Skip to content
Blog – Level Two

Notícias e Conceitos sobre Segurança Digital

Como as Vulnerabilidades são classificadas?

Posted on 17/05/202324/02/2023 By Level Two
Conceitos Gerais

CVE (Common Vulnerabilities and Exposures) e CWE (Common Weakness Enumeration) são dois sistemas importantes para a identificação, categorização e classificação de vulnerabilidades de segurança em sistemas de software. Neste artigo, vamos explorar cada um desses sistemas e como eles ajudam na segurança cibernética.

O que é CVE?

O CVE é um sistema internacionalmente reconhecido que identifica e fornece informações sobre vulnerabilidades de segurança de software. O CVE é uma lista pública de informações de vulnerabilidades que fornece um identificador único, uma descrição detalhada da vulnerabilidade e informações sobre como corrigi-la. O objetivo do CVE é fornecer aos usuários e profissionais de segurança informações claras e precisas sobre as vulnerabilidades mais comuns em sistemas de software.

A CVE foi criada em 1999 pelo MITRE Corporation, um centro de pesquisa sem fins lucrativos que fornece suporte técnico para várias agências governamentais dos Estados Unidos. Desde então, a CVE cresceu e se tornou uma ferramenta fundamental para os profissionais de segurança cibernética em todo o mundo.

Exemplo de CVE:

CVE-2021-34527 é uma vulnerabilidade de segurança crítica encontrada no software do Windows. A vulnerabilidade permite que um invasor execute código malicioso em um computador comprometido. A Microsoft emitiu um patch de segurança para corrigir a vulnerabilidade e recomendou que os usuários atualizem seus sistemas o mais rápido possível.

O que é CWE?

A CWE é outro sistema que ajuda na identificação e classificação de vulnerabilidades de segurança em sistemas de software. A CWE é uma lista abrangente de fraquezas comuns de segurança em software. A CWE foi criada em 2006 pelo MITRE Corporation e é usada em conjunto com o CVE.

A CWE divide as fraquezas de segurança em uma hierarquia de níveis. Cada nível contém categorias de fraquezas de segurança, e cada categoria contém subcategorias que detalham as diferentes formas como uma fraqueza de segurança pode ocorrer. A CWE ajuda os desenvolvedores de software a identificar as erros comuns de segurança em seus sistemas e a corrigi-las antes que sejam exploradas.

Exemplo de CWE:

A CWE-89 é uma categoria comum de fraquezas de segurança em sistemas de software chamada de Injeção de SQL. A Injeção de SQL é uma técnica de ataque que explora a falha de segurança em aplicativos web para injetar código malicioso em um banco de dados. Isso pode permitir que um invasor acesse informações confidenciais, altere ou exclua dados do banco de dados. Para evitar a Injeção de SQL, os desenvolvedores de software devem adotar boas práticas de programação, como evitar a concatenação de cadeias de caracteres e usar parâmetros de consulta parametrizados.

Qual é a diferença entre CVE e CWE?

Embora tanto o CVE quanto o CWE ajudem a identificar e classificar as vulnerabilidades de segurança em sistemas de software, há diferenças importantes entre os dois sistemas.

O objetivo do CVE é fornecer informações claras e precisas sobre as vulnerabilidades mais comuns em sistemas de software. O CVE é uma lista pública de informações de vulnerabilidades que fornece uma descrição detalhada da vulnerabilidade e informações sobre como corrigi-la.

Por outro lado, a CWE é uma lista abrangente de fraquezas comuns de segurança em software. A CWE divide as fraquezas de segurança em uma hierarquia de níveis e categorias.

Conclusão

CVE e CWE são dois sistemas importantes para a identificação, categorização e classificação de vulnerabilidades de segurança em sistemas de software. Uma mais voltada exclusivamente a uma vulnerabilidade e outra voltada a categorização de tipos das falhas.

Tags:Afonso da Silva Análise de Sistemas Análise de Vulnerabilidades Common Vulnerabilities and Exposures Common Weakness Enumeration como classificar CVE CWE CyberSec CyberSecurity Desenvolvimento Level Two Level Two Segurança Digital o que são PenTest PenTesting Programação Segurança Cibernética Segurança Corporativa Segurança da Informação Segurança Digital sistemas de classificação Startup Tech Tecnologia

Navegação de Post

❮ Previous Post: Resumo de Notícias – #LevelNews11
Next Post: Zero-Day – Pesadelo para uns, oportunidade para outros ❯

Veja mais sobre isso

Testes de Segurança 100% Automatizados são bons mesmo?
23/08/2023
Zero-Day – Pesadelo para uns, oportunidade para outros
24/05/2023
O que é Análise de Vulnerabilidades?
01/03/2023
Diferença entre Análise de Vulnerabilidades X PenTest
21/06/2023

Copyright © 2025 Blog – Level Two.

Theme: Oceanly News Dark by ScriptsTown