标签:分数 CVSS3.0 未定义 Modified 漏洞 Base CVSS 评估
CVSS,全称Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度” 。
CVSS是安全内容自动化协议(SCAP) 的一部分,通常CVSS同CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。
1.度量(Metrics)
CVSS3.0由三个基本尺度组成,
基本(Base):代表着漏洞的原始属性,不受时间与环境的影响,又由Exploitability可执行性与影响程度Impact 度量。
时间(Temporal):反应漏洞随着时间推移的影响而不受环境影响,举个简单的例子,随着一个漏洞软件的补丁不断增加,该漏洞的CVSS分数会随之减少。
环境(Environmental):代表特定环境下执行漏洞的分数,允许根据相应业务需求提高或者降低该分值。
2.分数(Scoring)
Base分值由专业的分析人员给出,分数在0.0-10.0之间,可以在美国国家漏洞数据库官网上搜到相应CVE漏洞的分值
3.Base Merics具体计算方法
3.1 Exploitability可执行性块
***向量(AV) | 网络(N)/邻居(A)/本地(L)/物理(P) | 0.85 / 0.62 / 0.55 / 0.2 |
***复杂度(AC) | 低(L)/高(H) | 0.77 / 0.44 |
权限要求(PR) | 无(N)/低(L)/高(H) | 0.85 / 0.62(0.68) / 0.27(0.50) |
用户交互(UI) | 不需要(N)/需要(R) | 0.85 / 0.62 |
影响范围(UI) | 不改变(U)/改变(C) | 根据Impact sub score和ISC取值 |
3.2 Impact影响指标
机密性(C) | 无(N)/低(L)/高(H) | 0 / 0.22 / 0.56 |
完整性(I) | 无(N)/低(L)/高(H) | 0 / 0.22 / 0.56 |
可用性(A) | 无(N)/低(L)/高(H) | 0 / 0.22 / 0.56 |
4.Time具体计算方法
利用代码的成熟度(E) | 未验证(U)/PoC(P)/EXP(F)/自动化利用(H) | 0.91 / 0.94 / 0.97 / 1 |
修复方案(RL) | 正式补丁(O)/临时补丁(T)/缓解措施(W)/不可用(U) | 0.95 / 0.96 / 0.97 / 1 |
来源可信度(RC) | 未知(U)/未完全确认(R)/已确认(C) | 0.92 / 0.96 / 1 |
5.Environmental具体计算方法
环境分数(可选) | |
机密性要求(CR) | 未定义(X) 低(L) 中(M) 高(H) |
完整性要求(IR) | 未定义(X) 低(L) 中(M) 高(H) |
可用性要求(AR) | 未定义(X) 低(L) 中(M) 高(H) |
修改基础度量指标
(Modified Base Metrics) | Modified Attack Vector (MAV) |
详细信息可查看CVSS 3.0 官网:https://www.first.org/cvss/specification-document
举例:某主机的漏扫结果如下:
以上可以通过CVSS的值来查看漏洞的风险等级。
以上可以通过CVSS的值来查看漏洞的风险等级。
标签:分数,CVSS3.0,未定义,Modified,漏洞,Base,CVSS,评估 来源: https://blog.51cto.com/13555521/2407517
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。