以下篇幅將會介紹CVE、CVSS、NVD 和 OWASP Top 10漏洞查詢資源平台

CVE漏洞編號是全球廣泛使用的一套標準，由美國MITRE機構管理，其目的是讓組織能夠快速、標準地識別和描述安全漏洞。CVE編號由「CVE-4碼西元年-4碼以上流水編號（每年由0算起）」組成，用於唯一標識一個特定的漏洞。CVE 是一個對各種弱點進行分類的詞彙表。該詞彙表調查了這些弱點，然後採用通用漏洞評分系統 ( CVSS ) 來評估框架面臨的危險程度或確定已發現的框架安全措施。

每個CVE都包含漏洞的描述、評級、影響範圍以及可能的解決方案等信息，這些信息對於組織和安全專業人員來說非常有價值。

CVSS的評分標準由FIRST所提供，是一個開放的框架，用於提供嚴重性定性測量的方法。CVSS 標准定義了四個指標組：基本評分、威脅評分、環境評分和補充評分。基本評分代表了漏洞的固有特性，這些特性在時間和用戶環境中保持不變；威脅評分反映了隨時間變化的漏洞特性；環境評分代表了特定用戶環境中的漏洞特性。補充評分則不影響最終評分，而是提供額外的信息。這些度量組合起來，能夠提供一個從0到10的評分，幫助用戶理解漏洞的嚴重性。

CVSS v4.0 是 CVSS 最新的版本，於2023年11月1日發布。與 CVSS v3.x 相比，CVSS v4.0 引入了一些重要變更和改進：

1. 增強的名稱規則(Nomenclature)：
   CVSS v4.0引入了新的名稱規則來識別不同的度量組合。例如，僅基礎度量使用的評分稱為CVSS-B，基礎和環境度量使用的評分稱為CVSS-BE，基礎和威脅度量使用的評分稱為CVSS-BT，全部度量組合使用的評分稱為CVSS-BTE。

2. 細化的基礎度量(Base Metrics)：
   (1)新增了“攻擊要求(Attack Requirements)”這一基礎度量，以更精確地反映攻擊所需的條件。
   (2)用戶交互(User Interaction)度量被細化為被動(Passive)和主動(Active)，以更好地描述漏洞利用過程中用戶的角色。

3. 影響度量的改進：
   移除了範圍(Scope)概念，並引入了對易受攻擊系統和後續系統影響的明確評估。

4. 威脅度量組(Threat Metrics)：
   將原來的時間度量(Temporal Metrics)更名為威脅度量組，並進行了相關改進。

5. 環境度量組(Environmental Metrics)：
   提供了新的指導方針來使用環境安全需求度量，如機密性要求(Confidentiality Requirement, CR)、完整性要求(Integrity Requirement, IR)和可用性要求(Availability Requirement, AR)。

6. 補充度量組(Supplemental Metrics)：
   新增補充度量，提供額外的洞見，但不影響最終評分。

7. 評分系統開發：
   CVSS v4.0引入了新的評分系統開發步驟，以提高評分的一致性和防禦性。

(1) OWASP Top10 2021新增之漏洞

• A4 - 不安全的設計 (Insecure Design)

• A8 - 軟件和數據完整性失敗 (Software and Data Integrity Failures)

• A10 - 服務器端請求偽造 (Server-Side Request Forgery (SSRF)) 

(2) OWASP Top10 2021合併之漏洞

• 2017 A1 - 注入攻擊 (Injection) + 2017 A7 - 跨站腳本攻擊 (Cross-Site Scripting (XSS))
  ➡️ 2021 A3 - 注入攻擊 (Injection) 

• 2017 A4 - XML 外部處理器漏洞 (XML External Entities (XXE)) + 2017 A6 - 不安全的組態設定 (Security Misconfiguration)
  ➡️2021 A5 - 不安全的組態設定 (Security Misconfiguration) 

(3) OWASP Top10 2021簡介

• A1 - 無效的訪問控制 (Broken Access Control)
  由於系統權限的不當控管可能使得駭客能夠執行超出其預期權限範圍的操作，這可能導致機密資料的外洩、竄改或破壞等安全問題。因此，這個漏洞在2021中被提升至A1的位置，成為目前最為關鍵的安全風險。

• A2 - 加密失敗 (Cryptographic Failures)
  A3的安全風險漏洞被提升至A2的位置，並重新命名為A2 - 加密失敗 (Cryptographic Failures)。這個變動是為了更明確地定義問題，因為先前的名稱相對較廣泛。這次的命名選擇了「加密」一詞，以更直接地表明該漏洞與加密相關。

• A3 - 注入攻擊 (Injection)
  2021將2017的A1 和 A7 被合併成A3 - 注入攻擊 (Injection)，因為 XSS 其實也是透過注入惡意程式碼來進行攻擊，所以就把它們歸類在一起。

• A4 -  不安全的設計 (Insecure Design)
  它不一定是指系統設計有誤，而是指可能被駭客利用，進而造成安全漏洞的設計，例如：當你忘記密碼，你可以根據之前設定的問題，去回答問題並找回密碼。這樣的問題，如果該駭客知道或是可以猜測到答案，那這個設計就不是一個好的設計。

• A5 - 不安全的組態設定 (Security Misconfiguration)
  2021 將 A4 和 A6 合併成A5 - 不安全的組態設定 (Security Misconfiguration)，因為 XXE 攻擊發生的前提是 XML 解析器太弱或配置有誤，所以它們在 2021 被歸類在一起。

• A6 - 易受攻擊和過時的組件 (Vulnerable and Outdated Components)
  2017的A9被重新命名為 A6(易受攻擊和過時的組件Vulnerable and Outdated Components)，這是因為原先的名稱可能會讓人誤解為指已經修補完畢的漏洞。他們希望藉由新的名稱更清楚地表達這個風險，即指的是那些仍然存在未修補的漏洞的組件。因此，在 2021 年的更新中，特別強調了這個問題。

• A7 - 識別和認證失敗 (Identification and Authentication Failures)
  2021從A2降至A7，並重新命名為A7 - 識別和認證失敗 (Identification and Authentication Failures)，因現在有很多系統提供生物辨識（如指紋、Face ID）、行動OTP(一次性密碼)等身分驗證技術進行登入，以防駭客使用暴力破解對密碼、憑證等漏洞進行攻擊。

• A8 - 軟體和數據完整性失敗 (Software and Data Integrity Failures)
  軟體和數據完整性是指確保軟體和數據在運行過程中不受未經授權的變更或損毀的保護措施。A8 強調了在應用程式開發和運營過程中可能出現的軟體和數據完整性問題。與2017 A8 - 不安全的反序列化 (Insecure Deserialization) 意思差不多，所以2021將其二類歸到一起

• A9 - 安全日誌記錄和監控失敗 (Security Logging and Monitoring Failures)
  2021從A10上升一名，並重新命名為A9 - 安全日誌記錄和監控失敗 (Security Logging and Monitoring Failures)，將安全的定義訂定更明確一些。

• A10 - 服務器端請求偽造 (Server-Side Request Forgery (SSRF))
  當 web 在接收使用者的資源時，沒有驗證使用者提供的 URL(網址)，則 駭客就有可能利用這個漏洞，誘導伺服端向「非預期的位置(如駭客偽造的 URL)」發送請求，進而造成機密資料外洩、越權等問題發生。

(參考來源：比較篇 - OWASP Top10 : 2013、2017、2021 的變動為何)