1.6.2 安全漏洞披露方式

         针对漏洞的公开披露策略与道德准则,在安全社区中曾爆发无数次的辩论,归纳起来,主要有如下四种主要的安全漏洞披露方式。

(1)      完全公开披露

         发现漏洞后直接向公众完全公开安全漏洞技术细节,这使得软件厂商需要赶在攻击者对漏洞进行恶意利用之前开发并发布出安全补丁,然而这通常是很难做到的,因此这种方式也被软件厂商称为不负责任的披露。

(2)      负责任的公开披露

负责任的公开披露是在真正进行完全公开披露之前,首先对软件厂商进行知会,并为厂商提供一段合理的时间进行补丁开发与测试,然后在软件厂商发布出安全补丁,或者软件厂商不负责地延后补丁发布时,再对安全社区完全公开技术漏洞技术细节。

(3)      进入底下经济链

         随着漏洞的经济价值逐步被安全研究者所认识,一部分黑客认为不应免费给软件厂商打工帮助他们抓bug。有一些安全公司通过向安全研究人员收购高价值的安全漏洞,并出售给政府部门等客户来赢取经济利益。

(4)      小范围利用直至被动披露

         在安全社区所发现的安全漏洞中,也有一部分并没有首先通报给软件厂商,在小范围内进行利用,进而逐步扩大影响范围,最终被恶意代码广泛利用从而危害庞大的互联网用户群体。

         无论以何种方式进行公开披露,已公布的安全漏洞信息都会被收集到业界知名的CVE、NVD、SecurityFocus、OSVDB等几个通用漏洞信息库中。

1.6.3 安全漏洞公共资源库

         国内的安全漏洞信息库主要包括:

CNNVD:中国国家漏洞库,由中国信息安全评测中心维护(​​www.cnnvd.org.cn​​)。

CNVD:中国国家信息安全漏洞共享平台,由国家计算机网络应急技术处理协调中心(CNCERT/CC)维护(www.cnvd.org.cn)。

SCAP中文社区:​​http://www.scap.org.cn​

国外的安全漏洞信息库主要包括:

CVE:(Common Vulnerability and Exposures,通用漏洞与披露)已成为安全漏洞命名索引的业界事实标准,由美国国土安全资助的MITRE公司负责维护,CVE漏洞库为每个确认的公开披露安全漏洞提供了索引CVE编号,以及一段简单的漏洞信息描述,而这个CVE编号就作为安全业界标识该漏洞的标准索引号。

NVD:(National Vulnerability Database,国家漏洞数据库)是美国政府官方根据NIST的SCAP标准协议所描述的安全漏洞管理信息库,具体由美国国土安全部下属的NCSD国家国际安全部门US-CERT组负责维护。

SecurityFocus:起源于业内著名的Bugtraq邮件列表。2002年SecurityFocus网站被Symantec公司所收购,从Bugtraq邮件列表中也演化出SecurityFocus安全漏洞信息库,为业界的安全研究人员提供所有平台和服务上最新的安全漏洞信息。

OSVDB:(Open Source Vulnerability DataBase,开源漏洞数据库)由HD Moore参与发起,由安全社区创建一个独立的、开源的安全漏洞信息库,为整个安全社区提供关于安全漏洞的准确、详细、及时、公正的技术信息,为促使软件厂商与安全研究人员更友好、更开放地合作,消除开放和维护私有安全漏洞信息库所带来的冗余工作量和花费。

         针对已知安全漏洞的公开渗透代码资源也会在安全社区中流传与共享,如前安全社区比较知名的渗透攻击代码共享站点包括Metasploit、Exploit-db、PacketStorm、CXSECURITY等,具体内容如下表所示:


网站名称



站点网址



Metasploit(rapid7)            



       ​​https://www.rapid7.com/db/modules/ ​​     



Exploit-db



       ​​https://www.exploit-db.com/​



PacketStorm



      ​​https://packetstormsecurity.com/​



CXSECURITY



      ​​https://cxsecurity.com/​



SecurityVulns



      ​​https://securityvulns.com/​