Vulnerability-wiki
漏洞评级与分类综述
为什么需要漏洞评级与分类?
在现代信息安全体系中,漏洞不再只是“有问题的代码”,而是攻击者入侵系统、横向移动、窃取数据的“入口点”。不同漏洞的影响范围、攻击复杂度和利用条件差别巨大,为了统一评估漏洞风险,制定响应优先级,我们必须对漏洞进行标准化的分类与评级。
漏洞评级与分类的主要目的包括:
✅ 统一风险衡量标准,便于沟通与决策
🔒 协助漏洞响应人员判断修复优先级
🚨 帮助安全平台识别是否触发告警/通报
📊 指导厂商、甲方、开发者优化开发流程
🧠 支撑漏洞知识图谱、安全资产管理等自动化工具建设
主流漏洞分类体系
1. CVE(Common Vulnerabilities and Exposures)
用于唯一标识公开披露的具体漏洞
每个 CVE 条目对应一个特定厂商或产品的安全问题
由 MITRE 和 NVD 共同管理,全球通用
➡️ 例如:CVE-2021-44228 是 Log4j 的远程代码执行漏洞
2. CWE(Common Weakness Enumeration)
用于描述漏洞类型或通用缺陷
是对软件安全缺陷的“枚举与归类”
每个 CWE 是一个模式(如 XSS、缓冲区溢出、权限绕过)
➡️ 例如:CWE-79 表示跨站脚本攻击,CWE-89 表示 SQL 注入
3. CVSS(Common Vulnerability Scoring System)
用于对漏洞进行风险量化评分
评分范围为 0.0 到 10.0,分为低、中、高、严重(Critical)
由 FIRST 组织制定,目前主流版本为 v3.1
等级
CVSS v3 分数段
低危(Low)
0.1 – 3.9
中危(Medium)
4.0 – 6.9
高危(High)
7.0 – 8.9
严重(Critical)
9.0 – 10.0
➡️ 例子:CVE-2021-3156(sudo 越权漏洞)CVSS 为 7.8(高危)
4. CWE Top 25 / OWASP Top 10
CWE Top 25:基于实际利用数据的全球最常见软件弱点排名(每年更新)
OWASP Top 10:Web 应用十大安全风险(面向开发者、甲方等非安全角色)
5. CNVD / CNNVD 分级(中国)
国内漏洞收集平台也采用类似 CVSS 的等级划分
CNVD 通常分为高危、中危、低危
6. 漏洞赏金平台评级(HackerOne / Bugcrowd)
不同平台和项目会自定义其风险评级模型
影响程度 + 攻击场景决定漏洞赏金额度
各类评级体系的关系图
CVE:具体漏洞编号 ←→ CWE:通用漏洞类型
↓
CVSS:量化评分(0~10)
↓
安全平台 / 通报系统 / 修复策略 / 威胁建模
结合实际场景的漏洞评估建议
仅靠 CVSS 等评分不足以全面判断漏洞风险。实际评估时还应考虑:
📌 业务上下文:漏洞是否在高价值系统中?
🧱 资产暴露面:是否面向公网?是否有防护?
🔐 利用条件:是否需要登录、手工操作?
🤯 是否存在公开利用代码(PoC)?
小结
项目
作用
代表示例
CVE
标识单个具体漏洞
CVE-2021-44228
CWE
定义漏洞类型
CWE-79、CWE-89
CVSS
漏洞评分标准
CVSS: 9.8(Critical)
OWASP
风险榜单指导
OWASP Top 10
CNVD/CNNVD
国内风险通报
CNVD-2023-xxxx
赏金平台评级
安全运营中的参考模型
Bugcrowd - P1~P5
推荐下一步阅读:
CVSS 漏洞评分体系详解
CWE:漏洞类型枚举指南
如何结合业务评估真实漏洞风险