CVE(Common Vulnerabilities and Exposures)
보안 취약점 정리 사이트
Common Vulnerabilities and Exposures 줄여서 CVE는
MITRE이라는 단체에서 관리하는 취약점 정보가 취합되어 있는 사이트입니다.
CVE - CVE
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
cve.mitre.org
CVE에서는 다양한 보안 취약점들을 CVE ID로 관리하는데
CVE ID의 형태는
CVE ID : CVE + 취약점 발견 연도 + 취약점 고유 일련번호
위와 같은 형태로 이루어지기 때문에 CVE ID는 고유성을 지니기에
취약점을 분류함에 있어 ID로 분류가 되고 있다.
CVE Details
CVE security vulnerability database. Security vulnerabilities, exploits, references and more
www.cvedetails.com provides an easy to use web interface to CVE vulnerability data. You can browse for vendors, products and versions and view cve entries, vulnerabilities, related to them. You can view statistics about vendors, products and versions of pr
www.cvedetails.com
CVE details에서는 그러한 모든 보안 취약점들을 취합해서 정보를 제공하는데
보안 취약점의 사용법, 어떤 기능을 사용하여 해킹했는가,
공격이 가능한 소프트웨어 버전과 업데이트 정보등
모의해킹에 관련해 필요한 자료들 역시도 전부 제공합니다.
그리고 이러한 모든 취약점들의 정보는 이들 보안 취약점 심각도를 점수로 매겨 관리하는데 이를 CVSS 라고 칭합니다.
CVSS (Common Vulnerability Scoring System)
CVSS는 보안 취약점의 심각도를 수치화해서 나타내는 기능인데 이미 짜여진 기준으로 점수를 책정합니다.
다만 이는 계산 수식이 아주 복잡하기 때문에 주로 계산기를 사용해서 보안 취약점의 심각도를 정합니다.
현재 CVSS 의 3 버전이 나왔지만 아직까지 2 버전으로 계산하는 경우가 많기에 2 버전으로 계산을 진행하고 있습니다.
CVSS2 형태는 -
10.0/AV:N/AC:L/Au:N/C:C/I:C/A:C
이러한 형태로 책정이 됩니다.
이에 대해 간단히 알아보자면 아래 표를 참고하시면 되겠습니다.
| 명칭 | 등급 |
| AV(access vector) 공격경로 | L(로컬), 인접네트워크(A), 네트워크/리모트(원격)(N) L,A,N |
| AC(Access complexity) 공격 난이도 | (H,M,L) High, Medium, Low |
| Au(Authentication) 인증 필요 여부 | Multiple(m), Single(s), N(none) |
| C(confidentiality) 기밀성 영향도 | N(None),P(Partial), C(Complete) |
| I(integrity) 무결성 영향도 | N,P,C |
| A(abiliability) 가용성 영향도 | N,P,C |
CVSS v2 계산기 : https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator
NVD - CVSS v2 Calculator
CVSS Base Score: {{vm.baseScore}} Impact Subscore: {{vm.impactScore}} Exploitability Subscore: {{vm.exploitScore}} CVSS Temporal Score: {{vm.temporalScore}} CVSS Environmental Score: {{vm.environScore}} Modified Impact Subscore: {{vm.modImpactScore}} Overa
nvd.nist.gov
위 6가지 기준에 의해 심각도가 책정되고 그렇게 책정된 심각도로 점수를 매깁니다.
심각도의 점수에 따라 치명적|중요|보통|낮음 4가지 단계로 취약점이 분류됩니다.
| 심각도 | cvss | 종류 |
| 치명적 | 10 | 권한 원격코드실행, worm |
| 중요 | 7-9.9 | 권한상승공격, 원격dos |
| 보통 | 4-6.9 | 로컬에서의 dos, 웹 사이트 디페이스, 인증이 필요한 공격 |
| 낮음 | 0-3.9 | 공격 난이도가 높거나 영향력이 미미한 공격 |
'IT종합' 카테고리의 다른 글
| 개인 사업자 등록 쉽게 하는 법 (0) | 2022.05.19 |
|---|---|
| 해킹 연습용 문제 풀이 워게임 사이트 모음(지속 업데이트 예정 2022-01-18 추가) (0) | 2021.07.31 |
| 화이트 해커를 위한 자격증 (0) | 2021.05.09 |
| [해킹] 패시브 스캐닝 2단계 (Netcraft,Whois) (0) | 2020.10.07 |
| [보안] 해킹 기초 악성코드의 종류와 예방법 공부 (0) | 2020.09.28 |
댓글