圖片來源：Bitsorbit
CVE列表是指特定產品或系統中已識別的漏洞。與未發現或未知的漏洞相比，它們更為重要和緊急。首先應執行重要而緊迫的任務。
CWE列表通常用於軟件或硬件開發中，或在其被授權運行之前。
威脅建模是一種“系統探索技術，可以揭示漏洞。它通常在SDLC的設計或實施階段進行。

圖片來源：Elodie DESTRUEL

常見漏洞和披露（ Common Vulnerabilities and Exposures）
常見漏洞披露（CVE）系統為公開的信息安全漏洞和披露提供了一種參考方法。由MITER Corporation經營的國家網絡安全FFRDC由美國國土安全部國家網絡安全部門提供資金來維護該系統。該系統於1999年9月正式向公眾發布。
安全內容自動化協議使用CVE，並且MITRE的系統以及美國國家漏洞數據庫中列出了CVE ID。
CVE用於公開發布的軟件；如果它們被廣泛使用，則可以包括Beta和其他預發行版本。商業軟件包括在“公開發行”類別中，但是未分發的定制軟件通常不會提供CVE。

-利用CVE-2012-1823的Metasploit

常見弱點枚舉(Common Weakness Enumeration)
常見弱點枚舉（CWE™）是由社區開發的具有安全後果的常見軟件和硬件弱點類型的列表。“弱點”是軟件，硬件實施，代碼，設計或體系結構中的缺陷，錯誤，錯誤，漏洞或其他錯誤，如果不加以解決，可能導致系統，網絡或硬件容易受到攻擊。該CWE列表和相關類別分類作為語言，可以用來在CWEs方面來識別和描述這些弱點。
針對開發人員和安全從業者社區，CWE的主要目標是通過對軟件和硬件，架構師，設計師，程序員進行教育，從源頭上阻止漏洞，並獲取如何在交付軟件和硬件之前消除最常見的錯誤。。最終，使用CWE有助於防止困擾軟件和硬件行業並使企業面臨風險的各種安全漏洞。
資料來源：https : //cwe.mitre.org

威脅建模(Threat Modeling)
在系統和軟件工程中，威脅建模是“一種系統探索技術，以破壞，洩露，修改數據或拒絕服務的形式，暴露任何可能對系統造成損害的情況或事件。” （ISO 24765：2017）

攻擊向量(Attack Vector)
在威脅建模中，威脅場景可以表示為攻擊向量，它是“攻擊用來訪問漏洞的整個路徑的一部分”。（NIST SP 800-154）

攻擊面(Attack Surface)
信息系統的攻擊面是“使這些系統更容易受到網絡攻擊的暴露區域”。（NIST SP 800-53 R4）
暴露區域是可訪問區域，通常是輸入和輸出的接口點，信息系統中的弱點或不足為攻擊者提供了利用漏洞的機會。
簡而言之，攻擊面是已識別攻擊向量的總和。

參考
. 零日（計算）
. 零日漏洞：它是什麼，以及它如何工作
. 常見弱點枚舉
. 常見漏洞和披露
. CVE列表首頁
. CVE和CWE有什麼區別？
. 利用CVE-2012-1823的Metasploit

資料來源： Wentz Wu QOTD-20201124