2017.W28 - 進入世界的門票 - 資安

2017.W28 - 進入世界的門票
> 強者隨著你的等級會有不一樣的定義

## 前言 ##
上禮拜跟朋友聚會的時候 聊到了在資安界有很多強者大大

但隨著自己等級 (所學的內容) 提升 以前的大大似乎不是那麼強(?)

感覺就真在獵人中 獵人試煉遇到的新人殺手 根本就是個串場人物

而已經強到爆炸的蟻人篇 居然也只有等級 B 而已

連進入到黑暗大陸也只是 A 級難度而已




## 內容 ##
在資安圈子內 會有很多基本的概念需要了解

就跟獵人十條之二 獵人必須具備最低限度的武之心得，所謂最低限度即是念的修得。

如果有些東西不知道 在這圈子內可能會被當作是新人等級



CVE (Common Vulnerabilities and Exposures)[0] 是一個通用漏洞整理的地方

各種常見、不常見的產品安全性漏洞 都可以找到一個 CVE 編號

這個編號用 CVE-[年份]-[流水號] 的方式表示

例如 CVE-2014-0160 就是 2014 年發現的漏洞 當年度(可能)的第 160 漏洞

但是對於沒有熟記或者不熟悉 CVE 的人或許不了解這是哪一個安全性漏洞

但如果提到 HeartBleed 則大家都會想到知名的 OpenSSL 的記憶體洩漏問題

原則上來說 所有人都可以提報 CVE 但是需要原廠公司確認安全性漏洞

而在 MITRE 組織中有一個 CNA (CVE Numbering Authorities)

可以替自己的產品申請 CVE 編號 加快 CVE 的申請流程




另一個跟 CVE 很像的則是 CWE (Common Weakness Enumeration)[1]

這依然是 MITRE 傑作 用來分類各種安全性威脅

他可以藉由兩種觀點：安全研究員 與 開發人員 的角度來分類

像是 CWE-763 NULL Pointer Dereference[2] 則是一種潛在的安全性漏洞

代表存在這種問題的程式則會有 DoS 類型的安全性漏洞



[0]: https://cve.mitre.org/
[1]: https://cwe.mitre.org/index.html
[2]: https://cwe.mitre.org/data/definitions/476.html

--