【安全】漏洞名词扫盲（POC，EXP，CVE，CVSS等）

• POC（Proof of Concept）

漏洞证明，漏洞报告中，通过一段描述或一个样例来证明漏洞确实存在

• EXP（Exploit）

漏洞利用，某个漏洞存在EXP，意思就是该漏洞存在公开的利用方式（比如一个脚本）

• 0DAY

含义是刚刚被发现，还没有被公开的漏洞，也没有相应的补丁程序，威胁极大。

• CVE（Common Vulnerabilities & Exposures）

公共漏洞和暴露，CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据 。如果在一个漏洞报告中指明的一个漏洞，如果有CVE名称，你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题 。

官网：https://cve.mitre.org/

中文搜索：http://vulhub.org.cn/search

• CAN

CAN和CVE的唯一区别是前者代表了候选条目，还未经CVE编辑委员会认可，而后者则是经过认可的条目。 然后，两种类型的条目都对公众可见，条目的编号不会随着认可而改变—仅仅是“CAN”前缀替换成了“CVE”。

• BUGTRAQ

一个完整的对计算机安全漏洞（它们是什么，如何利用它们，以及如何修补它们）的公告及详细论述进行适度披露的邮件列表

• CNCVE

中国（CN）的 CVE ，是CNCERT/CC（国家计算机网络应急处理协调中心）为漏洞进行编号的一个自己的标准。CNCVE不但包含漏洞的描述予以统一定义，还将包括漏洞的补丁、验证等措施，更方便、有用。

• CNVD

国家信息安全漏洞共享平台。是由国家计算机网络应急技术处理协调中心（简称CNCERT）联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。

• CNNVD

中国国家信息安全漏洞库。是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能，负责建设运维的国家信息安全漏洞库，为我国信息安全保障提供基础服务

• CVSS(Common Vulnerability Scoring System)

通用漏洞评分系统，行业公开标准，用来评测漏洞的严重程度，0-10分值越高越严重,美国国家漏洞数据库官网：https://nvd.nist.gov/vuln/search可查询CVE对应CVSS分值

PS：评分会受时间和空间影响，如随着时间推移，漏洞相关补丁越多，可被利用性越低；漏洞存在不同的环境，也会影响漏洞的威胁程度

• VUL（Vulnerability）

漏洞

• CPE（Common Platform Enumeration）

以标准化方式为软件应用程序、操作系统及硬件命名的方法

 

 

 

---

爱家人，爱生活，爱设计，爱编程，拥抱精彩人生！