán)。內(nèi)網(wǎng)拓展內(nèi)網(wǎng)拓展是利用已獲得控制權(quán)的服務(wù)器對(duì)其所在的內(nèi)網(wǎng)環(huán)境進(jìn)行滲透，通常內(nèi)網(wǎng)中的安全防護(hù)相對(duì)較低，能夠獲取更多重要信息。滲透測(cè)試框架PTES7.報(bào)告階段報(bào)告階段中滲透測(cè)試團(tuán)隊(duì)匯總之前所有測(cè)試階段中的信息，提交給客戶并取得認(rèn)可。滲透測(cè)試報(bào)告通常包括執(zhí)行摘要和技術(shù)報(bào)告兩個(gè)部分，以面向不同受眾傳達(dá)測(cè)試的目標(biāo)、方法和結(jié)果。受眾執(zhí)行摘要的受眾是安全監(jiān)管人員和可能受到已識(shí)別威脅影響的組織成員，主要包括測(cè)試背景、已發(fā)現(xiàn)問題概述、總體風(fēng)險(xiǎn)評(píng)估以及對(duì)解決方案的建議等。報(bào)告內(nèi)容技術(shù)報(bào)告?zhèn)鬟_(dá)測(cè)試的技術(shù)細(xì)節(jié)以及前期商定的關(guān)鍵指標(biāo)的各個(gè)方面，這一部分需要詳細(xì)描述測(cè)試的范圍、信息、攻擊路徑、影響和修復(fù)建議，包括情報(bào)搜集、漏洞分析、滲透攻擊和后滲透攻擊等各個(gè)階段的過程和結(jié)果，以及對(duì)已識(shí)別風(fēng)險(xiǎn)的更細(xì)致評(píng)估。滲透測(cè)試報(bào)告應(yīng)以積極的指導(dǎo)結(jié)尾，以支持客戶未來(lái)安全計(jì)劃的進(jìn)展。滲透測(cè)試框架PTES目錄/CONTENTS滲透測(cè)試漏洞漏洞是一種可存在于硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或者系統(tǒng)安全策略上的缺陷，攻擊者能夠利用漏洞達(dá)到在未授權(quán)的情況下訪問或破壞系統(tǒng)的惡意目的。維基百科對(duì)漏洞的定義如下：漏洞，即脆弱性（Vulnerability），是指計(jì)算機(jī)系統(tǒng)安全方面的缺陷，使得系統(tǒng)或其應(yīng)用數(shù)據(jù)的保密性、完整性、可用性、訪問控制等面臨威脅。漏洞定義漏洞來(lái)源從安全攻防角度而言，比較典型的漏洞生命周期一般包括7個(gè)部分：漏洞生命周期1.安全漏洞研究與挖掘：是一種通過滲透測(cè)試技術(shù)預(yù)先發(fā)現(xiàn)軟件潛在安全漏洞的過程，主要分為兩大部分：漏洞代碼的粗定位粗定位側(cè)重于全面，旨在發(fā)現(xiàn)被分析程序中所有可能存在安全漏洞的代碼位置；粗定位可通過補(bǔ)丁對(duì)比等技術(shù)實(shí)現(xiàn)，對(duì)比對(duì)象包括二進(jìn)制文本、匯編指令以及程序控制流圖（Control-FlowGraph，CFG）等。漏洞生命周期漏洞代碼的精確定位精確定位側(cè)重于精準(zhǔn)，旨在通過各種分析方法判斷粗定位的代碼位置中是否存在真正的安全漏洞。精確定位可通過Fuzzing測(cè)試等技術(shù)實(shí)，F(xiàn)uzzing測(cè)試是一種軟件測(cè)試技術(shù)，其核心思想是自動(dòng)或半自動(dòng)生成隨機(jī)數(shù)據(jù)（即測(cè)試用例）并輸入到一個(gè)程序中，然后監(jiān)視程序的異常，從而發(fā)現(xiàn)安全漏洞。漏洞生命周期2.滲透代碼開發(fā)與測(cè)試：滲透代碼是滲透測(cè)試人員為驗(yàn)證第一步中找到的安全漏洞是否確實(shí)存在并可被利用而開發(fā)的概念驗(yàn)證性代碼（ProofofConcept，POC）。編寫POC代碼的三項(xiàng)準(zhǔn)備工作如下：熟悉漏洞詳細(xì)情況熟悉漏洞詳細(xì)情況包括了解漏洞影響的程序或系統(tǒng)版本，復(fù)原漏洞的產(chǎn)生過程，深刻理解漏洞，能夠?yàn)镻OC的編寫奠定良好基礎(chǔ)。漏洞生命周期復(fù)現(xiàn)漏洞環(huán)境復(fù)現(xiàn)漏洞環(huán)境可通過Docker搭建滲透代碼測(cè)試靶機(jī)，Docker是一種用于開發(fā)、部署、運(yùn)行應(yīng)用的虛擬化平臺(tái)，它讓搭建過程靈活方便、搭建周期短，且避免對(duì)目標(biāo)系統(tǒng)造成破壞。選擇POC編寫的語(yǔ)言任何語(yǔ)言都只是一種實(shí)現(xiàn)方式，POC的目的是為證明漏洞的存在，任何編程語(yǔ)言都是可行的。目前，Python語(yǔ)言因其簡(jiǎn)單的入門過程、豐富的第三方庫(kù)等特點(diǎn)在業(yè)界應(yīng)用較多。漏洞生命周期POC經(jīng)常與EXP一起出現(xiàn)在各類安全報(bào)告中。在此對(duì)二者的區(qū)別加以說(shuō)明：漏洞生命周期3.安全漏洞和滲透代碼在封閉團(tuán)隊(duì)中流傳：滲透測(cè)試人員在挖掘到漏洞并編寫出滲透代碼后，通知相關(guān)系統(tǒng)或應(yīng)用的廠商及時(shí)進(jìn)行漏洞修補(bǔ)，此后再公開漏洞詳情，漏洞的危害性相對(duì)較小。惡意攻擊者在挖掘到漏洞并編寫出滲透代碼后，不會(huì)通知廠商修補(bǔ)而是在有限團(tuán)隊(duì)內(nèi)進(jìn)行秘密共享，此時(shí)，廠商及系統(tǒng)或應(yīng)用的使用者并不知曉漏洞的存在，漏洞的危害性極大，這種漏洞可稱之為“0day”漏洞。漏洞生命周期4.安全漏洞和滲透代碼開始擴(kuò)散：出于利益等種種原因，在小規(guī)模有限團(tuán)隊(duì)內(nèi)進(jìn)行秘密共享的漏洞以及滲透代碼最終都會(huì)被披露出來(lái)，導(dǎo)致漏洞POC或EXP代碼在互聯(lián)網(wǎng)公布，此后，攻擊者們會(huì)迅速掌握并應(yīng)用這些漏洞攻擊還未修復(fù)的系統(tǒng)或應(yīng)用。漏洞生命周期5.惡意程序出現(xiàn)并開始傳播：當(dāng)攻擊者們對(duì)公開的漏洞更加熟悉后，他們會(huì)進(jìn)一步地開發(fā)更易于使用且更能夠自動(dòng)化傳播的惡意程序或攻擊工具，并通過互聯(lián)網(wǎng)等途徑進(jìn)行傳播。一般廠商在這一階段才認(rèn)識(shí)到系統(tǒng)或應(yīng)用存在的漏洞，并開發(fā)相應(yīng)補(bǔ)丁進(jìn)行測(cè)試，向用戶發(fā)布，修復(fù)漏洞。漏洞生命周期6.滲透代碼/惡意程序大規(guī)模傳播并危害互聯(lián)網(wǎng)：安全漏洞的危害峰值發(fā)生在廠商發(fā)布了官方補(bǔ)丁以及相應(yīng)的安全告警后，此時(shí)，攻擊者能夠得到詳細(xì)、準(zhǔn)確的安全漏洞信息以及對(duì)應(yīng)的滲透代碼和惡意利用程序，這進(jìn)一步降低了攻擊的難度，加之用戶安裝補(bǔ)丁的不及時(shí)，導(dǎo)致安全漏洞對(duì)互聯(lián)網(wǎng)的危害達(dá)到頂峰。漏洞生命周期7.滲透攻擊代碼/攻擊工具/惡意程序逐漸消亡：隨著時(shí)間推移，用戶普遍安裝了廠商發(fā)布的補(bǔ)丁，安全公司對(duì)漏洞的檢測(cè)及去除手段也已完善，前述階段所公開的漏洞滲透代碼、惡意利用程序或攻擊工具的利用價(jià)值大大降低，攻擊者不再利用其達(dá)到惡意目的，滲透測(cè)試代碼、惡意利用程序或攻擊工具將逐漸消亡。漏洞生命周期背景：隨著應(yīng)用代碼編寫質(zhì)量降低、攻擊者挖掘漏洞的能力不斷提升，安全漏洞數(shù)量成逐年上升趨勢(shì)。如此龐大的數(shù)量對(duì)漏洞分析、漏洞管理與控制的提出了很大的挑戰(zhàn)。意義：使用戶更客觀、更完整、更準(zhǔn)確地認(rèn)識(shí)以及跟蹤安全漏洞，在漏洞被發(fā)現(xiàn)后，提供給用戶更多的信息以便于更快的實(shí)現(xiàn)漏洞定位，決定下一步采取的措施，漏洞危險(xiǎn)等級(jí)劃分對(duì)及時(shí)降低漏洞風(fēng)險(xiǎn)、保護(hù)系統(tǒng)或應(yīng)用的安全有著重要意義。漏洞危險(xiǎn)等級(jí)劃分漏洞危險(xiǎn)等級(jí)劃分常用方法：定性評(píng)級(jí)定量評(píng)分定量評(píng)分+定性評(píng)級(jí)漏洞危險(xiǎn)等級(jí)劃分定性評(píng)級(jí)：早期，各大廠商及安全公司（例如IBM、微軟等）對(duì)產(chǎn)品漏洞進(jìn)行的是定性評(píng)級(jí)，確定漏洞的威脅，劃分漏洞等級(jí)。由于各個(gè)廠商使用不同的漏洞定性評(píng)級(jí)方案和方法，導(dǎo)致相同的漏洞在不同廠商的定性評(píng)估后，漏洞危害級(jí)別不同，這增加了漏洞跟蹤及漏洞降低的難度。漏洞危險(xiǎn)等級(jí)劃分定量評(píng)分：美國(guó)于2004年提出了通用漏洞評(píng)分系統(tǒng)CVSS，提供定量的漏洞等級(jí)評(píng)估方法，統(tǒng)一各廠商及安全公司的評(píng)估系統(tǒng)，NVD將其作為官方的漏洞危險(xiǎn)等級(jí)評(píng)估方法。CVSS通過量化公式計(jì)算得出評(píng)分結(jié)果，可操作性較強(qiáng)、評(píng)分過程更客觀。目前，MITRE公司已經(jīng)推出了CVSS3.0版本。漏洞危險(xiǎn)等級(jí)劃分定性評(píng)級(jí)+定量評(píng)分：僅依靠定量評(píng)分對(duì)漏洞危險(xiǎn)等級(jí)劃分也存在無(wú)法讓人們直觀認(rèn)識(shí)漏洞危險(xiǎn)程度的缺點(diǎn)。NVD在CVSS評(píng)分結(jié)果的基礎(chǔ)上自定義了與定性級(jí)別的映射規(guī)則，將CVSS定量評(píng)分分值和高危、中危、低危三個(gè)定性級(jí)別對(duì)應(yīng)了起來(lái)。漏洞危險(xiǎn)等級(jí)劃分我國(guó)漏洞危險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)演進(jìn)過程漏洞危險(xiǎn)等級(jí)劃分漏洞等級(jí)劃分分級(jí)指標(biāo)：漏洞分級(jí)指標(biāo)說(shuō)明了漏洞特征的屬性和賦值，《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級(jí)指南》將漏洞等級(jí)劃分指標(biāo)分為三大類，分別為被利用性、影響程度和環(huán)境因素。漏洞危險(xiǎn)等級(jí)劃分漏洞等級(jí)劃分分級(jí)指標(biāo)：被利用性漏洞的被利用性可從訪問路徑、觸發(fā)要求、權(quán)限要求和交互條件四個(gè)角度進(jìn)行評(píng)估。漏洞危險(xiǎn)等級(jí)劃分漏洞等級(jí)劃分分級(jí)指標(biāo)：影響程度漏洞的影響程度說(shuō)明了漏洞觸發(fā)后對(duì)系統(tǒng)、應(yīng)用或組件造成的損害程度。漏洞的影響程度評(píng)估對(duì)象為系統(tǒng)、應(yīng)用或組件所承載的信息的保密性、完整性和可用性。漏洞危險(xiǎn)等級(jí)劃分漏洞等級(jí)劃分分級(jí)指標(biāo)：環(huán)境因素漏洞的環(huán)境因素從被利用成本、恢復(fù)難度和影響范圍三個(gè)方面進(jìn)行評(píng)估。漏洞危險(xiǎn)等級(jí)劃分漏洞等級(jí)劃分分級(jí)方法：漏洞等級(jí)劃分分級(jí)方法說(shuō)明了漏洞技術(shù)分級(jí)和漏洞綜合分級(jí)的實(shí)現(xiàn)步驟和實(shí)現(xiàn)方法，包含了漏洞指標(biāo)的分級(jí)方法、漏洞技術(shù)分級(jí)方法和漏洞綜合分級(jí)方法。漏洞指標(biāo)分級(jí)方法漏洞技術(shù)分級(jí)方法漏洞綜合分級(jí)方法漏洞危險(xiǎn)等級(jí)劃分漏洞等級(jí)劃分分級(jí)方法：漏洞指標(biāo)分級(jí)方法漏洞指標(biāo)的分級(jí)方法包含了9級(jí)至1級(jí)共九個(gè)等級(jí)，從被利用性、影響程度和環(huán)境因素指標(biāo)角度評(píng)估漏洞危害程度。漏洞危險(xiǎn)等級(jí)劃分漏洞等級(jí)劃分分級(jí)方法：漏洞技術(shù)分級(jí)方法技術(shù)分級(jí)方法包含了超高、高危、中危和低危四個(gè)等級(jí)，說(shuō)明了某個(gè)特定產(chǎn)品或特定系統(tǒng)的漏洞危害程度。漏洞危險(xiǎn)等級(jí)劃分漏洞等級(jí)劃分分級(jí)方法：漏洞綜合分級(jí)方法綜合分級(jí)方法包含了超高、高危、中危和低危四個(gè)等級(jí)，說(shuō)明了特定時(shí)期特定環(huán)境下漏洞危害程度。漏洞危險(xiǎn)等級(jí)劃分漏洞分類指按照漏洞產(chǎn)生或者漏洞觸發(fā)的技術(shù)原因?qū)β┒催M(jìn)行的劃分，和漏洞危險(xiǎn)等級(jí)劃分類似，漏洞分類也是描述漏洞本質(zhì)和情況的一個(gè)重要方面。CNNVD將漏洞劃分為26種類型GB/T30279-2020增加了九種漏洞類型漏洞分類CNNVD：配置錯(cuò)誤、代碼問題、資源管理錯(cuò)誤、數(shù)字錯(cuò)誤、信息泄露、競(jìng)爭(zhēng)條件、輸入驗(yàn)證、緩沖區(qū)錯(cuò)誤、格式化字符串、跨站腳本、路徑遍歷、后置鏈接、SQL注入、注入、代碼注入、命令注入、操作系統(tǒng)命令注入、安全特征問題、授權(quán)問題、信任管理、加密問題、未充分驗(yàn)證數(shù)據(jù)可靠性、跨站請(qǐng)求偽造、權(quán)限許可和訪問控制、訪問控制錯(cuò)誤和資料不足。漏洞分類GB/T30279-2020增加了九種漏洞類型：處理邏輯錯(cuò)誤、數(shù)據(jù)轉(zhuǎn)換問題、未聲明功能、環(huán)境問題、日志信息泄露、調(diào)試信息泄露、側(cè)信道信息泄露、故障注入、其他漏洞分類漏洞披露是指當(dāng)漏洞被安全研究人員、安全公司或黑客等挖掘出來(lái)后，基于不同的動(dòng)機(jī)將漏洞公布。他們可選擇的披露方式包括不披露、完全披露、負(fù)責(zé)任披露和協(xié)同披露四種。不披露：指漏洞的挖掘者在發(fā)現(xiàn)漏洞后，采取保密措施，不對(duì)廠商或者公眾進(jìn)行公布，可能通過交易漏洞謀取利益。負(fù)責(zé)任披露：又叫有限披露，指漏洞挖掘者發(fā)現(xiàn)漏洞后以幫助廠商解決安全漏洞問題為出發(fā)點(diǎn)，將漏洞只及時(shí)報(bào)告給廠商。廠商制定完備解決方案后，公布漏洞同時(shí)將補(bǔ)丁發(fā)布給用戶。協(xié)同披露：代替負(fù)責(zé)任披露出現(xiàn)的一種漏洞披露方法，該方式將用戶的利益放在首要位置，倡導(dǎo)漏洞的挖掘者、廠商以及協(xié)調(diào)者等應(yīng)該共享漏洞相關(guān)信息、協(xié)同合作，以便及時(shí)有效地修復(fù)漏洞。完全披露：指漏洞的挖掘者在發(fā)現(xiàn)漏洞后，不采取任何保密措施、無(wú)差別地將漏洞公布給任何人，造成“及時(shí)修復(fù)”與“惡意利用”的博弈局面。漏洞披露方式漏洞資源庫(kù)主要對(duì)主流應(yīng)用軟件、操作系統(tǒng)以及網(wǎng)絡(luò)設(shè)備等軟硬件系統(tǒng)的信息安全漏洞開展采集、收錄、分析驗(yàn)證、預(yù)警通報(bào)和修復(fù)消控工作，為關(guān)鍵基礎(chǔ)設(shè)施等安全保障工作提供數(shù)據(jù)支持，能夠提升全行業(yè)的信息安全分析預(yù)警能力，常見的漏洞資源庫(kù)包括國(guó)家信息安全漏洞庫(kù)、國(guó)家信息安全漏洞共享平臺(tái)以及國(guó)家漏洞數(shù)據(jù)庫(kù)等。漏洞資源庫(kù)中國(guó)國(guó)家信息安全漏洞庫(kù)（ChinaNationalVulnerabilityDataba