在新公司快速分享什麽事 CVSS 顺手整理一下 :) CVSS (Common Vulnerability Scoring System) 是一种安全严重程度的评断方式 目前版本已经到 v3.1[0] 可以根据各种维度来判断一个安全性问题 简单可用两个部分来解读：影响范围 (Impact Metrics) 与 攻击方式 (Exploitability Metrics) ## 影响范围 ## 为了我解释方便，简单将范围分为 可读(Confidentiality)、可写 (Integrity)、不可用 (Availability) 实际的描述还是请参考 CVSS Spec 上的描述 当一个 bug 被视为是安全性问题时 CVSS 判断至少影响一个范围 像是 CWE-548[1] 就可以当作对 C 有影响 而 CWE-400[2] 则是对 A 有影响 而每个 CIA 又可以分为三种程度：None (不影响)、Low (部分)、High (全部) ## 攻击方式 ## 除了影响范围之外 CVSS 也判断攻击者利用哪些方式、前提 才可以真正地进行攻击 像是 AV (Attack Vector) 维度 就是判断需要利用网路、内网、网路无关或实体接触 很明显的 网路跟实体接触代表不一样的攻击难度 相对的 CVSS 分数也会不一致 而 PR (Privileges Required) 代表攻击者需要拥有何种身份 ## 举例 ## Shellshock (CVE-2014-6271) 9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H Heartbleed (CVE-2014-0160) 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 两个都是知名的安全性漏洞 分别对应到不一样的 CVSS 分数 用 CIA 来看 Shellshock 三者都是 H (C:H/I:H/A:H) 而 Heartbleed 只有 C 为 H IA 皆不影响 代表 Shellshock 攻击後就可以为所欲为 (可读、可写、可破坏) 但 Heartbleed 只能够任意读 用攻击难度来看两者都是 AV:N/AC:L/PR:N/UI:N/S:U。分别代表 AV:N -> 网路可连线对象就可以攻击 AC:L -> 攻击不需要满足复杂的前提 PR:N -> 攻击者不需要登入、拥有特定权限 UI:N -> 攻击者不需要跟任意使用者互动 (e.g. 钓鱼) S:U -> 攻击者拥有的权限跟服务权限一致 [0]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator [1]: https://cwe.mitre.org/data/definitions/548.html [2]: https://cwe.mitre.org/data/definitions/400.html --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 42.74.124.18 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1635213663.A.F08.html