網路漏洞編號有哪些

❶ 常見的漏洞類型有哪些

一、SQL 注入漏洞

SQL 注入攻擊（ SQL Injection ），簡稱注入攻擊、SQL 注入，被廣泛用於非法獲取網站控制權， 是發生在應用程序的資料庫層上的安全漏洞。在設計程序，忽略了對輸入字元串中夾帶的SQL 指令的檢查，被資料庫誤認為是正常的SQL 指令而運行，從而使資料庫受到攻擊，可能導致數據被竊取、更改、刪除，以及進一步導致網站被嵌入惡意代碼、被植入後門程序等危害。

通常情況下， SQL 注入的位置包括：

（1）表單提交，主要是POST 請求，也包括GET 請求；

（2）URL 參數提交，主要為GET 請求參數；

（3）Cookie 參數提交；

（4）HTTP 請求頭部的一些可修改的值，比如Referer 、User_Agent 等；

（5）一些邊緣的輸入點，比如.mp3 文件的一些文件信息等。

SQL 注入的危害不僅體現在資料庫層面上， 還有可能危及承載資料庫的操作系統；如果SQL 注入被用來掛馬，還可能用來傳播惡意軟體等，這些危害包括但不局限於：

（1）資料庫信息泄漏：資料庫中存放的用戶的隱私信息的泄露。作為數據的存儲中心，資料庫里往往保存著各類的隱私信息， SQL 注入攻擊能導致這些隱私信息透明於攻擊者。

（2）網頁篡改：通過操作資料庫對特定網頁進行篡改。

（3）網站被掛馬，傳播惡意軟體：修改資料庫一些欄位的值，嵌入網馬鏈接，進行掛馬攻擊。

（4）資料庫被惡意操作：資料庫伺服器被攻擊，資料庫的系統管理員帳戶被篡改。

（5）伺服器被遠程式控制制，被安裝後門。經由資料庫伺服器提供的操作系統支持，讓黑客得以修改或控制操作系統。

（6）破壞硬碟數據，癱瘓全系統。

解決SQL 注入問題的關鍵是對所有可能來自用戶輸入的數據進行嚴格的檢查、對資料庫配置使用最小許可權原則。通常使用的方案有：

（1 ）所有的查詢語句都使用資料庫提供的參數化查詢介面，參數化的語句使用參數而不是將用戶輸入變數嵌入到SQL 語句中。當前幾乎所有的資料庫系統都提供了參數化SQL 語句執行介面，使用此介面可以非常有效的防止SQL 注入攻擊。

（2 ）對進入資料庫的特殊字元（ '"<>&*; 等）進行轉義處理，或編碼轉換。

（3 ）確認每種數據的類型，比如數字型的數據就必須是數字，資料庫中的存儲欄位必須對應為int 型。

（4）數據長度應該嚴格規定，能在一定程度上防止比較長的SQL 注入語句無法正確執行。

（5）網站每個數據層的編碼統一，建議全部使用UTF-8 編碼，上下層編碼不一致有可能導致一些過濾模型被繞過。

（6）嚴格限制網站用戶的資料庫的操作許可權，給此用戶提供僅僅能夠滿足其工作的許可權，從而最大限度的減少注入攻擊對資料庫的危害。

（7）避免網站顯示SQL 錯誤信息，比如類型錯誤、欄位不匹配等，防止攻擊者利用這些錯誤信息進行一些判斷。

（8）在網站發布之前建議使用一些專業的SQL 注入檢測工具進行檢測，及時修補這些SQL 注入漏洞。

二、跨站腳本漏洞

跨站腳本攻擊（ Cross-site scripting ，通常簡稱為XSS）發生在客戶端，可被用於進行竊取隱私、釣魚欺騙、竊取密碼、傳播惡意代碼等攻擊。XSS 攻擊使用到的技術主要為HTML 和Javascript ，也包括VBScript和ActionScript 等。XSS 攻擊對WEB 伺服器雖無直接危害，但是它藉助網站進行傳播，使網站的使用用戶受到攻擊，導致網站用戶帳號被竊取，從而對網站也產生了較嚴重的危害。

XSS 類型包括：

（1）非持久型跨站： 即反射型跨站腳本漏洞， 是目前最普遍的跨站類型。跨站代碼一般存在於鏈接中，請求這樣的鏈接時，跨站代碼經過服務端反射回來，這類跨站的代碼不存儲到服務端（比如資料庫中）。上面章節所舉的例子就是這類情況。

（2）持久型跨站：這是危害最直接的跨站類型，跨站代碼存儲於服務端（比如資料庫中）。常見情況是某用戶在論壇發貼，如果論壇沒有過濾用戶輸入的Javascript 代碼數據，就會導致其他瀏覽此貼的用戶的瀏覽器會執行發貼人所嵌入的Javascript 代碼。

（3）DOM 跨站（DOM XSS ）：是一種發生在客戶端DOM （Document Object Model 文檔對象模型）中的跨站漏洞，很大原因是因為客戶端腳本處理邏輯導致的安全問題。

XSS 的危害包括：

（1）釣魚欺騙：最典型的就是利用目標網站的反射型跨站腳本漏洞將目標網站重定向到釣魚網站，或者注入釣魚JavaScript 以監控目標網站的表單輸入，甚至發起基於DHTML 更高級的釣魚攻擊方式。

（2 ）網站掛馬：跨站時利用IFrame 嵌入隱藏的惡意網站或者將被攻擊者定向到惡意網站上，或者彈出惡意網站窗口等方式都可以進行掛馬攻擊。

（3）身份盜用： Cookie 是用戶對於特定網站的身份驗證標志， XSS 可以盜取到用戶的Cookie ，從而利用該Cookie 盜取用戶對該網站的操作許可權。如果一個網站管理員用戶Cookie 被竊取，將會對網站引發巨大的危害。

（4）盜取網站用戶信息：當能夠竊取到用戶Cookie 從而獲取到用戶身份使，攻擊者可以獲取到用戶對網站的操作許可權，從而查看用戶隱私信息。

（5）垃圾信息發送：比如在SNS 社區中，利用XSS 漏洞借用被攻擊者的身份發送大量的垃圾信息給特定的目標群。

（6）劫持用戶Web 行為：一些高級的XSS 攻擊甚至可以劫持用戶的Web 行為，監視用戶的瀏覽歷史，發送與接收的數據等等。

（7）XSS 蠕蟲：XSS 蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網上數據、實施DDoS 攻擊等。

常用的防止XSS 技術包括：

（1）與SQL 注入防護的建議一樣，假定所有輸入都是可疑的，必須對所有輸入中的script 、iframe 等字樣進行嚴格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入介面，也包括HTTP 請求中的Cookie 中的變數， HTTP 請求頭部中的變數等。

（2 ）不僅要驗證數據的類型，還要驗證其格式、長度、范圍和內容。

（3）不要僅僅在客戶端做數據的驗證與過濾，關鍵的過濾步驟在服務端進行。

（ 4）對輸出的數據也要檢查， 資料庫里的值有可能會在一個大網站的多處都有輸出，即使在輸入做了編碼等操作，在各處的輸出點時也要進行安全檢查。

（5）在發布應用程序之前測試所有已知的威脅。

三、弱口令漏洞

弱口令(weak password) 沒有嚴格和准確的定義，通常認為容易被別人（他們有可能對你很了解）猜測到或被破解工具破解的口令均為弱口令。設置密碼通常遵循以下原則：

（1）不使用空口令或系統預設的口令，這些口令眾所周之，為典型的弱口令。

（2）口令長度不小於8 個字元。

（3）口令不應該為連續的某個字元（例如： AAAAAAAA ）或重復某些字元的組合（例如： tzf.tzf. ）。

（4）口令應該為以下四類字元的組合，大寫字母(A-Z) 、小寫字母(a-z) 、數字(0-9) 和特殊字元。每類字元至少包含一個。如果某類字元只包含一個，那麼該字元不應為首字元或尾字元。

（5）口令中不應包含本人、父母、子女和配偶的姓名和出生日期、紀念日期、登錄名、E-mail 地址等等與本人有關的信息，以及字典中的單詞。

（6）口令不應該為用數字或符號代替某些字母的單詞。

（7）口令應該易記且可以快速輸入，防止他人從你身後很容易看到你的輸入。

（8）至少90 天內更換一次口令，防止未被發現的入侵者繼續使用該口令。

四、HTTP 報頭追蹤漏洞

HTTP/1.1 （RFC2616 ）規范定義了HTTP TRACE 方法，主要是用於客戶端通過向Web 伺服器提交TRACE 請求來進行測試或獲得診斷信息。當Web 伺服器啟用TRACE 時，提交的請求頭會在伺服器響應的內容（Body ）中完整的返回，其中HTTP 頭很可能包括Session Token 、Cookies 或其它認證信息。攻擊者可以利用此漏洞來欺騙合法用戶並得到他們的私人信息。該漏洞往往與其它方式配合來進行有效攻擊，由於HTTP TRACE 請求可以通過客戶瀏覽器腳本發起（如XMLHttpRequest ），並可以通過DOM 介面來訪問，因此很容易被攻擊者利用。防禦HTTP 報頭追蹤漏洞的方法通常禁用HTTP TRACE 方法。

五、Struts2 遠程命令執行漏洞

Apache Struts 是一款建立Java web 應用程序的開放源代碼架構。Apache Struts 存在一個輸入過濾錯誤，如果遇到轉換錯誤可被利用注入和執行任意Java 代碼。網站存在遠程代碼執行漏洞的大部分原因是由於網站採用了Apache Struts Xwork 作為網站應用框架，由於該軟體存在遠程代碼執高危漏洞，導致網站面臨安全風險。CNVD 處置過諸多此類漏洞，例如：「 GPS 車載衛星定位系統」網站存在遠程命令執行漏洞(CNVD-2012-13934) ；Aspcms 留言本遠程代碼執行漏洞（ CNVD-2012-11590 ）等。

修復此類漏洞，只需到Apache 官網升級Apache Struts 到最新版本

六、框架釣魚漏洞（框架注入漏洞）

框架注入攻擊是針對Internet Explorer 5 、Internet Explorer 6 、與Internet Explorer 7 攻擊的一種。這種攻擊導致Internet Explorer 不檢查結果框架的目的網站，因而允許任意代碼像Javascript 或者VBScript 跨框架存取。這種攻擊也發生在代碼透過多框架注入，肇因於腳本並不確認來自多框架的輸入。這種其他形式的框架注入會影響所有的不確認不受信任輸入的各廠商瀏覽器和腳本。如果應用程序不要求不同的框架互相通信，就可以通過完全刪除框架名稱、使用匿名框架防止框架注入。但是，因為應用程序通常都要求框架之間相互通信，因此這種方法並不可行。因此，通常使用命名框架，但在每個會話中使用不同的框架，並且使用無法預測的名稱。一種可行的方法是在每個基本的框架名稱後附加用戶的會話令牌，如main_display 。

七、文件上傳漏洞

文件上傳漏洞通常由於網頁代碼中的文件上傳路徑變數過濾不嚴造成的，如果文件上傳功能實現代碼沒有嚴格限制用戶上傳的文件後綴以及文件類型，攻擊者可通過Web 訪問的目錄上傳任意文件，包括網站後門文件（ webshell ），進而遠程式控制制網站伺服器。因此，在開發網站及應用程序過程中，需嚴格限制和校驗上傳的文件，禁止上傳惡意代碼的文件。同時限制相關目錄的執行許可權，防範webshell 攻擊。

八、應用程序測試腳本泄露

由於測試腳本對提交的參數數據缺少充分過濾，遠程攻擊者可以利用洞以WEB 進程許可權在系統上查看任意文件內容。防禦此類漏洞通常需嚴格過濾提交的數據，有效檢測攻擊。

九、私有IP 地址泄露漏洞

IP 地址是網路用戶的重要標示，是攻擊者進行攻擊前需要了解的。獲取的方法較多，攻擊者也會因不同的網路情況採取不同的方法，如：在區域網內使用Ping 指令， Ping 對方在網路中的名稱而獲得IP；在Internet 上使用IP 版的QQ直接顯示。最有效的辦法是截獲並分析對方的網路數據包。攻擊者可以找到並直接通過軟體解析截獲後的數據包的IP 包頭信息，再根據這些信息了解具體的IP。針對最有效的「數據包分析方法」而言，就可以安裝能夠自動去掉發送數據包包頭IP 信息的一些軟體。不過使用這些軟體有些缺點， 譬如：耗費資源嚴重，降低計算機性能；訪問一些論壇或者網站時會受影響；不適合網吧用戶使用等等。現在的個人用戶採用最普及隱藏IP 的方法應該是使用代理，由於使用代理伺服器後，「轉址服務」會對發送出去的數據包有所修改，致使「數據包分析」的方法失效。一些容易泄漏用戶IP 的網路軟體(QQ 、MSN 、IE 等)都支持使用代理方式連接Internet ，特別是QQ 使用「 ezProxy 」等代理軟體連接後， IP 版的QQ 都無法顯示該IP 地址。雖然代理可以有效地隱藏用戶IP，但攻擊者亦可以繞過代理， 查找到對方的真實IP 地址，用戶在何種情況下使用何種方法隱藏IP，也要因情況而論。

十、未加密登錄請求

由於Web 配置不安全， 登陸請求把諸如用戶名和密碼等敏感欄位未加密進行傳輸， 攻擊者可以竊聽網路以劫獲這些敏感信息。建議進行例如SSH 等的加密後再傳輸。

十一、敏感信息泄露漏洞

SQL 注入、XSS、目錄遍歷、弱口令等均可導致敏感信息泄露，攻擊者可以通過漏洞獲得敏感信息。針對不同成因，防禦方式不同。

❷ 常見的網路安全漏洞有哪些

GUEST用戶，系統默認的隱藏共享，OFFICE的安全性級別，OUTLOOK軟體，這些應該都算吧。

❸ 誰能解釋下「CNVD」「CNNVD」

您好，cnnvd和cnvd分別屬於兩個不同的機構。

cnnvd，是 中國國家信息安全漏洞庫，英文名稱「China National Vulnerability Database of Information Security」，簡稱「CNNVD」（為什麼簡稱是這個，有點奇怪），隸屬於 中國信息安全測評中心，是中國信息安全測評中心為切實履行漏洞分析和風險評估的職能，負責建設運維的國家級信息安全漏洞庫，為我國信息安全保障提供基礎服務。

辦公地點：北京市海淀區上地西路8號院1號樓
Tel:010-82341118或010-82341188 Fax:010-82341100

cnvd，是 國家信息安全漏洞共享平台，英文是China National Vulnerability Database ，比上面的少了幾個單詞。隸屬於 國家計算機網路應急技術處理協調中心，

聯系電話：010-82990999/1000
網站運行維護：恆安嘉新（北京）科技有限公司，貌似沒有上一個是完全官方部門的，已經外包了出去。

總的來說，他們是兩個不同部門建立的機構，起初的想法類似，工作內容略有重復，個人看來cnnvd略好一些。

❹ 常見的網路漏洞有哪些

A．按漏洞可能對系統造成的直接威脅

可以大致分成以下幾類，事實上一個系統漏洞對安全造成的威脅遠不限於它的直接可能性，如果攻擊者獲得了對系統的一般用戶訪問許可權，他就極有可能再通過利用本地漏洞把自己升級為管理員許可權：
一．遠程管理員許可權

攻擊者無須一個賬號登錄到本地直接獲得遠程系統的管理員許可權，通常通過攻擊以root身份執行的有缺陷的系統守護進程來完成。漏洞的絕大部分來源於緩沖區溢出，少部分來自守護進程本身的邏輯缺陷。

典型漏洞：

1、IMAP4rev1 v10.190版的守護進程imapd的AUTHENTICATE命令存在讀入參數時未做長度檢查，構造一個精心設計的AUTH命令串，可以溢出imapd的緩沖區，執行指定的命令，由於imapd以root身份運行，從而直接獲得機器的root許可權。

2、WindowsNT IIS 4.0的ISAPI DLL對輸入的URL未做適當的邊界檢查，如果構造一個超長的URL，可以溢出IIS (inetinfo.exe)的緩沖區，執行我們指定的代碼。由於inetinfo.exe是以local system身份啟動，溢出後可以直接得到管理員許可權。

3、早期AIX 3.2 rlogind代碼存在認證邏輯缺陷，用rlogin victim.com ?Cl ?Cfroot，可以直接以root身份登錄到系統而無須提供口令。

二．本地管理員許可權

攻擊者在已有一個本地賬號能夠登錄到系統的情況下，通過攻擊本地某些有缺陷的suid程序，競爭條件等手段，得到系統的管理員許可權。

典型漏洞：

1、RedHat Linux的restore是個suid程序，它的執行依靠一個中RSH的環境變數，通過設置環境變數PATH，可以使RSH變數中的可執行程序以root身份運行，從而獲得系統的root許可權。

2、Solaris 7的Xsun程序有suid位，它對輸入參數未做有效的邊界檢查，可以很容易地溢出它的緩沖區，以root身份運行我們指定的代碼，從而獲得管理員許可權。

3、在windows2000下，攻擊者就有機會讓網路DDE（一種在不同的Windows機器上的應用程序之間動態共享數據的技術）代理在本地系統用戶的安全上下文中執行其指定的代碼，從而提升許可權並完全控制本地機器。

三．普通用戶訪問許可權

攻擊者利用伺服器的漏洞，取得系統的普通用戶存取許可權，對UNIX類系統通常是shell訪問許可權，對Windows系統通常是cmd.exe的訪問許可權，能夠以一般用戶的身份執行程序，存取文件。攻擊者通常攻擊以非root身份運行的守護進程，有缺陷的cgi程序等手段獲得這種訪問許可權。

典型漏洞：

1、UBB是個廣泛運行於各種UNIX和Windows系統的論壇程序，用PERL實現，它的5.19以下版本存在輸入驗證問題，通過提交精心構造的表單內容，可以使UBB去執行shell命令，因為一般的web伺服器以nobody身份運行，因此可以得到一個nobody shell。比如提交這樣的數據：topic='012345.ubb mail [email protected]

2、RedHat Linux 6.2帶的innd 2.2.2.3版新聞伺服器，存在緩沖區溢出漏洞，通過一個精心構造的新聞信件可以使innd伺服器以news身份運行我們指定的代碼，得到一個innd許可權的shell。

3、Windows IIS 4.0-5.0存在Unicode解碼漏洞，可以使攻擊者利用cmd.exe以guest組的許可權在系統上運行程序。相當於取得了普通用戶的許可權。

四．許可權提升

攻擊者在本地通過攻擊某些有缺陷的sgid程序，把自己的許可權提升到某個非root用戶的水平。獲得管理員許可權可以看做是一種特殊的許可權提升，只是因為威脅的大小不同而把它獨立出來。

典型漏洞：

1、RedHat Linux 6.1帶的man程序為sgid man，它存在format bug，通過對它的溢出攻擊，可以使攻擊者得到man組的用戶許可權。

2、Solaris 7的write程序為sgid tty，它存在緩沖區溢出問題，通過對它的攻擊可以攻擊者得到tty組的用戶許可權。

3、WindowsNT系統中，攻擊者能夠使系統中其他用戶裝入一個」特洛化」的porfile，使其他用戶執行攻擊者的惡意代碼，有時甚至是管理員。

❺ 網路安全漏洞含義

來源：趨勢科技認證信息安全專員（TCSP）教材
網路安全漏洞主要表現在以下幾個方面：
a. 系統存在安全方面的脆弱性：現在的操作系統都存在種種安全隱患，從Unix到Windows，五一例外。每一種操作系統都存在已被發現的和潛在的各種安全漏洞。
b. 非法用戶得以獲得訪問權。
c. 合法用戶未經授權提高訪問許可權。
d. 系統易受來自各方面的攻擊。
漏洞分類
常見的漏洞主要有以下幾類：
a. 網路協議的安全漏洞。
b. 操作系統的安全漏洞。
c. 用用程序的安全漏洞。
漏洞等級
按對目標主機的危害程度，漏洞可分為：
a. A級漏洞：允許惡意入侵者訪問並可能會破壞整個目標系統的漏洞
b. B級漏洞：允許本地用戶提高訪問許可權，並可能使其獲得系統控制的漏洞
c. C級漏洞：允許用戶終端、降低或阻礙系統操作的漏洞
安全漏洞產生的原因
安全漏洞產生的原因很多，主要有以下幾點：
a. 系統和軟體的設計存在缺陷，通信協議不完備。如TCP/CP協議既有很多漏洞。
b. 技術實現不充分。如很多緩存一處方面的漏洞就是在實現時缺少必要的檢查。
c. 配置管理和使用不當也能產生安全漏洞。如口令過於簡單，很容易被黑客猜中。
Internet服務的安全漏洞
網路應用服務，指的事在網路上所開放的一些服務，通常能見到如WEB、MAIL、FTP、DNS、TESLNET等。當然，也有一些非通用的服務，如在某些領域、行業中自主開發的網路應用程序。常見的Internet服務中都存在這樣那樣的安全漏洞。比如：
a. 電子郵件中的：冒名的郵件：匿名信：大量湧入的信件。
b. FTP中的：病毒威脅；地下站點。
FTP安全性分析
文件傳輸協議(File Transfer Protocol，FTP)是一個被廣泛應用的協議，它使得我們能夠在網路上方便地傳輸文件。早期FTP並沒有設計安全問題，隨著互聯網應用的快速增長，人們對安全的要求也不斷提高。
早期對FTP的定義指出，FTP是一個ARPA計算機網路上主機間文件傳輸的用戶級協議。其主要功能是方便主機間的文件傳輸，並且允許在其他主機上方便的進行存儲和文件處理;而現在FTP的應用范圍則是Internet。根據FTP STD 9定義，FTP的目標包括：
a.促進文件（程序或數據）的共享。
b.支持間接或隱式地試用遠程計算機。
c.幫助用戶避開主機上不同的協議和防火牆。
d.可靠並有效地傳輸數據。
關於FTP的一些其他性質包括：FTP可以被用戶在終端使用，但通常是給程序試用的。FTP中主要採用了傳輸控制協議(Transmission Control Protocol,TCP)，以及Telnet協議。
防範反彈攻擊(The Bounce Attack)
1.漏洞
FTP規范[PR85]定義了「代理FTP」機制，即伺服器間交互模型。支持客戶建立一個FTP控制連接，然後在兩個伺服器間傳送文件，同時FTP規范中對試用TCPd埠號沒有任何限制，從0~1023的TCP埠號保留用於各種各樣的網路服務。所以，通過「代理FTP」，客戶可以名利FTP伺服器攻擊任何一台機器上的網路服務。
2.反彈攻擊
客戶發送一個包含被攻擊的機器和服務的網路地址和埠號的FTP「POST」命令。這時客戶要求FTP伺服器向被攻擊的伺服器發送一個文件，該文件應包含與被攻擊的服務相關的命令（如SMTP，NNTP）。由於是命令第三方去連接服務，而不是直接連接，這樣不僅使追蹤攻擊者變得困難，還能避開給予網路地址的訪問限制。
3.防範措施
最簡單的辦法就是封住漏洞。首先，伺服器最好不要建立TCP埠號在1024以下的連接。如果伺服器收到一個包含TCP埠號在1024以下的POST命令，伺服器可以返回消息504中定義為「對這種參數命令不能實現」)。其次，禁止試用POST命令，也是一個可選的防範反彈攻擊的方案。大多數的文件傳輸只需要PASV命令。這樣做的缺點事失去了試用「代理FTP」的可能性，但是在某些環境中並不需要「代理FTP」。
4.遺留問題
僅僅是控制1024以下的連接，仍會使用戶定義的服務（TCP埠號在1024以上）遭受反彈攻擊。
未完，待續……

❻ bugtraq漏洞庫 怎麼查看

1、以CVE開頭，如 CVE-1999-1046 這種
CVE 的英文全稱是「Common Vulnerabilities & Exposures」公共漏洞和暴露。CVE就好像是一個字典表，為廣泛認同的信息安全漏洞或者已經暴露出來的弱點給出一個公共的名稱。使用一個共同的名字，可以幫助用戶在各自獨立的各種漏洞資料庫中和漏洞評估工具中共享數據，雖然這些工具很難整合在一起。這樣就使得CVE成為了安全信息共享的「關鍵字」 。如果在一個漏洞報告中指明的一個漏洞，如果有CVE名稱，你就可以快速地在任何其它CVE兼容的資料庫中找到相應修補的信息，解決安全問題 。
2、以CAN開頭，如 CAN-2000-0626 這種
「CAN」和「CVE」的唯一區別是前者代表了候選條目，還未經CVE編輯委員會認可，而後者則是經過認可的條目。 然後，兩種類型的條目都對公眾可見，條目的編號不會隨著認可而改變—僅僅是「CAN」前綴替換成了「CVE」。
3、 BUGTRAQ
BugTraq是一個完整的對計算機安全漏洞（它們是什麼，如何利用它們，以及如何修補它們）的公告及詳細論述進行適度披露的郵件列表

4、以 CNCVE開頭，如CNCVE-20000629
CNCVE就是中國（CN）的 CVE ，是CNCERT/CC（國家計算機網路應急處理協調中心）為漏洞進行編號的一個自己的標准，即國家計算機網路應急處理協調中心（CNCERT/CC）領導下，國內正在組建自己的 CVE 組織。 CNCVE的組建目的就是建設一個具有中國特色的，能為國內廣大用戶服務的CVE組織。國際CVE組織僅僅是描述漏洞的主要特徵，統一命名漏洞。CNCVE不但包含漏洞的描述予以統一定義，還將包括漏洞的補丁、驗證等措施，更方便、有用。
5、 以 CNVD開頭，如 CNVD-2014-0282
CNVD是國家信息安全漏洞共享平台。是由國家計算機網路應急技術處理協調中心（簡稱CNCERT）聯合國內重要信息系統單位、基礎電信運營商、網路安全廠商、軟體廠商和互聯網企業建立的信息安全漏洞信息共享知識庫，漏洞編號規則為CNVD-xxxx-xxxxx。
6、以CNNVD開頭，如 CNNVD-201404-530
CNNVD 是中國國家信息安全漏洞庫，漏洞編號規則為CNNVD-xxxxxx-xxx。是中國信息安全測評中心為切實履行漏洞分析和風險評估的職能，負責建設運維的國家信息安全漏洞庫，為我國信息安全保障提供基礎服務。

❼ 網站漏洞分為哪些

網站漏洞(不包括伺服器操作系統的漏洞)大多是網站程序編寫是留下了bug,使黑客利用漏洞可以鏈接到資料庫伺服器或者下載資料庫,造成數據泄密.

例如,很多人在寫ASP的時候喜歡把字元連接串文件以INC作為後綴,然而別人在瀏覽器地址欄里輸入字元連接串文件名,資料庫地址就會呈現在別人面前,如果資料庫的後綴沒有改名成.ASP的話資料庫很容易被下載.然後什麼東西都被人家看到了.(特別是密碼)

所以寫網頁程序的時候最好把密碼加密後存儲到資料庫,這樣的話就算別人下載了你的數據,密碼內容也不會被泄露

❽ 網路安全漏洞可以分為各個等級，A級漏洞表示

答案時B
----------------分級原則-----------
對漏洞分級有助於在漏洞被發現後，提供用戶更多的信息以便於更快的給漏洞定位，並決定下一步採取的措施。

漏洞按其對目標主機的危險程度一般分為三級:

(1)A級漏洞

它是允許惡意入侵者訪問並可能會破壞整個目標系統的漏洞，如，允許遠程用戶未經授權訪問的漏洞。A級漏洞是威脅最大的一種漏洞，大多數A級漏洞是由於較差的系統管理或配置有誤造成的。同時，幾乎可以在不同的地方，在任意類型的遠程訪問軟體中都可以找到這樣的漏洞。如:FTP，GOPHER，TELNET，SENDMAIL，FINGER等一些網路程序常存在一些嚴重的A級漏洞。

(2)B級漏洞

它是允許本地用戶提高訪問許可權，並可能允許其獲得系統控制的漏洞。例如，允許本地用戶(本地用戶是在目標機器或網路上擁有賬號的所有用戶，並無地理位置上的含義)非法訪問的漏洞。網路上大多數B級漏洞是由應用程序中的一些缺陷或代碼錯誤引起的。

SENDMAIL和TELNET都是典型的例子。因編程缺陷或程序設計語言的問題造成的緩沖區溢出問題是一個典型的B級安全漏洞。據統計，利用緩沖區溢出進行攻擊占所有系統攻擊的80%以上。

(3)C級漏洞

它是任何允許用戶中斷、降低或阻礙系統操作的漏洞。如，拒絕服務漏洞。拒絕服務攻擊沒有對目標主機進行破壞的危險，攻擊只是為了達到某種目的，對目標主機進行故意搗亂。最典型的一種拒絕服務攻擊是SYN-Flooder，即入侵者將大量的連接請求發往目標伺服器，目標主機不得不處理這些「半開」的SYN，然而並不能得到ACK回答，很快伺服器將用完所有的內存而掛起，任何用戶都不能再從伺服器上獲得服務。

綜上所述，對系統危害最嚴重的是A級漏洞，其次是B級漏洞，C級漏洞是對系統正常工作進行干擾。