安全漏洞标识与描述规范的研究

文章主要介绍了中国首个安全漏洞相关国家标准《安全漏洞标识与描述规范》的制定背景及其主要内容。该标准以CVD作为安全漏洞的唯一标识,用于满足国内互联网对漏洞进行统一引用的需求,是中国有效管理安全漏洞的基础标准。

一种新型Web应用安全漏洞统一描述语言

提出一种基于XML的Web应用安全漏洞统一描述语言UVDL,通过制定包含漏洞信息的结构化XML文件,其中每个漏洞又以树状结构包含漏洞的基本信息、利用、影响、修复以及参考信息等框架文件,并定义各描述子项,来标准化漏洞检测过程.相比已有的漏洞描述语言,UVDL框架文件的插件组织形式更具灵活性和扩展能力,每个漏洞的分框架文件在Web漏洞检测系统的应用中更具可操作性.UVDL在考虑环境与状态错误对Web应用软件造成安全影响的基础上增加了Web漏洞分类、漏洞的严重程度以及利用性等属性信息.UVDL在漏洞评估系统中的应用实验表明,UVDL作为一种统一标准且易操作的漏洞描述语言,能够整合漏洞信息,解决多安全部件的协同工作和兼容性等问题.

真实的谎言——URL地址欺骗

“看，微软开发Linux了!”，两年前笔者一个网友突然发来一个网址http：//www．mslinux，org)，并告诉我这样的消息。在网上闯荡多年的我竟然信了这个骗局!因为这个站点的布局，风格与微软官方网站几乎完全一致，有链接都指向微软官方网站相应的页面，惟一的区别是在“Product”导航栏多了一个MSLinux的产品介绍。仔细查看地址栏内的URL，我才发现这并不微软的网站。后来查询了相关记录，我发现注册信息与微软官方网站完全不样，这才发现自己险些被朋友欺骗。

基于4字节ASN扩展的BGP协议安全漏洞

针对边界网关协议(BGP)路由策略提出一个可以造成流量劫持的BGP协议安全漏洞——多出口描述符(MED)漏洞.4字节自治域号的引入造成BGP设备部分私有配置失效,在毫不知情的情况下导致数据流量被劫持到邻近的网络服务提供商,带来严重安全威胁.在Cisco环境下的仿真实验结果表明,MED漏洞无感地转移数据流量,可利用该漏洞部署中间人攻击.

网络安全漏洞标准研究

本文简要介绍了国际上网络安全漏洞处理流程和网络安全漏洞披露标准内容、美国漏洞管理相关标准以及我国在网络安全漏洞方面已发布的标准与修订现状,对完善我国网络安全漏洞管理提出相关建议。