漏洞评估-CVSS3
詳細可以參考ITU-T X.1521
Exploitability
Attack Vector(AV)
Attack Complexity(AC)
Priviliages required(PR)
User Interation(UI)
Scope(S)
??? 范圍指的是計算授權主體(如應用、操作系統或沙盤環境)在授予計算資源(如文件、中央處理器(CPU)、內存等)獲取權限時所定義的特權集合。此類特權通過認證和授權的方式進行分配。在某些情況下,授權可根據預定義的規則或標準被簡單或隨意控制。例如,當以太網流量發送至網絡交換機時,交換機會接受到達其端口的流量,并作為一個授權主體對流向其他交換機端口的流量實行控制。 當某授權范圍所管轄的軟件組件漏洞影響到另一個授權范圍所管轄的資源時,范圍就發生了變化。
??? 如通過虛擬機可以修改主機上的文件,scope發生了改變,但是通過word漏洞可以修改某一文件夾下的文件,scope沒變,應該授權主體沒有變;
Impact
Confidentiality Impact(Im-c或EF-C)
Integrity Impact(Im-I或EF-I)
Availability Impact(Im-A,EF-A)
給分標準
Note:關于修改后的所需特權
此類度量指標有助于分析人員根據其環境內部的修改來調整基本度量指標。 也就是說,如果環境對受影響的軟件做了一般性改變, 與影響其可利用性、 范圍或影響的方式不同, 則環境可以通過一個合理修改的環境評分來對此加以反映。
對環境評分的總體影響取決于相應的基本度量指標。也就是說,這類度量指標在應用(環境)安全要求之前通過重新分配(基本)度量指標值來修改環境評分。例如,某漏洞組件的默認配置可能是在管理員特權的情況下運行傾聽服務,對此,破壞可能會給攻擊者帶來高保密性、完整性和可用性影響。然而,在分析人員的環境下,同樣的互聯網服務則可能在更低的特權下運行;在這種情況下,修改后的保密性、修改后的完整性和修改后的可用性可能均應設為低。
為簡化工作, 僅提及修改后的基本度量指標的名稱。 每一個修改后的環境度量指標和其相應的基本度量指標具有同樣的數值, 再加一個未定義值。該度量指標的目的在于對給定環境中已實行的緩解進行定義。 可以使用修改后的度量指標來對提高基本評分的情況進行描述。 例如, 某組件的默認配置可能需要高特權(PR:高)來獲得某功能,但在分析人員的環境下,可能不需要任何特權(PR:無)。分析人員可以把MPR設為無來反映其環境的更嚴重情況。
計算方法
CVSS3和CVSS2的區別
?
總結
以上是生活随笔為你收集整理的漏洞评估-CVSS3的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: numpy次方计算
- 下一篇: java 获取复选框值