🛡️ 1. CVE (Common Vulnerabilities and Exposures)
- Là: Danh sách các lỗ hổng bảo mật đã được công khai.
- Quản lý bởi: MITRE Corporation (hợp tác với NIST).
- Mỗi lỗ hổng sẽ có một mã định danh riêng, ví dụ:
CVE-2024-12345. - Dùng để:
- Tra cứu chi tiết lỗ hổng (mô tả, mức độ nghiêm trọng, ảnh hưởng, bản vá).
- Tự động hóa quét lỗ hổng qua các tool như Nessus, Qualys, OpenVAS.
- Ví dụ:
CVE-2021-44228là lỗ hổng Log4Shell trong Apache Log4j.
✅ CVE = Cái gì đang bị lỗi?
🔒 2. OWASP (Open Web Application Security Project)
- Là: Tổ chức phi lợi nhuận chuyên cung cấp kiến thức, công cụ và hướng dẫn để phát triển phần mềm an toàn.
- Nổi tiếng nhất với:
- OWASP Top 10 – danh sách 10 nhóm lỗ hổng bảo mật phổ biến nhất trong ứng dụng web.
- Dùng để:
- Hiểu rõ các loại rủi ro bảo mật phổ biến.
- Thiết kế phần mềm theo các best practices để phòng tránh lỗi.
- Ví dụ:
A01:2021 - Broken Access Controllà lỗ hổng đứng đầu trong OWASP Top 10 năm 2021.
✅ OWASP = Kiểu lỗi phổ biến nào bạn nên phòng tránh?
📌 Tóm lại:
| Thuộc tính | CVE | OWASP |
|---|---|---|
| Là gì? | Mã định danh từng lỗ hổng cụ thể | Danh sách và hướng dẫn về nhóm rủi ro bảo mật |
| Tổ chức quản lý | MITRE | OWASP Foundation |
| Dùng cho mục đích | Theo dõi các lỗi cụ thể đã được phát hiện | Hướng dẫn phát triển phần mềm an toàn |
| Ví dụ | CVE-2023-23397 (Outlook exploit) |
OWASP A05:2021 - Security Misconfiguration |
Nếu bạn đang audit code hoặc pentest:
- Dùng CVE để biết ứng dụng có đang dùng thư viện có lỗ hổng hay không.
- Dùng OWASP để đánh giá cách hệ thống xử lý bảo mật (auth, input, config…).