本書共分三部分,第1部分為理論篇,主要介紹漏洞分析理論研究基礎,內(nèi)容包括漏洞的定義及產(chǎn)生、漏洞的狀態(tài)及預測、漏洞的發(fā)展等;第2部分為方法技術篇,主要介紹漏洞分析的工作內(nèi)容及方法,內(nèi)容包括漏洞發(fā)現(xiàn)、漏洞、漏洞修復、漏洞預防;第3部分為管理篇,主要介紹漏洞分析管理工作的機制、模式及手段,從法律法規(guī)、基礎設施、市場等方面,總結國內(nèi)外漏洞分析管理工作的現(xiàn)狀及存在的問題,并對漏洞市場的管理方式進行了有益的探索,從漏洞標識、漏洞補丁、漏洞信息等幾方面總結和分析了國內(nèi)外漏洞管理標準規(guī)范并提出了漏洞分析的準則框架。
本書可作為信息安全從業(yè)人員、黑客技術發(fā)燒友的參考指南,也可作為信息安全專業(yè)的研究生或本科生的指導用書。
第1部分 理論篇
第1章 漏洞的定義
1.1 漏洞的概念
1.1.1 基于訪問控制
1.1.2 基于狀態(tài)空間
1.1.3 基于安全策略
1.1.4 基于信息安全風險管理
1.2 本書的定義
參考文獻
第2章 漏洞的產(chǎn)生
2.1 漏洞的產(chǎn)生
2.1.1 技術角度
2.1.2 經(jīng)濟角度
2.1.3 應用環(huán)境角度
2.1.4 漏洞的產(chǎn)生條件
2.2 漏洞的類型
2.2.1 典型的漏洞分類方法
2.2.2 典型漏洞庫及其分類
參考文獻
第3章 漏洞的狀態(tài)
3.1 生命周期理論模型
3.2 生命周期經(jīng)驗模型
3.3 漏洞生態(tài)系統(tǒng)模型
3.3.1 漏洞生態(tài)系統(tǒng)模型簡介
3.3.2 漏洞生態(tài)系統(tǒng)模型主要生態(tài)鏈條
3.3.3 漏洞客體、主體及環(huán)境間的相互關系
3.3.4 漏洞生態(tài)系統(tǒng)模型的形式化描述及分析
參考文獻
第4章 漏洞的預測
4.1 靜態(tài)分析與預測
4.1.1 預測指標
4.1.2 數(shù)據(jù)分析
4.1.3 漏洞繼承性假設
4.1.4 漏洞微觀參數(shù)模型
4.2 動態(tài)分析與預測
4.2.1 熱力學模型
4.2.2 對數(shù)泊松模型
4.2.3 二次模型
4.2.4 指數(shù)模型
4.2.5 邏輯模型
4.2.6 線性模型
4.2.7 多周期模型
4.2.8 工作量模型
4.2.9 模型擬合度的分析與驗證
4.3 預測模型的應用
4.3.1 應用方法
4.3.2 長期預測
4.3.3 短期預測
4.3.4 技術展望
參考文獻
第5章 漏洞的發(fā)展
5.1 漏洞發(fā)展特點分析
5.1.1 漏洞數(shù)量
5.1.2 漏洞分布
5.1.3 漏洞危害級別
5.1.4 漏洞利用
5.1.5 漏洞修復
5.1.6 2010年度重要漏洞實例分析
5.2 漏洞發(fā)展趨勢分析
5.2.1 漏洞發(fā)現(xiàn)趨勢
5.2.2 漏洞利用趨勢
5.2.3 漏洞修復趨勢
5.2.4 應對措施
第2部分 方法技術篇
第6章 漏洞的發(fā)現(xiàn)
6.1 漏洞的挖掘
6.1.1 靜態(tài)挖掘方法
6.1.2 動態(tài)挖掘方法
6.2 漏洞的檢測
6.2.1 漏洞檢測的主要方法
6.2.2 基于OVAL的系統(tǒng)安全檢測評估工具實例
6.3 漏洞的驗證
6.3.1 常用技術
6.3.2 主要步驟
6.3.3 漏洞驗證實例研究
6.4 漏洞的危害
6.4.1 漏洞安全危害屬性分析
6.4.2 漏洞危害評價方法
參考文獻
第7章 漏洞的
7.1 漏洞的收集
7.1.1 漏洞收集方式分析
7.1.2 漏洞信息的采集
7.2 漏洞的監(jiān)測
7.2.1 基于分布式蜜罐/蜜網(wǎng)的漏洞監(jiān)測
7.2.2 基于網(wǎng)頁的漏洞監(jiān)測
7.2.3 基于受害終端的漏洞監(jiān)測
7.2.4 基于熱點信息的漏洞監(jiān)測
7.3 漏洞的
7.3.1 漏洞方式分析
7.3.2 國外機構漏洞情況比較
參考文獻
第8章 漏洞的修復
8.1 補丁的主要類型
8.2 補丁的技術描述
8.2.1 補丁基本信息
8.2.2 廠商信息
8.2.3 第三方信息
8.2.4 對應漏洞信息
8.3 補丁的修復方式
8.3.1 保護內(nèi)存安全
8.3.2 驗證惡意輸入
8.3.3 監(jiān)控錯誤與異常
8.3.4 補丁修復面臨的問題
8.4 補丁的效用分析
8.4.1 二進制代碼補丁分析技術
8.4.2 源代碼補丁分析技術
參考文獻
第9章 漏洞的預防
9.1 安全教育和防范意識
9.1.1 安全原則
9.1.2 理解安全漏洞
9.1.3 持續(xù)教育
9.2 開發(fā)過程中的預防
9.2.1 安全規(guī)范
9.2.2 安全需求
9.2.3 設計安全性
9.2.4 審查
9.3 使用及維護的預防
9.3.1 信息系統(tǒng)技術防護框架
9.3.2 基于可信計算的漏洞防護體系
參考文獻
第3部分 管理篇
第10章 漏洞管理組織機構
10.1 組織機構
10.1.1 政府類
10.1.2 企業(yè)、民間類
10.1.3 用戶類
10.2 合作交流
10.2.1 機構間合作
10.2.2 相關國際會議
10.3 管理機制
10.3.1 漏洞信息公開交易市場的參與對象
10.3.2 漏洞交易市場的運作流程
10.3.3 公開漏洞交易機制的風險分析
10.3.4 風險控制對策
10.4 未來展望
參考文獻
第11章 漏洞管理標準規(guī)范
11.1 漏洞標識管理規(guī)范
11.1.1 國內(nèi)外漏洞標識情況
11.1.2 漏洞標識規(guī)范研究與分析
11.2 漏洞補丁管理規(guī)范
11.2.1 補丁管理框架
11.2.2 補丁管理實踐
11.3 漏洞信息管理規(guī)范
11.3.1 SCAP
11.3.2 FDCC
11.3.3 NIAC
11.3.4 CYBEX
11.3.5 CGDCC
11.3.6 ISVMS
11.4 漏洞分析準則框架
11.4.1 漏洞分析準則研究分析
11.4.2 漏洞分析標準體系框架
參考文獻
第1 章漏洞的定義
漏洞(Vulnerability)又叫脆弱性,這一概念早在1947 年馮? 諾依曼建立計算
機系統(tǒng)結構理論時就有涉及,他認為計算機的發(fā)展和自然生命有相似性,一個計算
機系統(tǒng)也有天生的類似基因的缺陷,也可能在使用和發(fā)展過程中產(chǎn)生意想不到的
問題。20 世紀80 年代,早期黑客的出現(xiàn)和及時個計算機病毒的產(chǎn)生,軟件漏洞逐
漸引起人們的關注[1 ] 。20 世紀70 年代中期,美國啟動的PA 計劃(Protection Analysis
Project)[2 ] 和RISOS(Research in Secured Operating Systems )計劃[3 ] 開啟
了信息安全漏洞研究工作的序幕。在歷經(jīng)30 多年的研究過程中,學術界、產(chǎn)業(yè)界
以及政策制定者對漏洞給出了很多定義,漏洞定義本身也隨著信息技術的發(fā)展而
具有不同的含義與范疇,從最初的基于訪問控制的定義發(fā)展到現(xiàn)階段的涉及系統(tǒng)
安全流程、系統(tǒng)設計、實施、內(nèi)部控制等全過程的定義。
1.1 漏洞的概念
1.1.1 基于訪問控制
1982 年,Denning 從系統(tǒng)狀態(tài)、訪問控制策略的角度給出了漏洞定義[4],認為
系統(tǒng)的狀態(tài)由三大要素集合{ S,O,A}組成,其中:
(1) 操作主體集合S 是模型中活動實體(Entity)的系列主體(Subject) 。主體
同時屬于對象,即S 屬于O 。
(2) 操作客體集合O 是系統(tǒng)保護的實體的系列對象,每個對象定義有一個唯
一的名字。
(3) 規(guī)則集合A 是訪問矩陣,行對應主體,列對應對象。
系統(tǒng)中主體對對象的訪問安全策略是通過訪問控制矩陣來實現(xiàn)。改變系統(tǒng)的
狀態(tài)就是通過改變訪問矩陣的基本操作元素,從而改變操作系統(tǒng)的指令模型。訪
問矩陣的設置描述了主體能夠做什么、不能做什么。這樣,一個保護策略或安全策
略就把所有可能的狀態(tài)劃分為授權的和非授權的兩個部分。從訪問控制角度講,
信息安全漏洞是導致操作系統(tǒng)執(zhí)行的操作和訪問控制矩陣所定義的安全策略之間
相沖突的所有因素。
1.1.2 基于狀態(tài)空間
Bishop 和Bailey 在1996 年對信息安全漏洞給出了基于狀態(tài)空間的定義[5 ],認
為信息系統(tǒng)是由若干描述實體配置的當前狀態(tài)所組成的,系統(tǒng)通過應用程序的狀
態(tài)轉變來改變系統(tǒng)的狀態(tài),通過系列授權和非授權的狀態(tài)轉變,所有的狀態(tài)都可以
從給定的初始狀態(tài)到達。容易受到攻擊的狀態(tài)是指通過授權的狀態(tài)轉變從非授權
狀態(tài)可以到達的授權狀態(tài)。受損害的狀態(tài)是指已完成這種轉變的狀態(tài)。攻擊就是
指到達受損狀態(tài)的狀態(tài)轉變過程。
從狀態(tài)空間角度來講,漏洞是區(qū)別于所有非受損狀態(tài)的容易受攻擊的狀態(tài)特
征。通常地講,漏洞可以刻畫許多容易受攻擊的狀態(tài)。
1.1.3 基于安全策略
對大多數(shù)系統(tǒng)來說,基于狀態(tài)空間定義漏洞的主要問題是由于狀態(tài)和遷移的
數(shù)量一般為指數(shù)級別,因此導致了狀態(tài)空間"爆炸",而不能有效地進行枚舉或搜
索。因此,研究者們提出了基于安全策略的漏洞定義方法。
給定一個系統(tǒng),安全策略規(guī)定了其用戶哪些操作是允許的,哪些操作是不允許
的。其形式化的定義為:給定狀態(tài)空間S = (M,T),安全策略是狀態(tài)對,其中,A 徹
M 是系統(tǒng)允許的狀態(tài)集合,D = M-A 是系統(tǒng)不允許的狀態(tài)集合。那么基于安全
策略的漏洞定義為:漏洞是一個二元組V = (N,P) 。其中,N 是一個非空的條件集
合,滿足這些條件可導致違背某個系統(tǒng)x 的安全策略P 。
在文獻[6]中,提出了一個層次式安全策略模型,在該模型中,根據(jù)安全策略被
實現(xiàn)的程度,展示了不同類型的安全策略。因此,對應于不同安全策略的違背,就
形成了不同類型的漏洞。
由美國MITRE 公司(一個由美國聯(lián)邦政府支持的非營利性研究機構)在1999
年發(fā)起,旨在為信息安全產(chǎn)業(yè)界提供通用漏洞與披露(Common Vulnerabilities
and Exposures,CVE)的標準命名字典給出的定義也是基于安全策略的,即一個錯
誤(Mistake)如果可以被攻擊者用于違反目標系統(tǒng)的一個合理的安全策略,那么它
就是一個漏洞。一個漏洞可以使目標系統(tǒng)(或者目標系統(tǒng)的集合)處于下列危險狀
態(tài)之一:允許攻擊者以他人身份運行命令;允許攻擊者違反訪問控制策略去訪問數(shù)
據(jù);允許攻擊者偽裝成另一個實體;允許攻擊者發(fā)起拒絕服務攻擊。
1.1.4 基于信息安全風險管理
1992 年,D.Longley 等[7]從風險管理角度把漏洞分成3 個方面來描述:一是存
在于自動化系統(tǒng)安全過程、管理控制以及內(nèi)部控制等方面的缺陷,它能夠被攻擊者
所利用,從而獲得對信息的非授權訪問或者關鍵數(shù)據(jù)處理;二是在物理層、組織、程
序、人員、軟件或硬件方面的缺陷,它能夠被利用而導致對自動數(shù)據(jù)處理系統(tǒng)或行
為的損害;三是信息系統(tǒng)中存在的任何不足或缺陷。
1999 年,ISO/IEC 15408?1 給出的定義是:漏洞是存在于評估對象(TOE)中
的,在一定的環(huán)境條件下可能違反安全功能要求的弱點[8 ] 。2000 年美國的信
息系統(tǒng)安全詞匯表(NSTISSI No.4009)給出的定義認為漏洞是指可被利用的信
息系統(tǒng)、系統(tǒng)安全流程、內(nèi)部控制或實施中存在的弱點[9 ] 。2011 年美國國家標準
和技術研究院的?關鍵信息安全術語詞匯表?(NIST IR 7298)認為漏洞是指威
脅源可以攻擊或觸發(fā)的信息系統(tǒng)、系統(tǒng)安全流程、內(nèi)部控制或實施中的弱點[10 ] 。
依據(jù)同年出版的?信息安全字典?給出的定義,漏洞是系統(tǒng)安全流程、系統(tǒng)設計、實
施、內(nèi)部控制等過程中的弱點,這些弱點可以被攻擊以違反系統(tǒng)安全策略;攻擊或
對威脅暴露的可能性特定于給定的平臺。依據(jù)2009 年ISO/IEC SC 27 的國
際標準?SD6:信息安全術語詞匯表?中給出的定義:漏洞是一個或多個威脅可以利
用的一個或一組資產(chǎn)的弱點,是違反某些環(huán)境中安全功能要求的評估對象(TOE)
中的弱點,是在信息系統(tǒng)(包括其安全控制)或其環(huán)境的設計及實施中的缺陷、弱點
或特性[11 ] 。
1.2 本書的定義
信息安全漏洞是信息技術、信息產(chǎn)品、信息系統(tǒng)在需求、設計、實現(xiàn)、配置、維護
和使用等過程中,有意或無意產(chǎn)生的缺陷,這些缺陷一旦被惡意主體所利用,就會
造成對信息產(chǎn)品或系統(tǒng)的安全損害,從而影響構建于信息產(chǎn)品或系統(tǒng)之上正常服
務的運行,危害信息產(chǎn)品或系統(tǒng)及信息的安全屬性。也就是說,本書將漏洞研究的
對象限制在信息技術、信息產(chǎn)品、信息系統(tǒng)等方面,未將人和管理流程作為主要研
究目標;同時,明確了漏洞的產(chǎn)生環(huán)節(jié),即需求、設計、實現(xiàn)、配置、運行等全生命周
期過程中均可能存在漏洞;,指出了漏洞的危害特性。
信息安全漏洞是和信息安全相對而言的。安全是阻止未經(jīng)授權進入信息系統(tǒng)
的支撐結構,漏洞是信息產(chǎn)品或系統(tǒng)安全方面的缺陷。例如,在Intel Pentium 芯
片中存在的邏輯錯誤、在Sendmail 中的編程錯誤、在NFS 協(xié)議中認證方式上的弱
點、在Unix 系統(tǒng)管理員設置匿名FTP 服務時配置不當、對信息系統(tǒng)物理環(huán)境、信
息使用人員的管理疏漏等,這些問題都可能被攻擊者使用,威脅到系統(tǒng)的安全。因
而這些都可以認為是系統(tǒng)中存在的安全漏洞。
有時漏洞被稱為錯誤(Error) 、缺陷(Fault) 、弱點(Weakness)或故障(Failure)
等,這些術語很容易引起混淆。嚴格地講,這些概念并不相同。錯誤是指犯下
的過失,是導致不正確結果的行為,它可能是印刷錯誤、下意識的誤解、對問題考慮
不所造成的錯誤等;缺陷是指不正確的步驟、方法或數(shù)據(jù)定義;弱點是指難以
克服的不足或缺陷,缺陷和錯誤可以更正、解決,但弱點可能永遠也沒有解決的辦
法;故障是指產(chǎn)品或系統(tǒng)產(chǎn)生了不正確的結果。在此情況下,系統(tǒng)或系統(tǒng)部件不能
完成其必需的功能。舉例來說,執(zhí)行某個操作而沒有實現(xiàn)所希望的預期結果,可以
認為操作存在錯誤,并導致了故障;如果執(zhí)行操作后得到了希望的結果,但同時又
產(chǎn)生了預料之外的副作用,或者在絕大多數(shù)情況下結果是正確的,但在特殊的條件
下得不到所希望的預期結果,則認為這個操作存在缺陷。而弱點的存在則是
的,是隱含的缺陷或錯誤。在許多情況下,人們習慣于將錯誤、缺陷、弱點都簡單地
稱為漏洞。需要指出的是,錯誤、缺陷、弱點和故障并不等于漏洞。錯誤、缺陷和弱
點是產(chǎn)生漏洞的條件,漏洞被利用后必然會破壞安全屬性,但不一定能引起產(chǎn)品或
系統(tǒng)故障。
信息安全漏洞是一個比較獨特的抽象概念,它具有以下特征:
(1) 信息安全漏洞是一種狀態(tài)或條件。它的存在并不能導致?lián)p害,但是可以
被攻擊者利用,從而造成對系統(tǒng)安全的破壞。漏洞的惡意利用能夠影響人們的工
作、生活,甚至給國家安全帶來災難性的后果。
(2) 漏洞可能是有意,也可能是無意造成的。在信息系統(tǒng)中,人為主動形成的
漏洞稱為預置性漏洞,但大多數(shù)的漏洞是由于疏忽造成的。例如,軟件開發(fā)過程中
不正確的系統(tǒng)設計或編程過程中的錯誤邏輯等。
(3) 漏洞廣泛存在。漏洞是不可避免的,它廣泛存在于信息產(chǎn)品或系統(tǒng)的軟
件、硬件、協(xié)議或算法。而且在同一軟件、硬件及協(xié)議的不同版本之間,相同軟件、
硬件及協(xié)議構成的不同系統(tǒng)之間,以及同種系統(tǒng)在不同的設置條件下,都會存在各
自不同的安全漏洞問題。
(4) 漏洞與時間緊密相關。一個系統(tǒng)從的那24小時起,隨著用戶的深入使
用,系統(tǒng)中存在的漏洞會被不斷暴露出來,這些早先被發(fā)現(xiàn)的漏洞也會不斷被系統(tǒng)
供應商的補丁修復,或在以后的新版系統(tǒng)中得以糾正。而在新版系統(tǒng)糾
正了舊版本中原有漏洞的同時,也會引入一些新的漏洞和錯誤。因而隨著時間的
推移,舊的漏洞會不斷消失,新的漏洞會不斷出現(xiàn)。
(5) 漏洞研究具有兩面性和信息不對稱性。針對漏洞的研究工作,一方面可
以用于防御,一方面也可以用于攻擊。同時,在當前的安全環(huán)境中,很多因素都會
導致攻擊者的出現(xiàn)。攻擊者相對于信息系統(tǒng)的保護者具有很大的優(yōu)勢,攻擊者只
需要找出一個漏洞,而防御者卻在試圖消除所有漏洞。隨著網(wǎng)絡的發(fā)展,包括惡意
工具在內(nèi)的各種攻擊工具均可從互聯(lián)網(wǎng)上自由下載,任何有此意圖的人都能得到
這些工具。而且出現(xiàn)了越來越多的無需太多知識或技巧的自動工具。同防護系
統(tǒng)、網(wǎng)絡、信息以及響應攻擊所需的支出相比要更廉價。盡管網(wǎng)絡安全和信息保障
技術能力也在逐步增強,但攻與防的成本差距不斷增大,不對稱性越來越明顯。
在漏洞分析中,對漏洞的描述也就尤為重要,如果存在一個通用的漏洞描述語
言來規(guī)范漏洞檢測的過程以及檢測結果的表述,就可以實現(xiàn)自動化的漏洞管理,減
少人的介入,很大程度地提升漏洞管理工作的效率。漏洞描述語言是漏洞描述的
手段,漏洞描述語言研究主要可以歸納為自然語言、形式化方法兩大類。自然語言
描述是指用人類的自然語言描述漏洞信息,這種語言的優(yōu)勢是操作性強,不需要專
門學習,方便人們漏洞,但缺乏揭示漏洞更深層次性質(zhì)的能力,并且不利于漏
洞信息的交換整合以及進一步自動化檢測和評估。形式化方法描述漏洞是指用預
先定義的語言符號集、語法規(guī)則、模型等機制將漏洞信息形式化。由于形式化的語
言或模型在描述漏洞的特征方面具有很好的抽象性,所以更利于漏洞信息的統(tǒng)一
以及分析評估的自動化,其缺點是需要專門學習,并且要適應日益提高的應用需求
而不斷地改進和擴展。目前形式化的漏洞描述方法可分為兩大類,一類是基于模
型的描述方法,例如,漏洞成因模型[12 ] 、有限狀態(tài)機模型[13] 、擴展有限狀態(tài)機模
型[14 ] 、漏洞依賴圖模型[15 ]及攻擊模式模型[16 ]等;另一類是基于XML 的描述方法,
如OVAL[17 ] 、VulXML[18 ] 、AVDL[19 ]等。
參考文獻
[1] 趙樹升.計算機病毒分析與防治簡明教程.北京:清華大學出版社,2007.
[2] Bibsey R, Hollingworth D.Protection Analysis Project Final Report.Marina Del Rey CA
USA Technical Report ISISR 7813.Information Sciences Institute,University of Southern
California,1978.
[3] Abbott R,Chin J,Donnelley J,et al.Security Analysis and Enhancements of Computer Operating
Systems. Technical Report NB SIR 76?1041.Lawrence Livermore Laboratory TR
NBSIR?76?1041,National Bureau of Standards,Washington D C,1976.
[4] Denning D.Cryptography and Data Security.Reading,M A,USA:Addison?Wesley,1982.
[5 ] Bishop M,Bailey D. A Critical Analysis of Vulnerability Taxonomies, Technical Report
CSE?96?11.Davis,USA:Department of Computer Science at the University of California at
Davis,1996.
[6] Engle S,Bishop M.A Model for Vulnerability Analysis and Classification.Department of
Computer Science,University of California,Davis,2008.
[7] Longley.D,Shain M,Caell W.Information Security:Dictionary of Concepts,Standards
and Terms.New York,USA:MacMillan,1992.
[8] ISO/IEC 15408?1. Information Technology ― Security Techniques ― Evaluation Criteria for
IT Security ― Part 1:Introduction and General Model (V2.1).International Organization for
Standardization (ISO)/International Electrotechnical Commission (IEC),1999.
[9] National Security Telecommunications and Information Systems Security Committee (NSTISSC)
.National Information Systems Security Glossary (NSTISSI No.4009),2000.
[10] Kissel R.Glossary of Key Information Security Terms,NIST IR 7298.National Institute
of Standards and Technology (NIST),U.S.Department of Commerce,2011.
[11] ISO/IEC SC 27.SD6:Glossary of Information Security Terms.International Organization
for Standardization (ISO),2009.
[12] Byers D,Ardi S,Shahmehri N,et al.Modeling software vulnerabilities with vulnerability
cause graphs. In:Proceedings of IEEE International Conference on Software Maintenance.
Philadelphia:IEEE Press,2006:411?422.
[13] Chen H,Wagner D.2002.MOPS:An infrastructure for examining security properties of
software. In:Proceedings of the 9th ACM Conference on Computer and Communications
Security.Berkeley:ACM Press,2002:235?244.
[14] 梁彬,侯看看,石文昌,等.一種基于安全狀態(tài)跟蹤檢查的漏洞靜態(tài)檢測方法.計算機學
報,2009,32(5):899?909.
[15] Wilander J.Modeling and visualizing security properties of code using dependence graphs.
In:Proceedings of the 5th Conference on Software Engineering Research and Practice in
Sweden (SERPS ′05).V苯ster狽s:ACM Press 2005:65?74.
[16] Gegick M,Williams L.Matching attack patterns to security vulnerabilities in software ― intensive
system designs.In:Proceedings of the 2005 Workshop on Software Engineering for
Secure Systems & Mdash.Building Trustworthy Applications.St.Louis,Missouri:ACM
Press,2005:1?7.
[17] OVAL.Open vulnerability assessment language.http://oval.mitre.org.2012?11?1.
[18] VulXML.Web application security vulnerability descritption language.http://www.owasp.
org/vulxml.2002?10?1.
[19] AVDL.Vulnerability description language.http://www.avdl.org.2003?4?1.
好書,推薦
挺好的,整體感覺還不錯
可以的。
好,一如既往的好
送貨小伙很不錯
包裝不錯,整體感覺也很好……
好
很好,學到很多東西
好像沒有講多少有用的東西,好像這類書都這樣啊
同事推薦,為部門書庫購買,部門主要做信息安全研究的,據(jù)同事講,此書對信息安全漏洞分析很有幫助,不錯,值得推薦。
