网络安全系列-I: 基本概念之事件型漏洞、通用型漏洞、渗透测试

已于 2022-03-23 10:38:01 修改
阅读量6.6k 收藏 9
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 网络安全学习 文章标签: 网络安全 事件型漏洞 通用型漏洞 漏洞 渗透测试
于 2022-03-23 10:34:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/penriver/article/details/123676632
本文介绍了网络安全中的事件型漏洞和通用型漏洞的区别,强调事件型漏洞涉及非法扫描,而通用型漏洞存在于一类软件或设备中。此外,还探讨了渗透测试的流程和漏洞定级标准,提供了SRC漏洞提交平台的相关信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

事件型漏洞和通用型漏洞的区别

一句话区别:如果你提交华为官网的漏洞严格意义上是非法的,因为这涉及未授权扫描;但是你针对你自己购买并部署在本地的华为设备或系统做漏洞扫描、渗透测试是没有问题的,因为你攻击的是你自己的资产(虽然它能影响所有用到同类设备的其他企业)。前一种是事件型漏洞,后一种是通用型漏洞。

注意:事件型漏洞是违法的,无论是否进行了攻击,因为这涉及了未受权的扫描及测试。

通用型漏洞

通用型漏洞是指一类软件或设备具有的漏洞
如Python、Discuz、Springboot等开源软件本身的漏洞,使用这些开源软件的软件 可能都具有这些漏洞。

示例:

  • 如Python、Springboot存在漏洞,那么只要使用了Python、Springboot的软件都可能存在这些漏洞
  • win10系统存在漏洞,那么只要装了win10系统的设备都存在漏洞。

事件型漏洞

事件型漏洞是指某一个具体网站或应用的漏洞,需要主动针对网站或应用进行渗透测试,注意:此行为违法

示例:

  • 某手机官方论坛800多万用户信息泄露
  • 某旅游网站用户信用卡信息泄露均属于该漏洞类型。

渗透测试

渗透测试</

了解本专栏 订阅专栏 解锁全文 超级会员免费看
1.渗透测试基础
GUDGET的博客
03-21 7415
目录 渗透测试介绍 渗透术语介绍 测试环境配置 HTTP协议讲解 渗透测试介绍 1.介绍 渗透测试 (penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。 换句话来说,渗透测试是指渗透人员在不同...
渗透测试漏洞大全
2301_76786857的博客
06-13 1599
由于开发人员编写源码,开放着将可重复使用的代码插入到单个的文件中,并在需要的时候将它们包含在特殊的功能代码文件中,然后包含文件中的代码会被解释执行。应用需要对输入进行检查,不允许用户直接提交未经过验证的数据到服务器,因为这些数据来不可编辑的控件,或者用户没有前端提交的权限,任何可编辑控件必须有阻止恶意的写入或修改的功能。网站登录失败、账号注册、密码找回等功能,有些网站会提示类似“用户名不存在”的错误,攻击者可以通过该提示先猜测出系统存在哪些账号,然后再进一步猜测密码,降低了暴力破解的成本。
通用型事件型漏洞区别
anlr2020的博客
08-18 8319
通用型漏洞 第三方软件,应用,系统对应的漏洞。那么每个使用这个软件应用系统的用户都存在这个漏洞。 如ECShop、Discuz、PHPCMS的SQL注入,XSS漏洞。开源软件,安全浏览器,手机应用,路由器,开发框架,甚至是某VPN系统某防火墙系统的漏洞。 举个例子:   win10系统存在漏洞,那么只要装了win10系统的都存在漏洞。 使用某个建站系统搭建了网站,那么用这个建站系统的多个网站都存在这个漏洞。这些都叫通用型 事件型漏洞 即非通用型漏洞,主要是指互联网上应用的...
由点到面-事件型漏洞通用型漏洞的发掘
weixin_52501704的博客
08-10 545
本文主要记录我从事件型漏洞通用型漏洞的发掘过程,由于不可描述的原因,所以本次挖掘分享点到为止,将不涉及后台和服务器的渗透,主要分享挖掘思路。打码比较厉害,请多多见谅。
提交漏洞-事件型漏洞通用型漏洞的区分
atw63792的博客
09-17 6155
事件型漏洞就是某一个具体的网站或应用的漏洞。例如,某手机官方论坛800多万用户信息泄露、某旅游网站用户信用卡信息泄露均属于该漏洞类型。 通用型漏洞就是某一类的网站或应用的漏洞,比如各种CMS、通用组件等漏洞。 转载于:https://www.cnblogs.com/rab3it/p/11532919.html...
通用漏洞挖掘思路(黑盒篇)
白帽子凯哥聊黑客
06-21 1093
/ 相对而言,密码处存在注入的可能性比较小,因为密码会经过相关加密(数据库中的password字段值一般是密文),如果数据库中保存的密码就是明文的话,那也是会有产生SQL注入的风险。如果是,并且运气好,该产品公司的注册资金大于5000w,那么一个cnvd证书就来了(运气再好些,还可以在一个系统多薅几个)。回到上文的SQL注入,如果思维不发散,那么它就是一个事件型漏洞,思维发散了的话,说不定也还是一个事件型漏洞…话说回来,平常在黑盒测试过程中,挖掘到的漏洞,都可以去尝试一下,是否是通用型漏洞
Web通用型漏洞简介
热门推荐
Breeze的博客
01-20 2万+
本篇文章主要简单介绍一下(我能想到的)Web通用型漏洞(以OWASP体系为主,非组件引起的,可能出现在任何语言任何环境中的web漏洞)的原理以及简单的攻击者利用方式。注:看本篇文章不会学到任何新技术,但如果本篇文章里存在任何你感兴趣却不了解的技术,可以去其他地方查阅资料。当然文章中也有很多错误,也希望能获得指正。 文章目录注入SQL注入基于利用方式分类union回显注入报错回显注入布尔盲注延时盲注...
「安全活动」OceanBase 1.0:云服务的新一代通用关系型数据库 - 渗透测试.zip
12-04
同时,配合渗透测试,能够发现并修复潜在的安全漏洞,增强系统的安全性。 6. 漏洞分析:在攻防靶场中,通过对OceanBase进行渗透测试,可以发现并解决潜在的系统漏洞,提高数据库的安全性。这涉及到Web安全领域的...
88.网络安全渗透测试—[常规漏洞挖掘与利用篇4]—[xss漏洞测试-加载payload的方法]
qwsn
01-25 4194
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞测试-加载payload的方法 1、背景 2、xss平台通用payload加载 3、img 创建script标签加载 4、字符并接加载 5、jquery加载
漏洞挖掘 】 通用型漏洞挖掘思路技巧
xxwn200301的博客
08-22 1087
大概是在上半年提交了某个CMS的命令执行漏洞,现在过了那么久,也想通这次现挖掘通用型漏洞,整理一下挖掘思路,分享给大家。如果对网安和挖洞感兴趣的小伙伴又看不懂本文的话,可以直接跳转最后,有惊喜。挖掘后干嘛?提交漏洞呗~好的,这个算是刚开始学习没多久挖掘到的漏洞,其实现在觉得技术含量不高,发现漏洞也不难,主要想分享一下过程以及思路。最后,希望看到这篇文章到小伙伴也能很快挖掘到通用型漏洞
安全基础~通用漏洞1,网络安全开发揭秘
m0_61418075的博客
04-09 332
测列数:order by 4-测显位:第2,3and 1=2 union select ‘null’,null,null,null 错误and 1=2 union select null,‘null’,null,null 正常and 1=2 union select null,null,‘null’,null 正常and 1=2 union select null,null,null,‘null’ 错误-获取信息:– 爆库。
漏洞挖掘 | 通用型漏洞挖掘思路技巧
hackzkaq的博客
01-10 3851
`搜索公众号:白帽子左一,每天更新技术干货! 作者:ajie 转自地址:https://xz.aliyun.com/t/10539 0x01 前言 大概是在上半年提交了某个CMS的命令执行漏洞,现在过了那么久,也想通这次现挖掘通用型漏洞,整理一下挖掘思路,分享给大家。 0x02 挖掘前期 一、CMS选择 如果你是第一次挖白盒漏洞,那么建议你像我一样,先找一些简单的来挖掘。 具体源码下载地址可以参考: https://github.com/search?q=cms https://search.git.
漏洞安全事件/漏洞安全事件有哪些-零基础信息安全技巧
最新发布
程序员三九的博客
06-29 1055
漏洞分级方面,使用自己内部分级标准,将网络安全漏洞划分为高、中、低三种危害级别。
小白如何获取CNVD事件型原创漏洞证明?——记CNVD漏洞挖掘思路
黑战士的博客
08-03 3840
证书就不在这里放了,写本文的初心也是为了帮助更多想要获取CNVD证书而不知如何行动的小伙伴而写,因为网上的教程良莠不齐,我尽量用通俗易懂的语言教会大家,其中不妨掺杂着一些幽默成分,在看完本文或许会对你有所帮助,或许很多人看到这篇文章是因为消息推送,亦或是想要拿到CNVD证书,给自己以后铺路……像这种CNVD要把你送进去的案例也就不要再测了。总的来说爆洞的几率不小,CNVD审核也都很给力,发邮件的话1-2天内回复,审核速度也不慢(事件型)。实测这种方法能拿到的漏洞还是不少的,不过也会有这种情况……
【安全笔记】
FSZ111的博客
12-04 652
漏洞类型 **通用型漏洞:**第三方软件,应用,系统对应的漏洞。 如ECShop、Discuz、PHPCMS的SQL注入,XSS漏洞。开源软件,安全浏览器,手机应用,路由器,开发框架,甚至是某VPN系统某防火墙系统的漏洞。 举个例子:   学校的教务系统,确定cms类型。发现存在这个漏洞,复现一下并且发现其他学校也存在漏洞。有的话就是通用,把这些例子加上,就是一张证书。    **事件型漏洞:**即非通用型漏洞,主要是指互联网上应用的一个具体漏洞,xx网站命令执行可被渗透,xx电商订单泄漏任意充值,xx网站
有这个证书,网络安全工程师找工作不用愁
2302_76672693的博客
06-09 121
有这个证书,网络安全工程师找工作不用愁
看大佬们都是如何获得cnvd原创漏洞证书?
Y525698136的博客
06-12 4072
最近不少粉丝都在问关于怎么拿cnvd证书,之前也零散的分享过学员们的一些经验 今天带你们看看大佬是如何拿到cnvd原创漏洞证书的
安全漏洞分类之CNNVD漏洞分类指南
明光札记
11-30 8148
凡是被国家信息安全漏洞库(CNNVD)收录的漏洞,均适用此分类规范,包括采集的公开漏洞以及收录的未公开漏洞通用型漏洞事件型漏洞。CNNVD将信息安全漏洞划分为26种类型,分别是:配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误、资料不足。
你不得不知道的CNVD知识
2401_82738161的博客
01-31 4083
一文带你了解CNVD
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

enjoy编程

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值