网络安全漏洞分类有利于漏洞信息的管理，但是目前还没有统一的漏洞分类标准。国际上较为认可的是CVE漏洞分类和CVSS漏洞分级标准。另外，还有我国信息安全漏洞分类及OWSP漏洞分类。

1、CVE漏洞分类。CVE是由美国IMITRE公司建设和维护的安全漏洞字典。CVE给出已经公开的安全漏洞，其目标是便于共享漏洞数据。CVE条目的包含内容是标识数字、安全漏洞简要描述、至少有一个公开参考。标识数字简称CVEID ，其格式由年份数字和其他数字组成，如CVE－2019-1543为一个0pen SSL安全漏洞编号。CVE是国际上权威的网络安全漏洞发布组织，其成员包含众多全球知名的安全企业和研究机构。

2、CVSS是一个通用漏洞计分系统，分数计算依据由基本度量计分、时序度量计分、环境度量计分组成。以CVSS v3.0为例，其中，基本度量计分由攻击向量、攻击复杂性、特权要求、用户交互、完整性影响、保密性影响、可用性影响、影响范围等参数决定。时序度量计分由漏洞利用代码成熟度、修补级别、漏洞报告可信度等参数决定。环境度量计分由完整性要求、保密性要求、可用性要求、修订基本得分等决定。

3、我国信息安全漏洞分类。我国网络安全管理部门建立了国家信息安全漏洞库（CNNVD）漏洞分类分级标准、国家信息安全漏洞共享平台（CNVD）漏洞分类分级标准。

（1）国家信息安全漏洞库（CNNVD）漏洞分类。CNNVD将信息安全漏洞划分为：配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误和资料不足。

（2）国家信息安全漏洞共享平台（CNVD）漏洞分类。CNVD根据漏洞产生原因，将漏洞分为11种类型：输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。此外，CNVD依据行业划分安全漏洞，主要分为洞和应用漏洞。行业漏洞包括：电信、移动互联网、工控系统；应用漏洞包括Web应用、安全产品、应用程序、操作系统、数据库、网络设备等。在漏洞分级方面，将网络安全漏洞划分为高、中、低三种危害级别。

4、OWASP TOP 10漏洞分类。OWASP组织发布了有关Web应用程序的前十种安全漏洞。目前，已发布多个版本，主要的漏洞类型有注入、未验证的重定向和转发、失效的身份认证、XML外部实体（XXE）、敏感信息泄露、失效的访问控制、安全配置错误、跨站脚本（XSS）、不安全的反序列化、使用含有已知漏洞的组件、不足的日志记录和监控、非安全加密存储。