適用范圍說(shuō)明
凡是被國(guó)家信息安全漏洞庫(kù)（CNNVD）收錄的漏洞，均適用此分類(lèi)規(guī)范，包括采集的公開(kāi)漏洞以及收錄的未公開(kāi)漏洞，通用型漏洞及事件型漏洞。
漏洞類(lèi)型
CNNVD將信息安全漏洞劃分為26種類(lèi)型，分別是：配置錯(cuò)誤、代碼問(wèn)題、資源管理錯(cuò)誤、數(shù)字錯(cuò)誤、信息泄露、競(jìng)爭(zhēng)條件、輸入驗(yàn)證、緩沖區(qū)錯(cuò)誤、格式化字符串、跨站腳本、路徑遍歷、后置鏈接、SQL注入、注入、代碼注入、命令注入、操作系統(tǒng)命令注入、安全特征問(wèn)題、授權(quán)問(wèn)題、信任管理、加密問(wèn)題、未充分驗(yàn)證數(shù)據(jù)可靠性、跨站請(qǐng)求偽造、權(quán)限許可和訪(fǎng)問(wèn)控制、訪(fǎng)問(wèn)控制錯(cuò)誤、資料不足。

配置錯(cuò)誤 CWE-16: Configuration

描述
此類(lèi)漏洞指軟件配置過(guò)程中產(chǎn)生的漏洞。該類(lèi)漏洞并非軟件開(kāi)發(fā)過(guò)程中造成的，不存在于軟件的代碼之中，是由于軟件使用過(guò)程中的不合理配置造成的。

代碼問(wèn)題 CWE-17: Code

描述
此類(lèi)漏洞指代碼開(kāi)發(fā)過(guò)程中產(chǎn)生的漏洞，包括軟件的規(guī)范說(shuō)明、設(shè)計(jì)和實(shí)現(xiàn)。該漏洞是一個(gè)高級(jí)別漏洞，如果有足夠的信息可進(jìn)一步分為更低級(jí)別的漏洞。

輸入驗(yàn)證 CWE-20: Improper Input Validation

描述
產(chǎn)品沒(méi)有驗(yàn)證或者錯(cuò)誤地驗(yàn)證可以影響程序的控制流或數(shù)據(jù)流的輸入。如果有足夠的信息，此類(lèi)漏洞可進(jìn)一步分為更低級(jí)別的類(lèi)型。
當(dāng)軟件不能正確地驗(yàn)證輸入時(shí)，攻擊者能夠偽造非應(yīng)用程序所期望的輸入。這將導(dǎo)致系統(tǒng)接收部分非正常輸入，攻擊者可能利用該漏洞修改控制流、控制任意資源和執(zhí)行任意代碼。
常見(jiàn)后果
技術(shù)影響：
DoS: crash / exit / restart;
DoS: resource consumption (CPU);
DoS: resource consumption (memory)；
Read memory;
Read files or directories；
Modify memory;
Execute unauthorized code or commands
影響范圍：機(jī)密性、完整性和可用性

路徑遍歷 CWE-22: Path Traversal

描述
為了識(shí)別位于受限的父目錄下的文件或目錄，軟件使用外部輸入來(lái)構(gòu)建路徑。由于軟件不能正確地過(guò)濾路徑中的特殊元素，能夠?qū)е略L(fǎng)問(wèn)受限目錄之外的位置。
許多文件操作都發(fā)生在受限目錄下。攻擊者通過(guò)使用特殊元素（例如，“…”、“/”）可到達(dá)受限目錄之外的位置，從而獲取系統(tǒng)中其他位置的文件或目錄。相對(duì)路徑遍歷是指使用最常用的特殊元素“…/”來(lái)代表當(dāng)前目錄的父目錄。絕對(duì)路徑遍歷（例如"/usr/local/bin"）可用于訪(fǎng)問(wèn)非預(yù)期的文件。
常見(jiàn)后果
技術(shù)影響：
Execute unauthorized code or commands；
Modify files or directories；
Read files or directories；
DoS: crash / exit / restart
影響范圍：
機(jī)密性、完整性和可用性

后置鏈接 CWE-59: Link Following

描述
軟件嘗試使用文件名訪(fǎng)問(wèn)文件，但該軟件沒(méi)有正確阻止表示非預(yù)期資源的鏈接或者快捷方式的文件名。
常見(jiàn)后果
技術(shù)影響：
Read files or directories;
Modify files or directories;
Bypass protection mechanism
影響范圍：
機(jī)密性、完整性和可用性

注入 CWE-74: Injection

描述
軟件使用來(lái)自上游組件的受外部影響的輸入，構(gòu)造全部或部分命令、數(shù)據(jù)結(jié)構(gòu)或記錄，但是沒(méi)有過(guò)濾或沒(méi)有正確過(guò)濾掉其中的特殊元素，當(dāng)發(fā)送給下游組件時(shí)，這些元素可以修改其解析或解釋方式。
軟件對(duì)于構(gòu)成其數(shù)據(jù)和控制的內(nèi)容有其特定的假設(shè)，然而，由于缺乏對(duì)用戶(hù)輸入的驗(yàn)證而導(dǎo)致注入問(wèn)題。
13.2 常見(jiàn)后果
技術(shù)影響：
Read application data;
Bypass protection mechanism;
Alter execution logic;
Hide activities
影響范圍：
機(jī)密性、完整性

命令注入 CWE-77: Command Injection

描述
軟件使用來(lái)自上游組件的受外部影響的輸入構(gòu)造全部或部分命令，但是沒(méi)有過(guò)濾或沒(méi)有正確過(guò)濾掉其中的特殊元素，這些元素可以修改發(fā)送給下游組件的預(yù)期命令。
命令注入漏洞通常發(fā)生在、
（1）輸入數(shù)據(jù)來(lái)自非可信源；
（2）應(yīng)用程序使用輸入數(shù)據(jù)構(gòu)造命令；
（3）通過(guò)執(zhí)行命令，應(yīng)用程序向攻擊者提供了其不該擁有的權(quán)限或能力。
常見(jiàn)后果
技術(shù)影響：Execute unauthorized code or commands
影響范圍：機(jī)密性、完整性和可用性

操作系統(tǒng)命令注入 CWE-78: OS Command Injection

描述
軟件使用來(lái)自上游組件的受外部影響的輸入構(gòu)造全部或部分操作系統(tǒng)命令，但是沒(méi)有過(guò)濾或沒(méi)有正確過(guò)濾掉其中的特殊元素，這些元素可以修改發(fā)送給下游組件的預(yù)期操作系統(tǒng)命令。
此類(lèi)漏洞允許攻擊者在操作系統(tǒng)上直接執(zhí)行意外的危險(xiǎn)命令。
常見(jiàn)后果
技術(shù)影響：
Execute unauthorized code or commands;
DoS: crash / exit / restart;
Read files or directories;
Modify files or directories;
Read application data;
Modify application data;
Hide activities
影響范圍：
機(jī)密性、完整性和可用性

跨站腳本 CWE-79: Cross-site Scripting

描述
在用戶(hù)控制的輸入放置到輸出位置之前軟件沒(méi)有對(duì)其中止或沒(méi)有正確中止，這些輸出用作向其他用戶(hù)提供服務(wù)的網(wǎng)頁(yè)。
跨站腳本漏洞通常發(fā)生在
（1）不可信數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)應(yīng)用程序，通常通過(guò)網(wǎng)頁(yè)請(qǐng)求；
（2）網(wǎng)絡(luò)應(yīng)用程序動(dòng)態(tài)地生成一個(gè)帶有不可信數(shù)據(jù)的網(wǎng)頁(yè)；
（3）在網(wǎng)頁(yè)生成期間，應(yīng)用程序不能阻止Web瀏覽器可執(zhí)行的內(nèi)容數(shù)據(jù)，例如JavaScript，HTML標(biāo)簽，HTML屬性、鼠標(biāo)事件、Flash、ActiveX等；
（4）受害者通過(guò)瀏覽器訪(fǎng)問(wèn)的網(wǎng)頁(yè)包含帶有不可信數(shù)據(jù)的惡意腳本；
（5）由于腳本來(lái)自于通過(guò)web服務(wù)器發(fā)送的網(wǎng)頁(yè)，因此受害者的web瀏覽器會(huì)在web服務(wù)器域的上下文中執(zhí)行惡意腳本；
（6）違反web瀏覽器的同源策略，同源策略是一個(gè)域中的腳本不能訪(fǎng)問(wèn)或運(yùn)行其他域中的資源或代碼。
常見(jiàn)后果
技術(shù)影響：
Bypass protection mechanism;
Read application data；
Execute unauthorized code or commands
影響范圍：
機(jī)密性、完整性和可用性

SQL注入 CWE-89: SQL Injection

描述
軟件使用來(lái)自上游組件的受外部影響的輸入構(gòu)造全部或部分SQL命令，但是沒(méi)有過(guò)濾或沒(méi)有正確過(guò)濾掉其中的特殊元素，這些元素可以修改發(fā)送給下游組件的預(yù)期SQL命令。
如果在用戶(hù)可控輸入中沒(méi)有充分刪除或引用SQL語(yǔ)法，生成的SQL查詢(xún)可能會(huì)導(dǎo)致這些輸入被解釋為SQL命令而不是普通用戶(hù)數(shù)據(jù)。利用SQL注入可以修改查詢(xún)邏輯以繞過(guò)安全檢查，或者插入修改后端數(shù)據(jù)庫(kù)的其他語(yǔ)句，如執(zhí)行系統(tǒng)命令。
常見(jiàn)后果
技術(shù)影響：
Read application data;
Modify application data;
Bypass protection mechanism
影響范圍：
機(jī)密性、完整性

代碼注入 CWE-94: Code Injection

描述
軟件使用來(lái)自上游組件的受外部影響的輸入構(gòu)造全部或部分代碼段，但是沒(méi)有過(guò)濾或沒(méi)有正確過(guò)濾掉其中的特殊元素，這些元素可以修改發(fā)送給下游組件的預(yù)期代碼段。
當(dāng)軟件允許用戶(hù)的輸入包含代碼語(yǔ)法時(shí)，攻擊者可能會(huì)通過(guò)偽造代碼修改軟件的內(nèi)部控制流。此類(lèi)修改可能導(dǎo)致任意代碼執(zhí)行。
常見(jiàn)后果
技術(shù)影響：
Bypass protection mechanism;
Gain privileges / assume identity;
Execute unauthorized code or commands;
Hide activities
影響范圍：
機(jī)密性、完整性和可用性

格式化字符串 CWE-134: Format String Vulnerability

描述
軟件使用的函數(shù)接收來(lái)自外部源代碼提供的格式化字符串作為函數(shù)的參數(shù)。
當(dāng)攻擊者能修改外部控制的格式化字符串時(shí)，這可能導(dǎo)致緩沖區(qū)溢出、拒絕服務(wù)攻擊或者數(shù)據(jù)表示問(wèn)題。
常見(jiàn)后果
技術(shù)影響：
Read memory;
Execute unauthorized code or commands
影響范圍：
機(jī)密性、完整性和可用性

緩沖區(qū)錯(cuò)誤 CWE-119: Buffer Errors

描述
軟件在內(nèi)存緩沖區(qū)上執(zhí)行操作，但是它可以讀取或?qū)懭刖彌_區(qū)的預(yù)定邊界以外的內(nèi)存位置。
某些語(yǔ)言允許直接訪(fǎng)問(wèn)內(nèi)存地址，但是不能自動(dòng)確認(rèn)這些內(nèi)存地址是有效的內(nèi)存緩沖區(qū)。這可能導(dǎo)致在與其他變量、數(shù)據(jù)結(jié)構(gòu)或內(nèi)部程序數(shù)據(jù)相關(guān)聯(lián)的內(nèi)存位置上執(zhí)行讀/寫(xiě)操作。作為結(jié)果，攻擊者可能執(zhí)行任意代碼、修改預(yù)定的控制流、讀取敏感信息或?qū)е孪到y(tǒng)崩潰。
常見(jiàn)后果
技術(shù)影響：
Execute unauthorized code or commands;
Modify memory；
Read memory;
DoS: crash / exit / restart;
DoS: resource consumption (CPU);
DoS: resource consumption (memory)
影響范圍：機(jī)密性、完整性和可用性

數(shù)字錯(cuò)誤 CWE-189: Numeric Errors

描述
此類(lèi)漏洞與不正確的數(shù)字計(jì)算或轉(zhuǎn)換有關(guān)。該類(lèi)漏洞主要由數(shù)字的不正確處理造成的，如整數(shù)溢出、符號(hào)錯(cuò)誤、被零除等。

信息泄露 CWE-200: Information Exposure

描述
信息泄露是指有意或無(wú)意地向沒(méi)有訪(fǎng)問(wèn)該信息權(quán)限者泄露信息。此類(lèi)漏洞是由于軟件中的一些不正確的設(shè)置造成的信息泄漏。
信息指
（1）產(chǎn)品自身功能的敏感信息，如私有消息
（2）或者有關(guān)產(chǎn)品或其環(huán)境的信息，這些信息可能在攻擊中很有用，但是攻擊者通常不能獲取這些信息。信息泄露涉及多種不同類(lèi)型的問(wèn)題，并且嚴(yán)重程度依賴(lài)于泄露信息的類(lèi)型。
常見(jiàn)后果
技術(shù)影響：
Read application data
影響范圍：
機(jī)密性

安全特征問(wèn)題 CWE-254: Security Features

描述
此類(lèi)漏洞是指與身份驗(yàn)證、訪(fǎng)問(wèn)控制、機(jī)密性、密碼學(xué)、權(quán)限管理等有關(guān)的漏洞，是一些與軟件安全有關(guān)的漏洞。如果有足夠的信息，此類(lèi)漏洞可進(jìn)一步分為更低級(jí)別的類(lèi)型。

信任管理 CWE-255: Credentials Management

描述
此類(lèi)漏洞是與證書(shū)管理相關(guān)的漏洞。包含此類(lèi)漏洞的組件通常存在默認(rèn)密碼或者硬編碼密碼、硬編碼證書(shū)。

權(quán)限許可和訪(fǎng)問(wèn)控制 CWE-264: Permissions, Privileges, and Access Controls

描述
此類(lèi)漏洞是與許可、權(quán)限和其他用于執(zhí)行訪(fǎng)問(wèn)控制的安全特征的管理有關(guān)的漏洞。

訪(fǎng)問(wèn)控制錯(cuò)誤 CWE-284: Improper Access Control

描述
軟件沒(méi)有或者沒(méi)有正確限制來(lái)自未授權(quán)角色的資源訪(fǎng)問(wèn)。
訪(fǎng)問(wèn)控制涉及若干保護(hù)機(jī)制，
例如認(rèn)證（提供身份證明）、
授權(quán)（確保特定的角色可以訪(fǎng)問(wèn)資源）與記錄（跟蹤執(zhí)行的活動(dòng)）。
當(dāng)未使用保護(hù)機(jī)制或保護(hù)機(jī)制失效時(shí)，攻擊者可以通過(guò)獲得權(quán)限、讀取敏感信息、執(zhí)行命令、規(guī)避檢測(cè)等來(lái)危及軟件的安全性。
常見(jiàn)后果
技術(shù)影響：Varies by context

授權(quán)問(wèn)題 CWE-287: Improper Authentication

描述
程序沒(méi)有進(jìn)行身份驗(yàn)證或身份驗(yàn)證不足，此類(lèi)漏洞是與身份驗(yàn)證有關(guān)的漏洞。
常見(jiàn)后果
技術(shù)影響：
Read application data;
Gain privileges / assume identity;
Execute unauthorized code or commands
影響范圍：
機(jī)密性、完整性和可用性

加密問(wèn)題 CWE-310: Cryptographic Issues

描述
此類(lèi)漏洞是與加密使用有關(guān)的漏洞，涉及內(nèi)容加密、密碼算法、弱加密（弱口令）、明文存儲(chǔ)敏感信息等。

未充分驗(yàn)證數(shù)據(jù)可靠性 CWE-345: Insufficient Verification of Data Authenticity

描述
程序沒(méi)有充分驗(yàn)證數(shù)據(jù)的來(lái)源或真實(shí)性，導(dǎo)致接受無(wú)效的數(shù)據(jù)。
常見(jiàn)后果
技術(shù)影響：
Varies by context;
Unexpected state
影響范圍：
完整性

跨站請(qǐng)求偽造 CWE-352: Cross-Site Request Forgery

描述
Web應(yīng)用程序沒(méi)有或不能充分驗(yàn)證有效的請(qǐng)求是否來(lái)自可信用戶(hù)。
如果web服務(wù)器不能驗(yàn)證接收的請(qǐng)求是否是客戶(hù)端特意提交的，則攻擊者可以欺騙客戶(hù)端向服務(wù)器發(fā)送非預(yù)期的請(qǐng)求，web服務(wù)器會(huì)將其視為真實(shí)請(qǐng)求。這類(lèi)攻擊可以通過(guò)URL、圖像加載、XMLHttpRequest等實(shí)現(xiàn)，可能導(dǎo)致數(shù)據(jù)暴露或意外的代碼執(zhí)行。
常見(jiàn)后果
技術(shù)影響：
Gain privileges / assume identity;
Bypass protection mechanism;
Read application data;
Modify application data;
DoS: crash / exit / restart
影響范圍：
機(jī)密性、完整性和可用性

競(jìng)爭(zhēng)條件 CWE-362: Race Condition

描述
程序中包含可以與其他代碼并發(fā)運(yùn)行的代碼序列，且該代碼序列需要臨時(shí)地、互斥地訪(fǎng)問(wèn)共享資源。但是存在一個(gè)時(shí)間窗口，在這個(gè)時(shí)間窗口內(nèi)另一段代碼序列可以并發(fā)修改共享資源。
如果預(yù)期的同步活動(dòng)位于安全關(guān)鍵代碼，則可能帶來(lái)安全隱患。安全關(guān)鍵代碼包括記錄用戶(hù)是否被認(rèn)證，修改重要狀態(tài)信息等。競(jìng)爭(zhēng)條件發(fā)生在并發(fā)環(huán)境中，根據(jù)上下文，代碼序列可以以函數(shù)調(diào)用，少量指令，一系列程序調(diào)用等形式出現(xiàn)。
常見(jiàn)后果
技術(shù)影響：
DoS: resource consumption (CPU);
DoS: resource consumption (memory);
DoS: resource consumption (other);
DoS: crash / exit / restart;
DoS: instability;
Read files or directories;
Read application data
影響范圍：機(jī)密性、完整性和可用性

資源管理錯(cuò)誤 CWE-399: Resource Management Errors

描述
此類(lèi)漏洞與系統(tǒng)資源的管理不當(dāng)有關(guān)。該類(lèi)漏洞是由于軟件執(zhí)行過(guò)程中對(duì)系統(tǒng)資源（如內(nèi)存、磁盤(pán)空間、文件等）的錯(cuò)誤管理造成的。

資料不足

描述
根據(jù)目前信息暫時(shí)無(wú)法將該漏洞歸入上述任何類(lèi)型，或者沒(méi)有足夠充分的信息對(duì)其進(jìn)行分類(lèi)，漏洞細(xì)節(jié)未指明。

以上內(nèi)容總結(jié)整理自CNNVD漏洞分類(lèi)指南文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-784857.html

到了這里，關(guān)于安全漏洞分類(lèi)之CNNVD漏洞分類(lèi)指南的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！